Certification électronique

Les craintes inspirées par la dématérialisation des documents

Tout échange ou tout type de commerce sur un réseau informatique, et notamment sur Internet, nécessite une fonction qui permette aux parties en présence de s’identifier mutuellement. Une fois identifiées, les parties vont ensuite vouloir participer à des transactions, celles-ci consistant en des échanges de commandes, de factures, de paiements, et de documents en général.

Considérons, par exemple, le cas de l’achat d’actions sur Internet auprès d’un courtier. Le problème se pose pour le courtier et l’acheteur de s’identifier mutuellement, c’est-à-dire de s’assurer de l’identité du partenaire. Mais cela n’est pas suffisant : le courtier doit pouvoir prouver que l’acheteur a bien commandé un type et un nombre donné d’actions ; et l’acheteur doit être sûr que sa commande a bien été prise en compte par le courtier.

Afin d’atteindre, au cours d’échanges sur un réseau informatique, le même degré de confiance que dans la vie réelle où les documents physiques échangés sont munis d’une signature manuscrite, il est nécessaire de reproduire de façon électronique l’identification mutuelle des acteurs d’une transaction ainsi que la signature des documents qui lui sont liés.

L’identification électronique des acteurs de transactions

Comme nous le verrons plus loin dans cet article, l’identification par mot de passe, et même le chiffrement des informations échangées, ne suffisent pas à répondre au besoin décrit précédemment. La réponse est fournie par un processus de certification des acteurs de transactions s’appuyant sur un ensemble de composants et de fonctions constituant une Infrastructure de Gestion de Clés (IGC) et permettant une signature numérique des documents échangés.

Ce type de processus est déjà employé de façon opérationnelle aujourd’hui dans des échanges transactionnels, et notamment par les professionnels de santé pour transmettre les feuilles de soins électroniques à travers Internet. Les fonctions et les produits que nous allons décrire dans cet article vont permettre de réaliser tout autre type de commerce sur les réseaux, au sens large, débordant largement le cadre des relations avec l’administration publique.

Dans cet article, nous allons tout d’abord citer les exigences de sécurité imposées par la dématérialisation des échanges (à travers Internet par exemple) puis nous décrirons brièvement les techniques utilisées pour répondre à l’exigence d’authentification et par conséquent au besoin de certification.

Ensuite, nous présenterons la notion de certificat électronique ainsi que les fonctions des autorités de certification chargées de délivrer des certificats. Afin d’illustrer notre propos, nous présenterons quelques protocoles standards de communication ainsi que des applications pratiques faisant usage des certificats.

Nous insistons sur Internet parce que c’est le mode d’utilisation du réseau présentant le plus de risques en termes de sécurité. Cependant, puisque la certification s’applique à tout mode d’utilisation et à tout protocole de réseau, elle peut très bien être employée pour assurer l’identification d’utilisateurs d’une même entreprise sur un réseau Intranet.