Cryptographie et transactions électroniques.

· Paragraphe II - Le tiers de confiance

La confiance dans les communications électroniques est liée de prime abord à la sécurité technique. Celle-ci est incarnée par le tiers de confiance^35(*).

Les techniques mises en place afin de gagner la confiance des utilisateurs d'Internet impliquent généralement le recours à un tiers (autorité de certification, horodateur, archiveur, médiateur ou arbitre électronique). Son rôle est de créer un contexte dans lequel les transactions peuvent s'opérer en toute confiance et de manière sécurisée. L'on voit ainsi se développer ce que certains ont baptisés les « nouveaux métiers de la confiance »^36(*).

Les autorités de certification ou prestataires de services de certification sont une catégorie particulière de tiers de confiance dont l'activité se voit règlementée. Ils jouent le plus souvent un double rôle : Ils assurent la certification de la signature électronique (A) et la distribution des clés publiques (B).

· A - La certification de la signature des clés publiques

Un des problèmes inhérents à la cryptographie asymétrique concerne l'authenticité des clés publiques. En effet, il n'est pas possible de relier de manière intrinsèque à une paire de clés un signataire éventuel.

Pour résoudre ce problème, un prestataire de services de certification (ou autorité de certification) délivre un certificat, enregistrement électronique qui indique la clef publique ainsi que le nom du titulaire du certificat identifié comme « sujet » de ce certificat et qui peut confirmer que le signataire éventuel identifié dans le certificat détient la clef privée correspondante. La fonction essentielle d'un certificat est d'associer une clef publique à un signataire précis. Un « destinataire » du certificat souhaitant se fier à une signature numérique créée par le signataire indiqué dans le certificat peut utiliser la clef publique figurant dans le certificat pour vérifier que la signature numérique a bien été créée avec la clef privée correspondante. Si cette vérification est positive, le destinataire est dans une certaine mesure techniquement assuré que le signataire a créé la signature numérique et que la portion du message utilisé pour la fonction de hachage (et, par conséquent, le message de données correspondant) n'a pas été modifiée depuis qu'on y a apposé la signature numérique. Afin d'assurer l'authenticité du certificat, pour ce qui est tant de son contenu que de sa source, le prestataire de services de certification y appose une signature numérique.

Celle-ci peut être vérifiée au moyen de la clef publique de ce prestataire figurant sur un autre certificat délivré par un autre prestataire (qui peut, mais ne doit pas nécessairement, être une autorité hiérarchiquement supérieure), et cet autre certificat peut à son tour être authentifié par la clef publique figurant sur un autre certificat encore, et ainsi de suite, jusqu'à ce que la personne devant se fier à la signature numérique soit convaincue de son authenticité. Un autre moyen possible de vérifier une signature numérique consiste à enregistrer cette signature numérique sur un certificat délivré par le prestataire de services de certification (parfois appelé «certificat source»).

Dans chaque cas, le prestataire de services de certification délivrant le certificat peut apposer une signature numérique sur son propre certificat pendant la période de validité de l'autre certificat utilisé pour vérifier sa signature numérique. Selon la législation de certains États, on pourrait inspirer la confiance dans la signature numérique du prestataire de services de certification en publiant dans un journal officiel la clef publique de celui-ci ou certaines données se rapportant au certificat source (par exemple, une « empreinte digitale numérique »).

Une signature numérique correspondant à un message, qu'elle soit créée par le signataire pour authentifier un message ou par un prestataire de services de certification pour authentifier son certificat, devrait généralement être horodatée de manière fiable pour permettre au vérificateur de déterminer si elle a bien été créée pendant la période de validité indiquée dans le certificat, et si le certificat était valable (par exemple, ne figurait pas sur une liste de révocation) au moment considéré, ce qui est l'une des conditions de la vérifiabilité d'une signature numérique.

Pour qu'une clef publique et son association à un signataire spécifique soient aisément vérifiables, le certificat peut être publié dans un répertoire ou mis à disposition par d'autres moyens. Généralement, les répertoires sont des bases de données en ligne regroupant des certificats et d'autres informations pouvant être appelés et utilisés pour vérifier les signatures numériques.

Une fois délivré, un certificat peut se révéler sujet à caution, par exemple si le signataire a donné une fausse identité au prestataire de services de certification. Dans d'autres cas, un certificat peut être fiable au moment où il est délivré, mais perdre sa fiabilité par la suite. Si la clef privée est compromise, par exemple parce que son signataire en a perdu le contrôle, le certificat peut perdre sa fiabilité et le prestataire de services de certification (à la demande du signataire ou même sans son consentement, selon les circonstances) peut alors suspendre (interrompre provisoirement la période de validité) ou révoquer (annuler définitivement) le certificat. On peut attendre du prestataire de services de certification que, peu après cette suspension ou cette révocation, il publie une notification de la révocation ou en avise les personnes qui l'interrogent ou dont il sait qu'elles ont reçu une signature numérique vérifiable par référence à un certificat qui n'est pas fiable.

De même, le cas échéant, on devrait également examiner s'il y a eu révocation du certificat du prestataire de services de certification, ainsi que du certificat émis pour la vérification de la signature de l'autorité d'horodatage^37(*) et du certificat du prestataire de services de certification qui a émis le certificat de l'autorité d'horodatage.

Les autorités de certification pourraient être des organismes relevant de l'État ou des prestataires de services privés. Dans quelques pays, on envisage, pour des raisons d'ordre public, que seuls des organismes publics soient autorisés à assurer la fonction de certification. Toutefois, dans la plupart des pays, soit les services de certification sont entièrement laissés au secteur privé, soit les organismes gérés par l'État coexistent avec des prestataires de services privés. Il y a aussi des systèmes de certification fermés, dans lesquels de petits groupes établissent leur propre prestataire de services de certification.

Dans certains pays, les organismes relevant de l'État émettent des certificats uniquement à l'appui des signatures numériques utilisées par l'administration publique. Quelle que soit l'option retenue, et que les autorités de certification aient ou non besoin d'une licence pour fonctionner, une infrastructure à clef publique comprend généralement plusieurs prestataires de services de certification. Ce qui est particulièrement important est la relation entre les différentes autorités de certification,

Il peut incomber au prestataire de services de certification ou à l'autorité source de veiller à ce que ses prescriptions soient systématiquement respectées. Si la sélection des autorités de certification peut se faire sur la base d'un certain nombre de facteurs, dont la solidité de la clef publique utilisée et l'identité de l'utilisateur, la fiabilité d'un prestataire de services de certification peut également dépendre de la façon dont il applique les normes de délivrance des certificats et de la fiabilité de son évaluation des données communiquées par les utilisateurs qui demandent ces certificats. Le régime de responsabilité qui s'applique à tout prestataire de services de certification est d'une importance cruciale eu égard à son respect des prescriptions en matière de politique générale et de sécurité édictées par l'autorité source ou par le prestataire de services de certification de niveau plus élevé, ou de toute autre prescription applicable, et ce de manière permanente.

* 35 E. A. Caprioli, « La confiance dans les communications électroniques », In http://www.caprioli-avocats.com

* 36 M. ANTOINE, D. GOBERT set A. SALAÜN, «Le développement du commerce électronique: les nouveaux métiers de la confiance », in Droit des technologies de l'information, regards prospectifs, Cahiers du CRID, n° 16, Bruxelles, Bruylant, 1999, pp. 3 et suiv.

* 37 Le principe de l'horodatage est d'associer de façon la plus sure possible une date et une heure à des données.
Avoir une garantie cryptographique de l'heure permet par exemple :

· de prouver l'existence de certaines données à partir d'une certaine date,

· à cette garantie d'existence on peut joindre des garanties de possession,

· de certifier des heures et dates de signature,

· de renforcer les fonctions de non-répudiation associées à la signature, puisque lors d'une signature classique la date de signature n'est pas forcement fiable, et peut donc être contestée,

· de garantir les heures et dates de validité des documents électroniques. Si par exemple on souhaite vérifier une signature électronique longtemps après qu'elle ait été faite, on devra entre autres s'assurer que le certificat qui était associé à la clé privée qui a signé n'était pas révoqué.