Cryptographie et transactions électroniques.

Section II - L'authentification et le contrôle d'intégrité: des outils pertinents au service de la preuve électronique

Internet a permis la mise en place du commerce électronique. Cependant, les acteurs du commerce électronique souffrent constamment des incertitudes liées à la dématérialisation des échanges de données. L'écrit physique n'existe plus et il est difficile de s'assurer de l'identité de son partenaire commercial. La signature électronique est une solution au problème (Paragraphe I). Elle est souvent utilisée pour valider des documents tels que les certificats électroniques dont la mise en oeuvre implique l'intervention d'un tiers de confiance (Paragraphe II).

· Paragraphe I - La signature électronique

En décidant que « [l]'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier et a la même force probante que celui-ci [...] » (cf. art. 19, Règlement n° 15/2002/CM/UEMOA, 1316-1 et 1316-3, Code civil), le législateur à jeté les bases de la confiance numérique. L'écrit électronique a cependant besoin de la signature électronique. La signature électronique permet en effet l'authentification des personnes et des données sur les réseaux numériques (A) ainsi que le contrôle de l'intégrité des messages électroniques (B).

· A - L'authentification

Les vols d'identité dans le cyberespace et d'autres abus en tout genre augmentent le besoin d'identification des personnes sur les réseaux numériques.

En effet, l'immatérialité des communications électroniques ne permet pas de déterminer avec certitude l'identité d'une personne sur le réseau. Or, il est nécessaire, pour la prospérité de l'économie numérique, de pouvoir imputer une opération ou une action donnée à une personne donnée^30(*). L'authentification grâce à la signature électronique permet de vérifier l'identité dont une entité (homme ou machine) se réclame.

L'authentification est le « mécanisme de sécurité qui permet de s'assurer de l'authenticité de l'émetteur ou du récepteur d'un message. L'authentification peut être simple (utilisation d'un mot de passe) ou complexe (recours au chiffrement).»^31(*)

Ainsi, l'authentification peut être obtenue par la simple association d'un identifiant et d'un mot de passe. Il pourrait se poser alors la question du niveau de sécurité offert par une telle technique d'authentification.

D'après la jurisprudence, les fournisseurs de produits et services électroniques sont tenus de satisfaire aux normes techniques et sécuritaires généralement admises et proportionnées aux risques liés à leurs produits et services.

C'est ce que laisse entendre une décision du Tribunal de l'Illinois, dans une affaire Shames Yeakel vs Citizen Financial Bank en date du 21 août 2009 (Case 07 C 5387), les juges ont accueilli favorablement la plainte d'une victime d'une cyber-attaque sur son compte bancaire en ligne, déposée contre l'établissement bancaire. Ce jugement remettait en cause l'authentification à facteur unique (un seul canal d'identification comme l'identifiant/mot de passe) pour protéger l'accès aux comptes bancaires en ligne. Le jugement en question fournit par ailleurs, une liste des méthodes mises en place par ces institutions financières afin de procéder à l'authentification de leurs clients.

Cette liste comprend notamment l'utilisation de mots de passe, de numéros personnels d'identification (PINs), de certificats électroniques, de supports physiques tels que les smart cards ou les clés USB, de mots de passe uniques (OTPs) ou d'autres types de « tokens », des procédés biométriques, etc.

En France, la Cour d'appel de Versailles le 18 novembre 2010^32(*) a eu à juger une question de sécurité connexe pour engager la responsabilité d'une banque. Dans cette affaire, on peut constater que l'authentification, plus qu'un simple moyen de vérification de l'identité d'une personne, doit être considérée comme une véritable mesure de sécurité pour la gestion des accès).

La signature électronique, dès lors qu'elle repose sur des procédés fiables, est admise comme méthode d'authentification.

Différentes méthodes d'authentification pour les signatures électroniques ont été mises au point au fil des années visant à satisfaire des besoins spécifiques, à conférer des niveaux de sécurité différents correspondant à des exigences techniques distinctes. Ces méthodes peuvent être classées en trois catégories :

· celles qui sont fondées sur la connaissance de l'utilisateur (mot de passe, numéro d'identification personnel etc.),

· celles qui sont fondées sur les caractéristiques physiques de l'utilisateur (comme la reconnaissance biométrique) et,

· celles enfin qui sont fondées sur la possession d'un objet par l'utilisateur (carte, clé USB, token, etc.)^33(*).

Ces catégories qui peuvent se cumuler pour aboutir à l'authentification forte, reposent sur le triptyque classique de la sécurité : ce que je connais, ce que je suis et ce que je possède^34(*).

* 30 E. A. Caprioli, « Sécurité et confiance dans le commerce électronique », JCP éd G, n°14, 1 avril 1998, I, 123.

* 31 In Dictionnaire de l'informatique, sous la direction de Pierre Morvan, Larousse, 1996, V°Authentification (en anglais : authentication).

* 32 Décision N° 09/06634, Marie-Maure C. épouse A. c/ SA Natixis Interepargne.

* 33 Voir le rapport du Groupe de travail sur le commerce électronique sur les travaux de sa trente-deuxième session, tenue à Vienne du 19 au 30 janvier 1998 (A/CN.9/446, paragraphes 91).

* 34 F. Perigaud, « De l'utilisation de la biométrie pour l'authentification forte », In http://www.zdnet.fr/actualites/de-l-utilisation-de-la-biometrie-pour-l-authentification-forte-39712200.htm [Valide le 12/05/2014]