e-signature : ce qui change au niveau européen

La conférence « European forum on electronic signature » qui s'est tenue en Pologne début juin a été l'occasion de débattre du déploiement de la signature électronique. Désormais, chaque Etat membre devra publier une liste de confiance des autorités de certification d’ici à fin décembre.

La 9e édition de la conférence « European forum on electronic signature » qui s’est tenue en Pologne début juin a été l’occasion de faire le point sur les tendances, les retours d’expérience et les attentes en matière de signature électronique. Des annonces ont également été faites, notamment celle de la Commission européenne qui a demandé à ce que chaque Etat membre établisse une liste de confiance des autorités de certification d’ici au 28 décembre 2009. Par ailleurs, une étude a été lancée pour évaluer la faisabilité d’un système fédéré de validation des signatures. Dans la pratique, un nom à la fin d’un mail peut être considéré comme une signature. En cas de litige, ce serait ensuite au juge de décider de la validité de la signature en fonction du contexte. La forme la plus élaborée, surnommée la signature électronique qualifiée, remplit des exigences de sécurité précises et équivaut à une signature manuscrite. D’après la directive européenne qui date de 1999 (1999/93/EC), les critères de validité sont :

Toute modification du document doit être visible ;
Le moyen de signer doit rester sous seul contrôle de l’utilisateur ;
L’identification du signataire doit être non équivoque ;
Le certificat est délivré par une autorité de certification qualifiée.

La directive ne préconise aucune technologie en particulier. Mais dans la pratique, elle suppose l’utilisation d’une clé cryptographique intégrée à une carte à puce, remise en mains propres, avec un code personnel. Cependant, ce système requiert un lecteur sur son PC, ce qui rend le dispositif relativement coûteux. Il existe toutefois des versions plus accessibles avec une clé USB sécurisée (cf. encadré).

Une standardisation difficile

Résultat, le développement de la signature électronique est quelque peu freiné. Mais certains éléments devraient favoriser son déploiement. Ainsi, la directive service (art. 8) précise que les formalités d’enregistrement devront pouvoir se faire de manière électronique et à distance. Or cette procédure requiert souvent la signature d’un ou de plusieurs documents. Les marchés publics en ligne pourraient également contribuer à son développement (aucune date n’a pour l’instant été fixée par la Commission), tout comme la facturation électronique (dans certains Etats on doit signer les factures). Par ailleurs, de plus en plus de citoyens européens ont une carte d’identité électronique, ce qui facilitera la signature électronique. De fait, des prestataires vont probablement exiger la présence demain d’une signature, même s’ils s’en sont très bien passés jusqu’à présent. Autre frein de taille : les problèmes d’interopérabilité entre pays. Un écueil qui pourrait toutefois être résolu grâce à la fédération des autorités de certification nationales. Mais la normalisation de la signature reste très compliquée et la question du format reste entier. Toutefois, ce thème n’a pas encore été vraiment abordé par la Commission européenne. Aujourd’hui, les formats reconnus par l’Etsi (European telecommunications standards institute) sont le CAdES (CMS Advanced electronic signatures) et le XAdES (XML Advanced electronic signatures). Il existe aussi une norme ISO avec le format pdf. Des travaux sont en cours à l’Etsi en synergie avec l’ISO, pour combiner ces trois formats de signature. L’Etsi a récemment émis une recommandation pour changer l’algorithme de hachage, l’algorithme SHA-1 (Secure hash algorithm) ayant été cassé. Un concours public est d’ailleurs en cours aux Etats-Unis pour sélectionner un nouvel algorithme. Le hachage permet de réduire un long texte en un code significatif, un peu comme une clé RIB pour un compte en banque. Pour un document volumineux, cela permet de signer uniquement le hash et cela limite les problèmes de confidentialité lors d’une certification par un tiers.C.G.e-signature : ec.europa.eu Une clé USB démocratise la signature électronique

Keynectis a récemment lancé K.Sign for PDF, en partenariat avec Gemalto et Adobe. Cette solution offre une réponse simple et intuitive pour répondre aux besoins de signatures électroniques. Pour signer un document pdf, il suffit d’insérer sa clé USB cryptographique personnalisée K.Sign for PDF dans le port USB de son ordinateur. Une fenêtre s’ouvre pour demander un code PIN. L’utilisateur peut alors signer en quelques clics. Cette signature permet de garantir l’identité du signataire, l’intégrité du document (il n’a pas pu être modifié) et de l’horodater de façon sécurisée.