Close
  • Français
  • English

La sécurisation de l’identité numérique passe par les certificats électroniques [Par Thierry Piette-Coudol, Avocat au barreau de Paris]

C’est une position affirmée du Référentiel Général de Sécurité de l’administration française ainsi que du projet de Règlement européen sur les services de confiance. Les échanges électroniques professionnels réclament, en effet, des mesures de sécurité techniques et juridiques pour assurer la confiance indispensable. Le contexte sécuritaire actuel se caractérise par l’intervention des Tiers Certificateurs. Mettant en œuvre une infrastructure de sécurité, ils délivrent des certificats électroniques. Cantonnés au départ à la signature électronique, les certificats irriguent désormais les Services de confiance, reconnus par le Référentiel Général de Sécurité (RGS) comme par le prochain Règlement Européen sur les services de confiance.

Le certificat, la signature électronique et leur validité juridique

Les relations juridiques les plus sûres concernent des personnes en présence physique l’une de l’autre. Ce qui permet de contrôler de visu qui donne sa parole à qui et pour quoi, avec encore quelques assurances sur le moment, voire le lieu de l’engagement réciproque. Dans ces relations si le contenu ou le contexte devient large ou complexe, on le formalise par un document papier, généralement muni d’une ou plusieurs signatures. En revanche dans les échanges électroniques, les relations juridiques se déroulent par nature entre personnes absentes, d’où des problèmes de sécurité juridique évidents. Les besoins sécuritaires évoqués ci-dessus sont en fait communs au Droit et à la Technique. Après les moyens de sécurité classiques des télécommunications (réseau sécurisé, sécurité des terminaux, etc.), les échanges électroniques par Internet mettent en œuvre des moyens sécuritaires fournis par des intermédiaires spécialisés, les Tierces Parties de Confiance dont les représentants les plus classiques sont les “tiers certificateurs”. L’évolution actuelle du concept résulte de la convergence de plusieurs éléments :

[list style=’arrow’]
[list_item] les études sécuritaires de l’Echange de Données Informatisé (EDI) au sein du CEFACT (norme EDIFACT) des Nations Unies, [/list_item]
[list_item] la norme X.509 V3 de l’UIT pour la sécurité technique (certificat et infrastructure de sécurité), [/list_item]

[list_item] les travaux juridiques américains de l’American Bar Association (ABA/SciTech) sur la “signature digitale” et sa dimension juridique [/list_item]
[/list]

Le dernier point montre la parenté entre le certificat et la signature électronique. Il fallait encore parvenir à la reconnaissance juridique de la signature électronique, c’est-à-dire la reconnaissance de son équivalence avec la signature manuscrite. Une signature électronique à valeur juridique comme l’a conçu l’ABA, la CNUDCI (Commission des Nations Unies pour le Développement du Droit Commercial International) et l’Union Européenne recouvre une infrastructure de sécurité (dite PKI), un prestataire de certification (AC, PSCE), des certificats électroniques, des logiciels de signature électronique et naturellement, une reconnaissance juridique formelle (Directive européenne et en France, Code civil et Ordonnance n°2005-1516).

Ainsi le Code civil, transposant la Directive n°1999-9 du 13 décembre 1999 sur un cadre communautaire pour les signatures électroniques, comporte un article 1316-4 en ce sens. Son texte d’application, le Décret n°2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du Code Civil et relatif à la signature électronique indique dans son article 5.9 : “Certificat électronique : un document sous forme électronique attestant du lien entre les données de vérification de signature électronique et un signataire”. Pour le secteur public, l’Ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives prescrit dans son article 10 : “Les certificats électroniques délivrés aux autorités administratives et à leurs agents en vue d’assurer leur identification dans le cadre d’un système d’information font l’objet d’une validation par l’Etat dans des conditions précisées par décret”.  L’utilisation des certificats électroniques dans les relations en direction ou en provenance de l’administration est ainsi établie. Quant au décret annoncé, c’est lui qui définit le certificat : “Fichier électronique attestant qu’un biclé appartient à une personne physique, une personne morale, un élément matériel ou un logiciel identifié, directement ou indirectement (pseudonyme)“.  Différents types de certificats étant nécessaires, l’Ordonnance en prescrit l’organisation globale par le RGS dans l’article 9-I : “Un référentiel général de sécurité fixe les règles que doivent respecter les fonctions des systèmes d’information contribuant à la sécurité des informations échangées par voie électronique telles que les fonctions d’identification, de signature électronique, de confidentialité et d’horodatage”.

Un certificat électronique incluant le nom du porteur

Dans les échanges électroniques sur Internet, les utilisateurs réclament de plus en plus la mise en place d’une identification contrôlée. Le certificat électronique contient l’identité de son porteur, mais le degré de précision dans l’identification est à apprécier. Faut-il renseigner cette donnée du certificat avec le nom d’état civil du porteur si une autre forme du nom est suffisante (notamment le pseudonyme) ? La signature manuelle permet une certaine identification du signataire quoique le nom du signataire ne soit pas toujours lisible dans le graphisme. Il faut ici considérer la nature du composant technique qui permet l’identification dans la signature électronique, le biclé cryptographique. La clé privée et la clé publique qui le composent ne sont, après tout, que deux données numériques. Comment s’assurer que ces données appartiennent à une entité déterminée ? C’est le rôle du Prestataire de Service de Certification Electronique (PSCE ou AC) dont l’intervention garantit l’authentification du porteur et qui produit le certificat. Le certificat électronique est employé pour témoigner de l’adéquation entre l’identité du signataire et sa clé cryptographique publique.

Parmi les informations sur l’exactitude desquelles les PSCE engagent leur responsabilité, figure naturellement l’identité du demandeur de certificat, donnée qu’il doit rapprocher de la clé publique avant d’émettre le certificat. Le régime de responsabilité des PSCE prévu par la Directive 1999-93 sur la Signature Electronique a été transposé dans le droit français par l’article 33 de la Loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN). Le premier alinéa de l’article consacré à leur responsabilité pose le principe d’une présomption de responsabilité des prestataires pour les préjudices subis par les “personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés…”.  Mais ce régime de présomption de responsabilité ne s’applique qu’en présence de certificats dits qualifiés, la catégorie de la plus grande efficacité juridique basée sur une classe 3+.

Sur le marché, l’identification dans les certificats électroniques se décline en plusieurs niveaux de sécurisation. Les certificateurs du marché possèdent une gamme plus ou moins importante de certificats à leur catalogue dont chaque classe correspond à une précision plus ou moins grande dans la vérification de l’identité du demandeur de certificat. Quand un demandeur souhaite l’émission d’un certificat, il spécifie la classe désirée. Le certificat indique d’ailleurs parmi ses mentions internes à quelle classe il appartient. Cette classification provient de l’offre commerciale présentée par la société américaine VeriSign. La gamme de certificats de VeriSign comprenait dès l’origine trois classes qui ont servi de base à un standard de fait sur le marché :

[list style=’arrow’]
[list_item] Les certificats de classe 1 ne confirment que le nom déclaré de l’utilisateur (ou l’alias) et l’adresse email d’une façon non ambiguë, [/list_item]
[list_item] Les certificats de classe 2, utilisés par les personnes, confirment que les informations d’identité fournies par le signataire ne rentrent pas en conflit avec les informations présentes dans les bases de données publiques (américaines) courantes, [/list_item]

[list_item] Les certificats de classe 3 sont délivrés aux personnes physiques et morales. [/list_item]
[/list]

Le demandeur de certificat doit prouver son identité au certificateur, comme le prescrivent les textes européens et français. La vérification des documents justificatifs est souvent opérée par un agent spécialisé, mandaté par le PSCE, appelé dans la terminologie des Infrastructures à clés publiques, autorité d’enregistrement (AE). Pour dresser une liste des pièces d’identité admissibles, il est possible de retenir le Décret n°2000-1277 du 26 décembre 2000 portant simplification de formalités administratives et suppression de la fiche d’état civil révisé qui énumère les documents par lesquels les administrations vérifient l’identité des usagers. Aux documents d’identité, il faudra peut-être ajouter d’autres justificatifs démontrant l’appartenance du demandeur à l’entreprise ou à la structure d’exercice, l’autorisation de celle-ci pour s’enregistrer, etc. Enfin, les justificatifs devront être produits devant l’AE au cours d’une rencontre systématique entre le demandeur et l’AE, appelée face à face. Cette rigueur dans les pièces demandées et dans les contrôles a permis, notamment aux certificateurs français qui se positionnent dans le cadre de la signature électronique à finalité juridique, d’ajouter une classe “3+” à leur gamme de certificats à la typologie standard de VeriSign. La classe 3+ des certificats est généralement le moyen le plus précis et rigoureux d’identifier les personnes selon l’état civil et d’éviter au maximum toute usurpation d’identité. Une caractéristique de la classe 3+ est le confinement du certificat électronique dans un support cryptographique externe (de type carte bancaire ou clé USB) qui a remplacé le dépôt sur le disque dur du porteur. Aujourd’hui le RGS utilise une graduation du niveau sécuritaire des certificats en étoiles. Le nombre d’étoiles correspond au danger potentiel d’usurpation d’identité, un risque à apprécier par l’autorité administrative qui a le projet de lancer un téléservice.

Bilan français des certificats et perspective européenne…

Au total, le droit civil se limite au certificat de signature électronique. Plus largement, le RGS englobe certificat de signature de personne physique et de personne morale, certificat d’authentification (pour les téléprocédures). Les deux ensembles juridiques connaissent le certificat d’horodatage (dit encore “contremarque de temps”) d’une part, dans le RGS et d’autre part, dans le Décret n° 2011-434 du 20 avril 2011 relatif à l’horodatage des courriers expédiés ou reçus par voie électronique pour la conclusion ou l’exécution d’un contrat par application de l’art. 1319-8 du Code civil.

Dans un futur proche, une partie de la réglementation nationale devra composer avec le Règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur en cours d’examen par le Parlement européen. Le texte du projet définit le certificat dans son article 3.10 : “une attestation électronique qui associe les données de validation d’une signature ou d’un cachet électronique à une personne physique ou une personne morale respectivement et confirme les données de cette personne”. A son tour, ce certificat électronique, qui connaîtra une force supérieure s’il est “qualifié”, se déclinera en certificat de signature, en cachet électronique (pour les personnes morales), en certificat d’horodatage ou en certification de sites Web, le tout sous l’égide de l’Identité numérique, le volet du Règlement Européen qui précède le volet de la confiance. Le certificat électronique outil de confiance développé pour les échanges électroniques professionnels (B to B ou B to A) sera un moyen de choix dans la lutte contre la cyber-délinquance.

Thierry PIETTE-COUDOL,

Avocat au barreau de Paris

Plus d’informations dans nos articles publiés à la Revue Lamy du Droit de l’Immatériel :

Une législation européenne pour la signature électronique (à propos du règlement européen sur l’identification électronique et les services de confiance)“, RLDI n° 84, étude 2838 (juillet 2012).

L’identité numérique et les certificats électroniques“, RLDI n°95, étude 3170 (juillet 2013).