INTRODUCTION
Les craintes inspirées par la dématérialisation des documents
Tout échange ou tout type de commerce sur un réseau informatique, et notamment sur Internet, nécessite une fonction qui permette aux parties en présence de s'identifier mutuellement. Une fois identifiées, les parties vont ensuite vouloir participer à des transactions, celles-ci consistant en des échanges de commandes, de factures, de paiements, et de documents en général.
Considérons, par exemple, le cas de l'achat d'actions sur Internet auprès d'un courtier. Le problème se pose pour le courtier et l'acheteur de s'identifier mutuellement, c'est-à-dire de s'assurer de l'identité du partenaire. Mais cela n'est pas suffisant : le courtier doit pouvoir prouver que l'acheteur a bien commandé le type et le nombre donné d'actions ; et l'acheteur doit être sûr que sa commande a bien été prise en compte par le courtier.
Afin d'atteindre, au cours d'échanges sur un réseau informatique, le même degré de confiance que dans la vie réelle où les documents physiques échangés sont munis d'une signature manuscrite, il va falloir être capable de reproduire de façon électronique l'identification mutuelle des acteurs d'une transaction ainsi que la signature des documents liés à cette transaction.
L'identification électronique des personnes
Comme nous le verrons plus loin dans ce document, l'identification par mot de passe, et même le chiffrement des informations échangées, ne suffisent pas à répondre au besoin décrit précédemment. La réponse est fournie par un processus de certification des utilisateurs s'appuyant sur un ensemble de composants et de fonctions constituant une infrastructure de gestion de clés et permettant une signature numérique des documents échangés.
Ce type de processus est déjà employé de façon opérationnelle aujourd'hui dans des échanges transactionnels, et notamment pour la déclaration de l'impôt sur le revenu des personnes physiques (IRPP) à travers Internet. Les fonctions et les produits que nous allons décrire vont permettre de réaliser tout autre type de commerce sur les réseaux, au sens large, débordant largement le cadre des relations avec l'administration publique.
Dans ce document, nous allons tout d'abord citer les exigences de sécurité imposées par la dématérialisation des échanges (à travers Internet par exemple) puis nous décrirons brièvement les techniques utilisées pour répondre à l'exigence d'identification et par conséquent au besoin de certification.
Ensuite, nous présenterons la notion de « certificat électronique » ainsi que les fonctions des autorités de certification chargées de délivrer des certificats. Afin d'illustrer notre propos, nous présenterons quelques protocoles standard de communication ainsi que des applications pratiques faisant usage des certificats.
Nous insistons sur Internet parce que c'est le mode d'utilisation du réseau présentant le plus de risques en terme de sécurité. Mais puisque la certification s'applique à tout mode d'utilisation et à tout protocole de réseau, elle peut très bien être employée pour assurer l'identification d'utilisateurs d'une même entreprise sur un réseau Intranet.
