Source : La validation/conservation des signatures électroniques, Jean Marc Rietsch, FISAM Consulting Formation, janvier 2021
Signature électronique et valeur probatoire dans le temps – Premier volet
- Introduction
Bien que le cadre légal existe depuis plusieurs années, il faut bien reconnaître qu’il a fallu ce satané virus pour donner son élan à la signature électronique.
Fin janvier, Archimag nous offrait son livre blanc sur la signature électronique sous la plume sachante de Jean Marc Rietsch, expert international en digitalisation, signature et archivage électronique.
Et si je vous en parle aujourd’hui, c’est que ce livre blanc n’est pas un énième fascicule nous décrivant les trois sempiternels niveaux de signatures du règlement européen eIDAS mais traite d’un sujet presque toujours négligé : la validation et la conservation des signatures électroniques dans le temps.
Quels en sont les enjeux ? La signature ne se suffit pas à elle-même pour garantir la valeur probatoire d’un document. Car avec le temps, il est plus que certain que les éléments nécessaires à prouver la qualité de la signature n’existeront plus, voire que les techniques utilisées pour sa création auront été crackées, nous mettant dans l’impossibilité de démontrer la validité de nos signatures.
Par conséquent, si l’on veut éviter le risque de les voir être contestées par un juge, voire même d’être invalidées, et ce durant toutes les années où elles auront de l’importance pour nous, il convient de mettre en place certains processus. C’est tout l’objet de ce livre blanc.
- Rappels sur la signature électronique
Rappelons ici l’essentiel pour bien comprendre la suite. Les signatures dont font l’objet ce livre blanc sont des signatures ayant recours à une bi-clé de chiffrement (1 clé privée et 1 clé publique).
Traduction technique : lorsque l’on signe un document, une clé privée est utilisée par le signataire pour créer une empreinte à son document et le chiffrer. La clé publique, elle, sert à déchiffrer l’empreinte et à vérifier son intégrité. La clé publique est enregistrée à l’intérieur d’un certificat.
Le certificat électronique sert à réaliser le lien entre le signataire et la signature électronique. Il est délivré par une autorité de certification (AC). Il contient la clé publique et certaines informations permettant de vérifier la signature.
Quand signer ne s’arrête pas juste à… signer
Pour conférer une valeur probatoire à sa signature électronique qui soit solide dans le temps, il convient de respecter 3 étapes :
- L’avant signature ;
- Le moment de la signature ;
- L’après signature.
L’avant signature se caractérise par l’enrôlement. L’enrôlement consiste pour l’AC à contrôler l’identité du futur signataire et lui remettre sa clé privée. Le choix des moyens mis en œuvre pour cette vérification d’identité conférera au certificat un niveau de qualité dit faible, élevé ou substantiel.
Au moment de la signature le signataire va devoir s’authentifier, enregistrer son consentement avec le document à signer (souvent par une case à cocher) et enfin, signer avec le moyen technique mis à sa disposition. Une fois la signature apposée, le fichier technique des éléments de preuve est construit et scellé.
Après la signature, il faut encore la valider, archiver le document signé et archiver dans les mêmes conditions le fichier de preuve.
Validité de la signature électronique
Les 3 étapes précédentes contribuent à permettre de retenir comme preuve la signature électronique. Pour cela, il faut être capable de démontrer :
- L’identité du signataire ;
- L’engagement du signataire au contenu du document signé ;
- Le lien entre le document signé et le signataire ;
- L’intégrité du document.
C’est ici que la fonction de validation de la signature prend tout son sens.
- Validation de la signature électronique
Les facteurs de risque
Nous allons le voir, la notion de temps a une extrême importance lorsqu’on parle de signature électronique.
Durée de validité des certificats électroniques :
Un certificat électronique a une durée de vie limitée à 2 ou 3 ans en général. Un des enjeux de la signature électronique est donc de valider qu’elle a été réalisée à un moment où le certificat était encore valide. Si l’on fait un parallèle avec le papier, cela revient à valider que le mandat du signataire courait toujours au moment de sa signature.
Si le certificat est toujours valide, cela ne pose pas de problème particulier. En revanche, si le certificat n’est plus valide au moment du contrôle de la signature, il faut alors rechercher l’horodatage de la signature et vérifier qu’au moment de la signature le certificat était valide.
Où est le problème, me direz-vous ? Le problème est que l’horodatage utilise également un certificat à validité limitée. Et valider une signature dont le certificat est expiré avec un horodatage dont le certificat a également expiré devient le 13ème travail d’Hercule.
Alors comment faire ? Interroger au plus tôt l’autorité de certification qui a émis le certificat. En effet, elle seule peut valider que le certificat était valide au moment de la signature.
Mais pourquoi au plus tôt ? Parce que comme toute entreprise d’aujourd’hui, l’autorité de certification peut avoir entre temps mis la clé sous la porte, avoir été vendue, bref ne plus être à nos côté pour jouer son rôle de valideur.
Le règlement eIDAS prévoit ce cas avec l’obligation pour l’autorité de certification de prévoir un plan de continuité du service. Mais cette obligation n’est imposée qu’aux AC dites « qualifiées ».
Obsolescence cryptographique :
La croissance technologique, nous le savons, suit un rythme exponentiel. Ce qui laisse présumer que les algorithmes utilisés pour chiffrer nos documents, aujourd’hui si sûrs, ne le resteront pas à moyen terme. On peut imaginer alors qu’un algorithme utilisé aujourd’hui pourra, dans quelques années, être craqué.
Le risque ? Se trouver devant des documents modifiés dont, pourtant, l’empreinte est toujours la même. Bref, un faux ! Pour s’en prémunir, là encore, nous allons utiliser la validation de l’AC qui a émis le certificat de signature et ses services de conservation (ou ceux de notre S.A.E. préféré) dont c’est l’objectif.
Principe général de validation
La validation d’une signature électronique est un acte qui implique technique et niveau de confiance.
Pour procéder à la validation, on utilise les informations de base embarquées dans le certificat. Elles permettent de réaliser les vérifications techniques d’intégrité du document ainsi que la validité et la non-révocation du certificat au moment de la signature.
Ensuite viennent les vérifications du niveau de confiance. Cette action consiste à mesurer le degré de confiance que l’on peut accorder à l’AC qui a délivré le service de signature. Mais également à toutes les AC intervenues dans le processus de signature. Car peu le savent, mais lorsqu’une AC délivre un certificat, elle le signe elle-même avec une clé privée… émise par une AC tierce, qui elle-même peut utiliser encore une autre AC pour ses propres signatures, etc. jusqu’ à ce qu’on appelle l’AC racine.
Aspect légal de la validation
Le règlement eIDAS reconnaît la validation des signatures électroniques dès lors qu’elles sont du niveau dit « qualifié ». Ce qui ne vaut pas pour la signature simple, ni pour la signature avancée.
François Delion
A suivre le mois prochain : les solutions pratiques de validation et l’importance de l’archivage électronique.
