Le gouvernement a enfin publié les décrets d’application relatifs à la signature électronique. Mais pas question de signer soi-même : la signature devient un business.
Depuis des siècles, signer un document semble un acte très personnel. Nous sommes les seuls à avoir le droit de signer en notre nom et nous réalisons cette opération avec notre cerveau, notre main et un crayon. Depuis vendredi 30 mars, le gouvernement français a décidé qu’à l’avenir, tout cela allait changer. Il vient en effet de publier les décrets d’application de la loi sur la signature électronique, votée en mars 2000.
Marque de stylo imposée
Désormais, dans le monde numérique, vous allez devoir vous adresser à un tiers de confiance qui mettra à disposition les outils que vous utiliserez pour signer. C’est un peu comme si on nous imposait une marque de stylo. Pour qu’une signature électronique soit reconnue, il faudra en effet qu’elle repose sur un certificat électronique qualifié. Et qui fournit le certificat "qualifié" ? Le "prestataire de services de certification électronique" (PSCE). La concurrence sera rude. Tout le monde peut demander à être reconnu PSCE et certains pourront le devenir en répondant à quelques critères. Le ministère de l’Industrie indiquera qui est apte à certifier les certificateurs.
Business à tous les étages
Vous êtes déjà perdus ? Ce n’est pourtant qu’un début. La mise en place de systèmes de PKI (Public Key Infrastructure), ou modèles de certification, est toujours un challenge. Le General Accounting Office, l’équivalent américain de notre Cour des comptes, rendait en février dernier un rapport sur ce sujet et titrait l’un de ses principaux chapitres Full PKI Implementation Faces Many Formidable Challenges. En français : "La mise en place d’un PKI en bute à des défis énormes". Rien de moins. En France, on ne recule devant rien. Et pour (re ?) lancer le commerce électronique, les gouvernements successifs ont tous vendu (ou acheté) l’idée de la création d’une signature numérique. Il ne s’agit pas seulement de disposer d’un outil de signature permettant de prouver que l’on est bien l’auteur d’un texte, mais aussi et surtout de pouvoir faire du business en ligne. À tous les étages. L’un des points du décret (chapitre III, i) précise même que le "montant maximum des transactions pour lesquelles ce certificat peut être utilisé" devra être mentionné dans ledit certificat... Mais le principal commerce qui va être relancé par cette mesure sera sans doute celui des incontournables "prestataires de services de certification électronique".
Mon PGP vaut bien ton bidule
A-t-on besoin d’une entreprise pour stocker les certificats ? La question se pose. Depuis belle lurette, ceux qui souhaitent s’identifier et se reconnaître le font en utilisant le standard de cryptographie PGP et sa version libre, GnuPG. Qui aurait confié un sceau à un tiers au Moyen Age lorsque celui-ci servait déjà à authentifier les transactions ? Par ailleurs, le décret ouvre la boîte de Pandore. En effet, on peut raisonnablement imaginer que très rapidement, des PSCE seront certifiés sans un contrôle ultra pointilleux. Il suffira d’être une entreprise ayant pignon sur rue pour le devenir. Mais, attention, au moindre faux-pas, il sera assez facile à un client mécontent de faire retirer son agrément à un PSCE (Chapitre II, Art. 9, II). Car les règles, très strictes, seront sans doute difficiles à tenir sur le long terme. Les décrets imposent, par exemple, au certificateur de permettre à toute "personne à qui le certificat électronique a été délivré de [pouvoir le] révoquer sans délai et avec certitude". Mais aussi d’employer "du personnel ayant les connaissances, l’expérience et les qualifications nécessaires à la fourniture de services de certification électronique" et "d’appliquer des procédures de sécurité appropriées". Il suffira donc qu’un problème de sécurité mettant en péril la qualité des certificats intervienne pour que le PSCE perde sa qualification. Qu’adviendra-t-il des certificats émis ? Seront-ils tous déclaré nuls ? Même les meilleurs (ils ont une expérience de plusieurs années) se font avoir : il fut possible de soutirer à Verisign de vrais faux certificats Microsoft. Dès lors, on voit mal comment un problème ne pourrait pas arriver dans notre beau pays ou dans l’Union européenne. À moins que les "frontières" ayant naguère stoppé le nuage de Tchernobyl aient une cyber-transcription ?
*En attendant le jour très hypothétique où je ferais appel à une tierce personne pour signer mes documents, je vous propose ma bonne vieille clef PGP :
BEGIN PGP PUBLIC KEY BLOCK-----
mQGiBDrIQYURBADtvlcI96qXvtqbVRkHtXtMts+cF6kRnmWQcmDKq9ePhhLW3Qzo
mqzYYF2vQJHWwNeMk0A5+wwsfmnS8sp4hBivYPa8qFIbwED2JNJMIcs3SiU8ULC5
PDj7bLNMxz2liENWxtxN2XaZ7UIFb5wVk8USnbviG8N4IfMD8TF5qp4XzQCg/5tS
UbQbXN68K/fF3v0ujN5mEpUD/2tfrLWO77h9D94ESRyGkqk25vVXyZ22nBWp8r5E
Zv5OU+k+oNjyZghiN13b5ta3LPL2y53JzkZWanZU/rLmkuSbVllVyDUOqBF1/l5n
45XMUkNROGwBJXB3/8G3MVGQXEEeb4DuSzWOc9SrfNZvQV7WBXWog2vDoehdJmXL
ACoDBACiwhmrhmY8DzsJVTKfRyKf4Ug9UPMubylhmqpJLvq9QEWi67FuMmb7xdGX
nB9iRTy+NdJWhxm6iGtheQUhQ3bs6l0diBI8lsyHcGSzwT1rysBXoBitquFMzbQ2
cJXXV+MT5o2IRysWGbtmNtRJS90mJqc7pswRn2vjCqmm48Tzh7QrQW50b2luZSBD
aGFtcGFnbmUgPGNoYW1wYWduZUB0cmFuc2ZlcnQubmV0PokASwQQEQIACwUCOshB
hQQLAwECAAoJEOKXyYrc7y6E274An1eePDPtyDUNHWATMEtQcvfOjfqMAJwMNrOB
dQ1HsxPXGHa4xy1ew1n+x7kCDQQ6yEGFEAgA9kJXtwh/CBdyorrWqULzBej5UxE5
T7bxbrlLOCDaAadWoxTpj0BV89AHxstDqZSt90xkhkn4DIO9ZekX1KHTUPj1WV/c
dlJPPT2N286Z4VeSWc39uK50T8X8dryDxUcwYc58yWb/Ffm7/ZFexwGq01uejaCl
cjrUGvC/RgBYK+X0iP1YTknbzSC0neSRBzZrM2w4DUUdD3yIsxx8Wy2O9vPJI8BD
8KVbGI2Ou1WMuF040zT9fBdXQ6MdGGzeMyEstSr/POGxKUAYEY18hKcKctaGxAMZ
yAcpesqVDNmWn6vQClCbAkbTCD1mpF1Bn5x8vYlLIhkmuquiXsNV6TILOwACAgf/
XKzjqm6pvg4oFeqJFi4DpK1S7daZ+BEuyhOtky678H201wb5FlAmeupsYyB/tDPo
r9tuopKudhYu6mCfJpCkKzmkTerCMeiNtNoV3qaHztY981WiwzPTYFUS5G+oQCct
ZkkbkyqaplucE4dIdc8mgDht3IJ2UeqxOwnZCo+SbMJdpUZzAlOhhn+qC6Usoz5s
1gyy1bG49ojfjGzDeRbCBDxxUtmTrZHGAklEP0uqHVIvVV3OWW9XeJKwGyncwHIn
9EAeZZcDDUP6PDhcYTSQkp63GwmxmbxHzk/pTT9YuXn82RW46J65d4LqD8AFalv8