Les compétences d'une infrastructure de gestion de clés publiques
Si le rôle principal d'une IGC est de produire des certificats électroniques, elle a également en charge des activités connexes, en rapport avec la sécurité informatique.
1. La création de certificats électroniques
La création des certificats électroniques des téléservices publics se conforme au standard X.509 établi par l'Union internationale des télécommunications (UIT). C'est l'autorité de certification (AC) qui peut créer et attribuer des certificats à la demande d'un ou plusieurs utilisateurs. Le droit français parle de prestataire de services de certification électronique (PSCE) pour désigner l'AC.
Exemple :
Il s'agit d'un tiers de confiance situé entre le demandeur du certificat -une administration par exemple- et son utilisateur -l'usager.
La demande de certificat est adressée, sous la forme d'un fichier numérique appelé CSR710, à une autorité d'enregistrement (AE) qui l'examine. L'AE a la responsabilité des tâches administratives relatives à la gestion des demandeurs et des porteurs de certificats, comme le contrôle de l'identité des porteurs de certificat. Les différents niveaux de ce contrôle entraînent la création de quatre types de certificats. Les certificats de classe 1 sont obtenus sans vérification d'identité, à l'aide d'un courriel. La classe 2 désigne les certificats qui font l'objet d'un contrôle des informations à caractère personnel fournies par le demandeur.
Exemple :
Il peut s'agir, par exemple, du numéro d'identifiant fiscal qui permet au contribuable de déclarer en ligne ses impôts sur le revenu.
Les certificats de classe 3 donnent lieu à une vérification physique des informations données et à un contrôle face à face. La classe 3+ est identique à la précédente, sauf que le certificat est stocké sur un support physique. Les certificats de classe 3 et 3+ sont nécessaires dans le cadre de la dématérialisation des procédures de contrôle de légalité et des circuits comptables et financiers alors que le certificat de classe 2 est admis pour l'achat public dématérialisé.
Les quatre classes entraînent quatre degrés de confiance des destinataires dans le certificat : plus le contrôle est élevé, plus on a l'assurance que le certificat est utilisé par la bonne personne. Si la demande est retenue par l'AE, elle est transmise à l'AC qui vérifie sa validité, et qui la signe avec sa propre clé privée. La signature a pour conséquence de transformer la CSR en un certificat électronique. Le certificat est ensuite publié par l'autorité de dépôt (AD) qui gère également la liste des certificats révoqués.
Conseils, trucs et astuces :
Un certificat peut être révoqué à tout moment, durant sa période de validité. La période de validité est variable ; s'agissant du certificat servant à la déclaration de l'impôt sur le revenu par exemple, sa durée est de trois ans. À l'expiration du délai de validité, le certificat peut être renouvelé, soit automatiquement, soit à la demande de son porteur. Les raisons d'une révocation sont multiples et peuvent tenir à la divulgation ou à la perte de la clé privée, ainsi qu'à l'existence d'informations fausses contenues dans le certificat. L'AC révoque alors le certificat en cause et transmet l'information au service de publication. L'utilisateur d'un certificat doit vérifier qu'un certificat qu'il entend utiliser n'a pas été révoqué.
2. Les services connexes
Attention :
Outre la délivrance de certificats électroniques, une IGC offre des services complémentaires qui favorisent la confiance des usagers : l'horodatage et l'archivage.
La possibilité de dater avec exactitude un acte unilatéral ou un contrat est primordiale pour la sécurité juridique des individus.
Exemple :
La date d'une décision administrative qui ouvre le délai de recours contentieux.
Attention :
La dématérialisation des échanges ne modifie pas l'impératif de datation.
Exemple :
La procédure de déclaration des impôts sur le revenu doit ainsi disposer d'un système permettant de dater avec certitude les déclarations. À défaut, les usagers risqueraient de devoir des pénalités à l'administration fiscale, ce qui aurait pour conséquence de porter atteinte à leur confiance dans cette téléprocédure. Le système permettant de dater avec certitude les échanges dématérialisés est l'horodatage.
Ce système « permet d'attester qu'une donnée existe à un instant donné »
.
Exemple :
Pour cela, il convient d'associer une représentation sans équivoque d'une donnée, par exemple une valeur de hachage associée à un identifiant d'algorithme de hachage, à un instant dans le temps. La garantie de cette association est fournie au moyen d'une contremarque de temps qui est une structure signée.
Il peut être réalisé selon différentes solutions techniques.
L'horodatage est assuré par l'autorité d'horodatage (AH). Il s'agit d'« une composante de l'IGC qui délivre et signe des contremarques de temps sur des données qui lui sont présentées »
.
Attention :
L'AH est neutre par rapport aux opérations techniques et elle ne vérifie pas l'identité des personnes demandant l'horodatage.
Ce tiers de confiance peut également assumer les fonctions d'archivage électronique. Il peut être utile dans le cadre d'un contentieux de prouver l'existence des pièces relatives à la certification. Cette possibilité est offerte grâce à l'archivage électronique de ces données.
Attention :
Les archives peuvent être définies comme « l'ensemble des documents, quels que soient leur date, leur forme et leur support matériel, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité »
.
La notion d'archives s'applique donc quelle que soit la nature du document concerné. Malgré des travaux de normalisation portant sur l'intégrité et la fiabilité des documents archivés, et de quelques dispositions juridiques figurant dans des textes concernant la certification au sens large, il n'y a pas de cadre juridique spécifique pour les archives électroniques.
La directive européenne du 13 décembre 1999 dispose ainsi que les prestataires de services doivent « enregistrer toutes les informations pertinentes concernant un certificat qualifié pendant le délai utile, en particulier pour pouvoir fournir une preuve de la certification en justice. Ces enregistrements peuvent être effectués par voie électronique »
et « utiliser des systèmes fiables pour stocker les certificats »
.
Remarque :
La directive ne donne cependant pas de précision sur la fiabilité exigée pour le stockage des certificats.
Le décret du 30 mars 2001 est tout aussi vague en énonçant qu'un PSCE doit « conserver, éventuellement sous forme électronique, toutes les informations relatives au certificat électronique qui pourraient s'avérer nécessaires pour faire la preuve en justice de la certification électronique »
. C'est donc aux référentiels qu'incombe la définition des précisions techniques relatives à l'archivage électronique. La matière constitue un défi juridique et technique majeur, dans la mesure où il faut que l'acte archivé conserve sa valeur juridique dans le temps.
Attention :
Le référentiel parle d'ailleurs d'archivage électronique sécurisé. Il s'agit de « l'ensemble des modalités de conservation et de gestion des archives électroniques ayant une valeur juridique lors de leur établissement ; cet archivage garantissant la valeur juridique jusqu'au terme du délai durant lequel des droits y afférents peuvent exister »
.
