30
avril
2013

De la pertinence des certificats « à la volée »

Exploitation Universign Exploitation Universign
0 commentaires
Avis d’expert

Lorsque l’on s’intéresse à la signature électronique et en particulier à la souscription de contrats, on est fréquemment amené à rencontrer une « technique » appelée « certificat à la volée » ou « certificat à usage unique ». Et comme lorsque l’on découvre une nouvelle solution, on peut légitimement se demander si celle-ci est « bonne » ou « mauvaise ». Dans ce billet, nous nous proposons de présenter cette technologie et de rappeler la position de Cryptolog sur ce sujet.

Le problème de l’absence de certificats

Une contractualisation nécessite une ou plusieurs signatures électroniques. Pour effectuer une signature électronique, on utilise fréquemment un « certificat électronique » (et naturellement, pour les lecteurs les plus techniques, la clé privée associée, qui est l’objet mathématique avec laquelle la signature va effectivement être effectuée). Le certificat est comparable à une carte d’identité numérique permettant d’attester de l’identité du signataire et de vérifier la signature électronique.

 

Il faut comprendre que la production d’une signature électronique – basée sur un certificat électronique – passe nécessairement par deux étapes :

  1. Une première étape, généralement appelée l’enregistrement, consiste principalement à valider l’identité du futur signataire, afin de certifier qu’il est bien le possesseur légitime de la clé privée associée. Cette vérification est effectuée par l’Autorité d’Enregistrement (AE). Une fois cette validation effectuée, l’Autorité de Certification (AC) émet un certificat, en y insérant notamment la clé publique du futur signataire (celle qui permet de vérifier les signatures effectuées avec la clé privée), ainsi que son identité (vérifiée par l’AE).
  2. La deuxième étape est la signature à proprement parler, pendant laquelle le signataire déclenche l’utilisation de sa clé privée afin de réaliser la signature électronique.

Or, l’écrasante majorité des gens n’est pas aujourd’hui équipée de ces fameux certificats électroniques. Une solution consiste donc à émettre, préalablement à la signature, de tels certificats. Ce qui soulève un autre problème : dans le cadre d’une contractualisation, qu’elle soit en ligne ou lors d’une entrevue physique, le signataire ne dispose généralement pas d’un dispositif simple lui permettant de conserver la clé et le certificat ainsi générés. Une idée naturelle est donc à chaque signature de générer un certificat « à la volée » ou « à usage unique », valable pour une seule utilisation et de le détruire par la suite. Cette idée paraît séduisante a priori.

Une délivrance de certificats très encadrée

Cela dit, un certificat n’a pas de valeur intrinsèque. N’importe qui peut produire un certificat électronique en quelques minutes en utilisant un des outils libres du marché, comme par exemple OpenSSL. Ce qui fait la valeur d’un certificat est le fait que l’on puisse avoir confiance dans l’identité du signataire.

 

Or, cette valeur résulte :

  • d’une part, de l’ensemble des règles appliquées par l’AE et l’AC lors de l’émission d’un certificat ;
  • d’autre part, de l’attestation, par une entité indépendante, que cet ensemble de règles est conforme à la « règlementation en vigueur » : comme dans beaucoup d’autres secteurs, il est important de pouvoir se référer à des labels délivrés par un organisme officiel offrant une évaluation indépendante et impartiale du degré de conformité d’un service de certification électronique vis-à-vis d’un ensemble de bonnes pratiques standardisées et reconnues au niveau national ou international.

C’est pourquoi, des référentiels normalisés fixant des règles pour tous les acteurs du marché ont été mis en place, en France, en Europe et dans le monde. En France, on peut par exemple citer le RGS (Référentiel Général de Sécurité) qui définit les niveaux une (*), deux (**) et trois (***) étoiles pour les certificats. En Europe, il existe les normes ETSI 102 042 et 101 456. Enfin, dans de nombreux autres pays, le standard WebTrust s’applique, réglementairement ou bien de fait. Certains de ces niveaux ont des effets juridiques. Ainsi, un certificat émis en conformité avec le RGS*** ou bien avec le standard ETSI 101 456 apporte une présomption de fiabilité sur l’identité du futur signataire (plusieurs autres éléments peuvent entrer un jeu pour avoir la présomption de fiabilité de l’ensemble du processus de signature – mais la partie identité est couverte par ces certifications). Les attestations de conformité vis-à-vis de ces référentiels sont délivrées suite à un audit, effectué par un organisme accrédité à le faire (en France, il s’agit indirectement du COFRAC, qui accrédite lui-même des sociétés d’audits afin qu’elles émettent ces attestations).

De l’importance des labels

Il faut bien voir que cette question de la certification est fondamentale. Pour notre secteur de la confiance numérique, comme pour tous les autres. Iriez-vous déposer votre argent dans un établissement n’ayant pas obtenu d’agrément bancaire ? Feriez-vous confiance aux comptes d’une société qui n’a pas de commissaire aux comptes ? Feriez-vous appel à un organisme non certifié pour établir les différents diagnostics (plomb, amiante, termites, performance énergétique, gaz, électricité, etc.) de votre bien immobilier ? Achèteriez-vous un Picasso sans son certificat d’authenticité ? Accepteriez-vous une carte de bibliothèque en lieu et place d’une carte d’identité ?

De la même manière, un certificat émis par une autorité non auditée et non certifiée n’a que peu d’intérêt, car on ne dispose d’aucun moyen simple de vérifier qu’il a été émis dans de bonnes conditions.

Et les certificats « à la volée » dans tout ça ?

Un « certificat à la volée » n’est donc pas une « bonne » ou une « mauvaise » solution en soi. Elle peut l’être, ou pas, en fonction du contexte. La vraie question est de savoir si ce certificat a été, ou non, émis en conformité avec les règles en vigueur, et s’il est donc porteur de l’identité réelle du signataire et si l’on peut avoir confiance dans l’Autorité de Certification qui l’a émis.

 

Maintenant, il faut comprendre que l’obtention d’un agrément permettant de délivrer des certificats, « de qualité », porteurs d’une identité fiable impose un processus d’enregistrement relativement complexe. Il peut donc se révéler d’une part, coûteux économiquement pour le prestataire le mettant en oeuvre et d’autre part, potentiellement lourd et peu ergonomique pour le futur signataire. Or, dans le cadre d’un certificat à la volée, dans la mesure où l’enregistrement et l’émission du certificat doivent être réalisés à chaque signature, il faut refaire systématiquement la phase la plus lourde, celle de l’enregistrement.

On arrive là aux limites de l’intérêt du certificat « à la volée ». Pourquoi répéter la phase la plus coûteuse et la plus contraignante du processus si l’on a la possibilité de ne le faire qu’une seule fois ? En caricaturant un peu, cela reviendrait à faire un aller-retour à la préfecture de police pour obtenir une nouvelle carte d’identité à chaque fois que l’on a besoin de la présenter, plutôt que de la faire une bonne fois pour toutes.

La position de Universign

La position de Cryptolog-Universign sur le certificat « à la volée » n’a pas évolué depuis dix ans :

Nous estimons que les contraintes réglementaires et normatives liées à la phase d’enregistrement sont trop lourdes pour justifier de faire appel à cette technique, sauf dans quelques cas très spécifiques ;

Universign n’émet donc pas à partir de ses Autorités de Certification de certificats « à la volée ». Universign n’émet que des certificats permanents et réutilisables, par le biais d’Autorités de Certifications auditées et certifiées conformes aux différents référentiels de sécurité cités précédemment.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Testez Universign