Comment faire une signature électronique ?

Avec l'avènement des systèmes informatiques et la dématérialisation, la signature électronique est devenue une nécessité. Tout comme la signature manuscrite, elle permet de valider la conformité d'un document. Dans un monde qui s'oriente vers le tout-numérique, la signature électronique devient donc un élément incontournable.

Ce dossier vise à expliquer de façon simple ce qu'est une signature électronique, quels en sont les avantages et les inconvénients, et les techniques mises en place pour les sécuriser. Vulgarisé pour être accessible au grand public, la lecture de cet article ne demande pas de connaissances techniques en cryptographie ou en programmation.

Signature électronique et législation

Avant toute chose, il faut savoir qu'une signature électronique - parfois appelée signature numérique - n'a pas d'apparence visuelle comme une signature manuscrite. La signature numérique telle qu'elle existe actuellement est une suite de caractères (lettres et chiffres confondus) qui apparaît sur un document de type mail, PDF ou dans des applications spécifiques à certains métiers.



Il faudra attendre 1999 pour qu'en Europe les signatures électroniques soient officiellement reconnues par la loi, avec la mise en place de la directive 1999/93/CE. Elles prennent alors la même valeur qu'une signature manuscrite lors d'un accord entre deux parties. En France, la loi n° 2000-230 parue le 13 mars 2000 et son décret n° 2001-272 du 30 mars 2001 viennent officialiser l'usage de la signature électronique dans notre pays.

Des organismes spécialisés sont alors créés pour délivrer des certificats numériques validant l'authenticité des diverses signatures électroniques. Ces certificats sont comme une carte d'identité contenant toutes les informations privées et publiques nécessaires à l'émission d'une signature électronique. Un problème se pose cependant : chaque pays gère ses certificats électroniques à sa façon. Heureusement, dès le 1er juillet 2016, un nouveau règlement européen vient clarifier les choses, permettant d'homogénéiser les diverses normes de signature électronique au sein de l'Union européenne. La gestion des documents dans l'UE se voit donc simplifiée. En revanche, il n'en va pas de même pour les pays hors-UE.

Pour terminer cette partie sur la législation, une petite précision s'impose : la signature numérique ne doit pas être confondue avec la signature numérisée faite par exemple avec un stylet sur une tablette. Bien que cette dernière soit aussi reconnue légalement depuis 2010, elle n'est pas l'objet de cet article.

Comment fonctionne une signature électronique ?

Sur le papier, l'utilisation d'une signature électronique semble aussi simple que d'apposer un gribouillis sur un chèque. Il n'en est rien en réalité. Un système de signature numérique requiert la mise en place de sécurités informatiques faisant appel à la cryptographie. L'opération est invisible pour l'utilisateur qui de son côté doit simplement utiliser un logiciel ou un appareil spécifique pour traiter son document.

Une signature électronique permet plusieurs choses, se montrant bien plus efficace que son pendant manuscrit :

• Authentifier le signataire
• Garantir l'intégrité du document
• Assurer la non-répudiation, c'est-à-dire que l'émetteur du document ne peut pas nier l'avoir envoyé.

Ainsi, en cas de problème, le destinataire saura immédiatement si le document qu'il a reçu a bien été envoyé par la bonne personne et s'il n'a pas été altéré.

Mais voyons maintenant de plus près comment fonctionne une signature électronique. Nous prendrons pour cet exemple le cas d'une entreprise Alice qui envoie un contrat au format PDF à une entreprise Bob (Alice et Bob ?!). Pour procéder, le logiciel de l'entreprise Alice va créer un hachage du contrat. Cette méthode consiste à générer une empreinte composée de chiffres et de lettres propre au document. La moindre modification dudit document entraine alors une modification du hachage. Vous avez d'ailleurs probablement déjà vu les sigles MDA ou SHA-1. Ce sont des protocoles de hachage, destinés à vérifier l'intégrité de données.

Une fois le hash - le mot anglais pour hachage - réalisé, il est associé à deux clés données par le certificat numérique : une privée et une publique. La clé privée va chiffrer (on évite l'anglicisme « crypter ») le hash, ce qui donne la fameuse signature électronique. Le tout est ensuite envoyé au destinataire avec la clé publique. Cette dernière est connue de nos deux entreprises.

Lors de la réception du contrat, l'entreprise Bob va déchiffrer le hachage du contrat avec la clé publique. Une fois déchiffré, le hash est recalculé par le logiciel de l'entreprise Bob. S'il est identique à l'original, alors le destinataire sera averti de son authenticité et obtiendra l'identité du signataire. Bien évidemment, si le hachage ne colle pas, alors le destinataire saura que le document a été modifié avant sa réception.

Des images valant mieux que de longs discours, Wikipédia propose un schéma explicatif du principe :

Avantages et inconvénients de la signature électronique

La signature électronique selon toute vraisemblance se répandre de plus en plus vite dans le monde informatique, tant dans la vie privée que personnelle. Elle présente des avantages certains : pas besoin de papier, ni d'encre. L'envoi d'un document signé peut aussi se faire en quelques secondes. Fini le scan de documents et les pertes de temps !

La protection des données est aussi un avantage majeur des signatures électroniques qui permettent de vérifier l'intégrité d'un document. La falsification du papier est probablement plus aisée que celle d'un document chiffré électroniquement.



Malgré tout, la signature électronique n'est pas infaillible. Même s'il est limité, il existe toujours un risque que des pirates informatiques mettent la main sur la clé privée d'un utilisateur. Tout document signé électroniquement peut alors être modifié par le pirate sans que le destinataire ne puisse s'en apercevoir. Il en va de même si le certificat vient à être dérobé, certains malwares les visant en particulier.

Quoiqu'il en soit, la signature électronique fait maintenant partie de notre monde en voie de dématérialisation. Elle est certes encore peu utilisée par les particuliers, mais les entreprises et gouvernements se reposent de plus en plus sur elle pour assurer à leurs communications un maximum de sécurité.