Sécuriser les échanges numériques

Le hachage d'un fichier consiste à générer à partir de celui-ci un message plus court appelé empreinte pour ce fichier et qui change au moindre changement dans le fichier. Le hachage est une fonction à sens unique : L'empreinte d'un fichier ne permet pas sa reconstitution.

La loi française de transposition du 13 mars 2000 insère l'article 1316-4 dans le Code civil qui confère à la signature électronique la même valeur juridique qu'une signature manuscrite : « La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte. Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'État ». Cette définition ne prend pas en compte les aspects techniques qui sont laissés à l'appréciation du pouvoir réglementaire jugé plus à même de réagir face à « la fugacité de l'état de la technique ».

Le décret du 30 mars 2001^[1] donne une définition du signataire, et distingue la signature électronique simple de la signature électronique sécurisée. La signature sera présumée juridiquement fiable si elle est sécurisée au sens du décret, ou avancée au sens de la directive de 1999 ; les deux expressions étant synonymes. Si elle n'a pas de force probante, la signature électronique simple peut néanmoins valoir commencement de preuve par écrit. Le décret distingue deux types de certificats qui correspondent aux deux catégories de signatures électroniques : le certificat électronique simple et le certificat électronique dit qualifié lorsqu'il contient certains éléments.

La signature électronique s'appuie sur une infrastructure de gestion de clés publiques (IGC) qui désigne à la fois un cadre organisationnel et une infrastructure technique. La technologie employée est celle de la cryptographie asymétrique. Le dispositif de création de la signature va émettre deux clés générées par un algorithme mathématique : une clé privée -qui est connue du seul signataire- et une clé publique -qui est accessible par tous. Le dispositif permet le chiffrement des données, c'est-à-dire leur transformation dans le but de les rendre inintelligibles. La clé privée -qui est personnelle- permet de signer électroniquement un document. Elle est stockée sur un support physique comme un disque dur d'ordinateur, une carte à puce ou une clé électronique. Son utilisation peut être combinée avec l'emploi d'un mot de passe, ou d'un système de reconnaissance des caractéristiques biométriques du signataire afin d'accroître le niveau de sécurisation. Lorsque l'on signe électroniquement un message, la signature électronique est créée grâce à la clé privée correspondant à la clé publique contenue dans le certificat. La personne qui a signé son message avec sa clé privée sera donc authentifiée, et ne pourra pas nier l'avoir envoyé.