Depuis des siècles, signer un document semble un acte très personnel. Nous sommes les seuls à avoir le droit de signer en notre nom et nous réalisons cette opération avec notre cerveau, notre main et un crayon. Depuis vendredi 30 mars, le gouvernement français a décidé qu’à l’avenir, tout cela allait changer. Il vient en effet de publier les décrets d’application de la loi sur la signature électronique, votée en mars 2000.

Marque de stylo imposée

Désormais, dans le monde numérique, vous allez devoir vous adresser à un tiers de confiance qui mettra à disposition les outils que vous utiliserez pour signer. C’est un peu comme si on nous imposait une marque de stylo. Pour qu’une signature électronique soit reconnue, il faudra en effet qu’elle repose sur un certificat électronique qualifié. Et qui fournit le certificat "qualifié" ? Le "prestataire de services de certification électronique" (PSCE). La concurrence sera rude. Tout le monde peut demander à être reconnu PSCE et certains pourront le devenir en répondant à quelques critères. Le ministère de l’Industrie indiquera qui est apte à certifier les certificateurs.

Business à tous les étages

Vous êtes déjà perdus ? Ce n’est pourtant qu’un début. La mise en place de systèmes de PKI (Public Key Infrastructure), ou modèles de certification, est toujours un challenge. Le General Accounting Office, l’équivalent américain de notre Cour des comptes, rendait en février dernier un rapport sur ce sujet et titrait l’un de ses principaux chapitres Full PKI Implementation Faces Many Formidable Challenges. En français : "La mise en place d’un PKI en bute à des défis énormes". Rien de moins. En France, on ne recule devant rien. Et pour (re ?) lancer le commerce électronique, les gouvernements successifs ont tous vendu (ou acheté) l’idée de la création d’une signature numérique. Il ne s’agit pas seulement de disposer d’un outil de signature permettant de prouver que l’on est bien l’auteur d’un texte, mais aussi et surtout de pouvoir faire du business en ligne. À tous les étages. L’un des points du décret (chapitre III, i) précise même que le "montant maximum des transactions pour lesquelles ce certificat peut être utilisé" devra être mentionné dans ledit certificat... Mais le principal commerce qui va être relancé par cette mesure sera sans doute celui des incontournables "prestataires de services de certification électronique".

Mon PGP vaut bien ton bidule

A-t-on besoin d’une entreprise pour stocker les certificats ? La question se pose. Depuis belle lurette, ceux qui souhaitent s’identifier et se reconnaître le font en utilisant le standard de cryptographie PGP et sa version libre, GnuPG. Qui aurait confié un sceau à un tiers au Moyen Age lorsque celui-ci servait déjà à authentifier les transactions ? Par ailleurs, le décret ouvre la boîte de Pandore. En effet, on peut raisonnablement imaginer que très rapidement, des PSCE seront certifiés sans un contrôle ultra pointilleux. Il suffira d’être une entreprise ayant pignon sur rue pour le devenir. Mais, attention, au moindre faux-pas, il sera assez facile à un client mécontent de faire retirer son agrément à un PSCE (Chapitre II, Art. 9, II). Car les règles, très strictes, seront sans doute difficiles à tenir sur le long terme. Les décrets imposent, par exemple, au certificateur de permettre à toute "personne à qui le certificat électronique a été délivré de [pouvoir le] révoquer sans délai et avec certitude". Mais aussi d’employer "du personnel ayant les connaissances, l’expérience et les qualifications nécessaires à la fourniture de services de certification électronique" et "d’appliquer des procédures de sécurité appropriées". Il suffira donc qu’un problème de sécurité mettant en péril la qualité des certificats intervienne pour que le PSCE perde sa qualification. Qu’adviendra-t-il des certificats émis ? Seront-ils tous déclaré nuls ? Même les meilleurs (ils ont une expérience de plusieurs années) se font avoir : il fut possible de soutirer à Verisign de vrais faux certificats Microsoft. Dès lors, on voit mal comment un problème ne pourrait pas arriver dans notre beau pays ou dans l’Union européenne. À moins que les "frontières" ayant naguère stoppé le nuage de Tchernobyl aient une cyber-transcription ?

*En attendant le jour très hypothétique où je ferais appel à une tierce personne pour signer mes documents, je vous propose ma bonne vieille clef PGP :

BEGIN PGP PUBLIC KEY BLOCK-----

mQGiBDrIQYURBADtvlcI96qXvtqbVRkHtXtMts+cF6kRnmWQcmDKq9ePhhLW3Qzo

mqzYYF2vQJHWwNeMk0A5+wwsfmnS8sp4hBivYPa8qFIbwED2JNJMIcs3SiU8ULC5

PDj7bLNMxz2liENWxtxN2XaZ7UIFb5wVk8USnbviG8N4IfMD8TF5qp4XzQCg/5tS

UbQbXN68K/fF3v0ujN5mEpUD/2tfrLWO77h9D94ESRyGkqk25vVXyZ22nBWp8r5E

Zv5OU+k+oNjyZghiN13b5ta3LPL2y53JzkZWanZU/rLmkuSbVllVyDUOqBF1/l5n

45XMUkNROGwBJXB3/8G3MVGQXEEeb4DuSzWOc9SrfNZvQV7WBXWog2vDoehdJmXL

ACoDBACiwhmrhmY8DzsJVTKfRyKf4Ug9UPMubylhmqpJLvq9QEWi67FuMmb7xdGX

nB9iRTy+NdJWhxm6iGtheQUhQ3bs6l0diBI8lsyHcGSzwT1rysBXoBitquFMzbQ2

cJXXV+MT5o2IRysWGbtmNtRJS90mJqc7pswRn2vjCqmm48Tzh7QrQW50b2luZSBD

aGFtcGFnbmUgPGNoYW1wYWduZUB0cmFuc2ZlcnQubmV0PokASwQQEQIACwUCOshB

hQQLAwECAAoJEOKXyYrc7y6E274An1eePDPtyDUNHWATMEtQcvfOjfqMAJwMNrOB

dQ1HsxPXGHa4xy1ew1n+x7kCDQQ6yEGFEAgA9kJXtwh/CBdyorrWqULzBej5UxE5

T7bxbrlLOCDaAadWoxTpj0BV89AHxstDqZSt90xkhkn4DIO9ZekX1KHTUPj1WV/c

dlJPPT2N286Z4VeSWc39uK50T8X8dryDxUcwYc58yWb/Ffm7/ZFexwGq01uejaCl

cjrUGvC/RgBYK+X0iP1YTknbzSC0neSRBzZrM2w4DUUdD3yIsxx8Wy2O9vPJI8BD

8KVbGI2Ou1WMuF040zT9fBdXQ6MdGGzeMyEstSr/POGxKUAYEY18hKcKctaGxAMZ

yAcpesqVDNmWn6vQClCbAkbTCD1mpF1Bn5x8vYlLIhkmuquiXsNV6TILOwACAgf/

XKzjqm6pvg4oFeqJFi4DpK1S7daZ+BEuyhOtky678H201wb5FlAmeupsYyB/tDPo

r9tuopKudhYu6mCfJpCkKzmkTerCMeiNtNoV3qaHztY981WiwzPTYFUS5G+oQCct

ZkkbkyqaplucE4dIdc8mgDht3IJ2UeqxOwnZCo+SbMJdpUZzAlOhhn+qC6Usoz5s

1gyy1bG49ojfjGzDeRbCBDxxUtmTrZHGAklEP0uqHVIvVV3OWW9XeJKwGyncwHIn

9EAeZZcDDUP6PDhcYTSQkp63GwmxmbxHzk/pTT9YuXn82RW46J65d4LqD8AFalv8