Le renouveau de la signature électronique_cabinet Alain Bensoussan_29 01 2014
1. Signature électronique 3.0
Le futur est déjà présent
Petit-déjeuner débat
du 29 janvier 2014
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 1
2. Introduction
Contexte – Le déploiement
Enjeux – Les nouvelles formes de signature
Défi – La conformité
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
2
3. PLAN
1. Etat des lieux, par Dimitri
Mouton, Société Demaeter
2. Choisir la bonne signature …
si c’est possible
3. Déployer sans risque … sous
réserve de l’appréciation
souveraine des tribunaux
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 3
4. 1. Etat des lieux, Dimitri Mouton, Demaeter
1. Un beau fouillis…
2. Les fondamentaux
3. Les tendances
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 4
6. PKI
Signature électronique
Authentification
Clef privée
Clef publique
Engagement
IGC
RSA
2048 bits
RGS
Certificat
AC
Classe 3+
2 étoiles
Présomption de fiabilité
Tablette
Signature sécurisée
Signature avancée
Certificat qualifié
Convention de preuve
Code PIN
Authentification forte
SMS
Usurpation d’identité
CRL
Horodatage
OCSP
X.509 V3
Autorité d’Enregistrement
PSCE
PSCO
RFC 3161
COFRAC
ANSSI
Politique de Signature Electronique
PAdES
PDF /A
XAdES
PKCS#7
PKCS#12
Loi du 13 mars 2000
Décret du 30 mars 2001
Règlement européen
CMS
Signature détachée
Applet java
Propre au signataire
Contrôle exclusif
SSCD
Révocation
SHA256
Délégation
Parapheur
A la volée
OTP
Intégrité
Non-répudiation
Garantie de provenance
Traçabilité
Prestataire qualifié
Force probante
Alice et Bob
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
6
7. Mais les usages sont là …
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 7
8. Marchés publics
Contrats B to B
Immatriculations
Déclarations sociales
Commerce en ligne
Contrats grand public en agence
Actes notariés
PV électroniques
Attestations de conformité
Diplômes
Actes - Contrôle de légalité
Délibérations
Hélios - Comptabilité publique
Déclarations de travaux
Réseaux et canalisations
Banque en ligne
Démarches administratives
Réseau Privé Virtuel des Avocats
Réseau Privé Virtuel de la Justice
Tribunal de Commerce électronique
Actes authentiques
Expertise comptableChronotachygraphe
Contrats de travail
Emargements
Feuille de soins électronique
Factures
Délégation de pouvoirs bancaires
Lettre recommandée électronique
Vote électronique
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
8
9. Les typologies…
Signature scannée
Signature manuscrite
sur tablette
Signature électronique
« à la volée »
Signature électronique
Avec ou
sans
accréditation
Avec ou sans
legal opinion
Avec ou
sans étoiles
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
9
10. Les composantes d’un service
dématérialisé
Dont la signature électronique
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
10
12. La signature électronique :
Définition pratique
La signature électronique est une signature…
… Qui porte sur un document de nature électronique.
L’encre marque le papier La cryptographie garantit un lien entre le signataire et le document
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 12
13. A quoi sert un certificat
• Le certificat est une « carte
d’identité » délivrée par une
« Autorité de Certification »
ou « Prestataire de Services
de Certification
Électronique »
• Il peut servir à :
– s’authentifier (contrôle d’accès)
– signer (signature électronique, cachet, horodatage)
– chiffrer (confidentialité)
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 13
14. La PKI
• PKI (Public Key Infrastructure), aussi appelée Infrastructure à clef publique (ICP) ou
Infrastructure de Gestion de Clefs (IGC) :
L’ensemble des moyens techniques et humains
mis en œuvre pour la délivrance de certificats
• Autorité de Certification (AC) : responsable de la PKI
– Édicte les règles (Politique de Certification)
– Est garante de leur respect
• Autorité d’Enregistrement (AE) : procède à l’enregistrement des porteurs
• Opérateur de Certification (OC) : exploite les machines
• Autorité de Révocation, Autorité de Validation : rôles complémentaires.
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
14
15. Le cycle de vie du certificat
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
15
16. • Calcul technique :
– Empreinte du document
– Scellement par la clef privée
• Ajout d’éléments complémentaires :
– Le certificat du signataire et la chaîne de certification correspondante
– Un jeton d’horodatage
– Une preuve de validité du certificat (LCR ou OCSP)
Cinématique de la signature
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 16
17. Cinématique de la vérification
• Calcul technique :
– Empreinte du document
– Epreinte initialement scellée
– Comparaison des deux valeurs
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 17
18. Validité du certificat
Le document a bien été signé par le porteur du certificat…
Mais qui est-ce ?
• Vérifier la validité technique du certificat.
– S’il est invalide ALERTE !
• Examiner l’émetteur du certificat :
– Si je n’ai pas confiance en cette AC
ALERTE !
– Si j’ai confiance en cette AC :
• Comparer la date de la signature aux dates de validité du certificat
• Vérifier la Liste des Certificats Révoqués
• Si tout est bon : le nom contenu dans le certificat est celui du signataire.
Mais ce signataire avait-il le droit de signer ?
Le document signé est-il correct sur la forme ? Sur le fond ?
La vérification se poursuit sur le plan juridique !
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 18
19. Exemple : affichage de signature par
Adobe Reader
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 19
20. Les formats de signatures
• AdES = Advanced Electronic Signature
• 3 formats :
– PAdES = format PDF
– CAdES = format CMS / PKCS#7
– XAdES = format XML
• Le choix est à faire en fonction des contraintes du projet
• Tous permettent d’inclure les mêmes éléments :
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
20
21. Les « niveaux de certificats »
• Le niveau de sécurité offert par un certificat dépend :
– Des procédures d’enregistrement
– Du « support » du certificat (matériel / logiciel)
– Des engagements de l’Autorité de Certification
• Les niveaux du RGS répondent à des réalités juridiques :
* Enregistrement à distance
Support logiciel
Signature électronique
« simple »
** Enregistrement en face à face
Support matériel
Signature électronique
« sécurisée »
*** Enregistrement en face à face
Support matériel sécurisé
Certificat qualifié
Signature électronique
« présumée fiable »
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
21
22. Les principes de la confiance
• La confiance est un sentiment de sécurité
• Elle doit s’accompagner de la prudence !
Chaîne de confiance faible : Chaîne de confiance forte :
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
22
24. La signature électronique « autonome »
• Le signataire a acheté
son certificat auprès
d’une AC du marché
• Il dispose sur son poste
d’un outil de signature
électronique
• Il réalise ses signatures
sur son poste, de
manière autonome
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 24
25. La signature électronique par applet
• Le signataire a acheté
un certificat auprès
d’une AC du marché
• L’outil de signature est
inclus dans le service
appelé
• Le signataire réalise
ses signatures sur son
poste, dans le cadre du
service
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 25
26. La signature électronique à la volée
• Le signataire n’a pas
de certificat, ni d’outil
de signature
électronique
• Le serveur lui
présente le contrat et
il donne son accord
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 26
27. • Le serveur vérifie
l’identité du signataire
en lui envoyant un
défi par SMS
La signature électronique à la volée
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 27
28. La signature électronique à la volée
• Le serveur génère une
bi-clef de signature
• Il génère un certificat
au nom du signataire
• Il utilise la clef privée
pour signer le
document
• Puis il détruit la clef
privée
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 28
29. La signature électronique à la volée
• Le document est
signé sur le serveur !
• A la prochaine
signature, un
nouveau certificat
sera généré
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 29
30. La « carte à puce virtuelle »
• Le signataire n’a pas
d’outil de signature
électronique
• Son certificat est
conservé sur le serveur
dans un espace
sécurisé (HSM)
• Le serveur lui présente
le contrat et il donne
son accord
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 30
31. • Le serveur vérifie
l’identité du
signataire en lui
envoyant un défi par
SMS
La « carte à puce virtuelle »
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 31
32. La « carte à puce virtuelle »
• Le document est
signé sur le serveur !
• A la prochaine
signature, le même
certificat sera utilisé
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 32
33. La signature sur tablette
• En agence, le client
visualise le contrat
• Il appose sa signature
manuscrite sur la tablette
• Une signature
électronique « à la
volée » est réalisée en
plus de la signature
manuscrite
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
33
34. Le cachet électronique
• Les documents sont
produits dans un processus
automatisé et envoyés au
serveur
• Le serveur dispose d’un
certificat, au nom de la
personne morale
• Le cachet électronique est
une « signature
électronique » de personne
morale
• Il peut être apposé
automatiquement
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
34
35. La tendance des tendances… la
« rematérialisation »
Prénom Nom
Adresse
Facture de prestations
De l’entreprise Tartempion
Valant justificatif de domicile
Prestations………………123 €
« Prénom Nom Adresse Tartempion 123€ »
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
35
36. Prénom Nom
Adresse
Facture de prestations
De l’entreprise Tartempion
Valant justificatif de domicile
Prestations………………123 €
Exploitation du code 2D-DOC
« Prénom Nom Adresse Tartempion 123€ »
Vérification technique
Vérification
visuelle
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
36
37. 2. Quelle signature électronique choisir ?
1. Le droit de la « démat »
2. L’absence de choix
3. Le choix
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 37
38. 2.1 LE DROIT DE LA DEMATERIALISATION
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 38
39. Les prérequis : Le droit de la « démat »
Le papier sauf …Le droit à
l’électronique
Le papier sauf … L’obligation de
dématérialiser
Le droit à la
dématérialisation
Loi du 13 mars
2000
Avant 2000
Loi du 21 juin 2004
(LCEN) Loi du 4 août
2008 de
modernisation
de l’économie
Convention de
preuve
ad
probationem
L’Etat s’oblige a
recevoir les factures
dématérialisées
ad
validitatem
Ordonnance du 8
décembre 2005
(e-administration)
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
39
40. Oui mais … 3 hypothèses
Le prémâché
Ex : Bull. Paie ou DPI
L’imposé – Ex : LRe
Le « libre » … pour l’instant
40Copyright Lexing 2014 ® Confidentiel Entreprise29/01/2014
41. Et même si c’est possible…
« Il n’y a pas que 1316-4 dans la vie … »
« Attendu que l'employeur fait grief à l'arrêt de dire le licenciement sans cause réelle et sérieuse,
alors, selon le moyen, que si une partie conteste l'authenticité d'un courrier électronique, il appartient
au juge de vérifier si les conditions mises par les articles 1316-1 et 1316-4 du code civil à la validité de
l'écrit ou de la signature électroniques sont satisfaites ;
qu'en affirmant que le gérant de la société AGL finances « est bien l'auteur et l'expéditeur » d'un
courrier électronique dont l'authenticité était contestée, aux motifs que l'employeur « ne rapport (ait)
pas la preuve que l'adresse de l'expéditeur mentionnée sur le courriel soit erronée ou que la boîte
d'expédition de la messagerie de l'entreprise ait été détournée » et qu'« en tout état de cause, un tel
détournement ne pourrait être imputé à Mme X... », sans vérifier, comme elle y était tenue, si ledit
courriel avait été établi et conservé dans des conditions de nature à en garantir l'intégrité et s'il
comportait une signature électronique résultant de l'usage d'un procédé fiable d'identification, la cour
d'appel a privé sa décision de base légale au regard des articles 287 du code de procédure civile,
1316-1 et 1316-4 du code civil ;
Mais attendu que les dispositions invoquées par le moyen ne sont pas applicables au courrier
électronique produit pour faire la preuve d'un fait, dont l'existence peut être établie par tous moyens de
preuve, lesquels sont appréciés souverainement par les juges du fond ; que le moyen n'est pas
fondé »
Cass Soc 25 sept 2013
41Copyright Lexing 2014 ® Confidentiel Entreprise29/01/2014
42. Mais rappelons d’emblée que …
• Preuve d’un droit ou preuve d’un fait ?
• Preuve libre ou preuve contrainte
– La preuve contrainte = civile
– La preuve libre … +- tout le reste
• Pénal, administratif, prud'homal
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
42
43. La question est donc …
1. En ai-je besoin ? (gestion investissement)
2. Qui peut le plus peut le moins… (gestion de risque)
43Copyright Lexing 2014 ® Confidentiel Entreprise29/01/2014
45. Un exemple de « non discussion »
Pour que les procédés de signature électronique mis à la
disposition des magistrats, des agents du greffe et des
personnes habilitées en vertu de l'article R. 123-14 du code de
l'organisation judiciaire soient présumés fiables au sens
de l'article 2 du décret du 30 mars 2001 susvisé, ils doivent
respecter les exigences du référentiel général de sécurité du
niveau trois étoiles (***). En outre, la signature doit être
sécurisée et être créée par un dispositif sécurisé certifié dans
les conditions prévues à l'article 3 du décret précité.
La procédure d'inscription et d'enregistrement des données
d'identification et d'habilitation de ces personnes est à l'initiative
et sous la responsabilité du ministère de la justice.
Arrêté du 18 octobre 2013 relatif à la signature électronique des décisions de justice rendues en
matière civile par la Cour de cassation
45Copyright Lexing 2014 ® Confidentiel Entreprise29/01/2014
46. Un autre exemple… moins « violent »
« Les actes des autorités administratives peuvent faire l'objet d'une signature
électronique. Celle-ci n'est valablement apposée que par l'usage d'un procédé,
conforme aux règles du référentiel général de sécurité mentionné au I de
l'article 9, qui permette l'identification du signataire, garantisse le lien de la
signature avec l'acte auquel elle s'attache et assure l'intégrité de cet acte. »
Ord. 2005-1516 du 8-12-2005 relative aux échanges électroniques entre les usagers et
les autorités administratives (Art 8)
« Les certificats électroniques délivrés aux autorités administratives et à leurs agents en
vue d'assurer leur identification dans le cadre d'un système d'information font l'objet d'une
validation par l'Etat dans des conditions précisées par décret. »
46Copyright Lexing 2014 ® Confidentiel Entreprise29/01/2014
48. Une réalité … complexe
• 4 concepts juridiques (Décret du 30 mars 2001)
– Simple
– Sécurisée + Numérique
– Présumée fiable
• des approches géographiques :
– Avancée (Dir 1999/93/CE du 13 décembre 1999) Sécurisée (Décret du
30 mars 2001)
– Digital signature / Electronic signature
• 3 réalités techniques au moins :
– RGS : une étoile (*)
– RGS : deux étoiles (**)
– RGS : trois étoiles (***)
3 DEGRÉS DE FIABILITÉ
=
3 SIGNATURES
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
48
49. Lorsque le choix est possible …
Clic
Signature électronique
Signature électronique sécurisée
Signature numérique
Signature électronique présumée fiable
49Copyright Lexing 2014 ® Confidentiel Entreprise29/01/2014
50. La méthode… de base
Création de la
preuve
• Un signataire / des signataires
• Un document / une succession de documents
• Mono canal / Multicanal
• Eloignement géographique
Administration
de la preuve
• Produire d’urgence (référé)
• Produire dans des conditions particulières (pénal ; entités de contrôle)
Gestion de la
contestation
• La SE présumée fiable – Risque fort de remise en cause de la preuve
• Montant important et risque de sclérose du dossier
• Le montant n’est pas l’élément déterminant (risque fort de remise en cause de contrat en
masse de faible montant)
• Attention aux faux espoirs - Expertise technique en perspective
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
50
51. Le choix d’une solution c’est aussi le choix
… d’un prestataire
Pré-requis
juridiques
Engagements
contractuels
Dispositions
légales cf LCEN
secteur
public/privé
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
51
52. Le choix d’une solution c’est aussi le choix..
d’un prestataire
Décision
Pré-requis
juridiques
&
techniques
Engagements
contractuels
Maintien de
normes et
certifications
Couverture
assurantielle
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
52
53. 3. Sécurisation juridique
1. La pierre angulaire
2. Sécurisation amont
3. Sécurisation en aval
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise 53
54. 3.1 LA PIERRE ANGULAIRE :
LA CONVENTION DE PREUVE
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
54
55. Approche légale
« Lorsque la loi n'a pas fixé d'autres principes, et à
défaut de convention valable entre les parties,
le juge règle les conflits de preuve littérale en
déterminant par tous moyens le titre le plus
vraisemblable, quel qu'en soit le support. »
C. civ. art 1316-2
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
55
56. Gradation des « pouvoirs »
Loi
Convention
Juge
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
56
57. Notion de « validité »
Fond
Opposabilité
Accès
B to C
B to B
A to C
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
57
58. Une vraie organisation …
Convention de preuve
Politique de
traçabilité
Politique
d’horodatage
Politique de
sécurité
Politique de
certification
Politique
d’archivage
Politique
XXX
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
58
59. Une autre question ...
Clause ? Contrat ?
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
59
61. La convention de preuve ne suffit pas, il faut
organiser la preuve et l’accès à la preuve
Dossier de
preuve
Chemin de
preuve
Convention de
preuve
Vision mise
en situation
Justification
technique
Socle
juridique Fondement
Organisation
de la preuve
Accès à la
preuve
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
61
63. Etude de
faisabilité
(possible ou non)
Etude d’impact
juridique
(Go no GO)
Socle juridique
(Secteur public –
Administration
électronique)
Audit juridique de
conformité
(legal opinion)
Politique de
gestion des
documents
électroniques
Conditions
d’accès plate-
forme
(on line)
Information du
personnel
Cnil
Assurances
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
63
64. Un risque de « bug juridique »
Ne pas confondre…
Convention de
preuve
Convention de
dématérialisation
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
64
65. 3.3 LE RUN JURIDIQUE
(SÉCURISATION EN AVAL)
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
65
68. Les fonctions de sécurité de la
dématérialisation
Signature
électronique
Gestion
d’identités
Certificats
Confidentialité
Archivage
Traçabilité
Horodatage
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
68
69. La sécurité : le rôle de chacun
• Les concepteurs d’applications doivent prendre en compte la sécurité…
• Mais une vision globale s’impose !
• Une implication et une attitude responsable de chacun des intervenants est
indispensable à l’efficacité des mesures de sécurité techniques et juridiques.
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
69
70. Pour en savoir plus …
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
70
71. Prochain petit-déjeuner débat
Elus locaux:
Comment protéger votre e-réputation
et le nom de votre collectivité
12 février 2014
animé par:
Virginie Bensoussan-Brulé & Claudine Salomon
29/01/2014 Copyright Lexing 2014 ® Confidentiel Entreprise
71