La signature électronique pourra prochainement se substituer légalement à la signature manuscrite.
Cela peut permettre de développer le commerce électronique mais cela comporte également des dangers car toute personne pourrait se voir opposer une signature électronique dont il ignore tout.
l'objectif de la signature électronique est d'apporter une sécurité juridique, à toutes les parties aux contrats pas seulement les cybercommerçants qui sont demandeurs d'une couverture, mais aussi et surtout aux cyber-consommateurs dont l'identité ne peut être usurpée trop facilement. De plus, ils doivent disposer de recours effectifs en cas d'abus ou de procédés de signature défaillant.
Les indices matériels manquent dans le cas de fausse signature électronique : il y a juste la signature électronique, et encore les problèmes d'horodatage n'est pas du domaine de la loi, l'antériorité de l'heure ne pourra être obtenu que par le dépôt de la signature à un tiers.
Les procédés de création de signature électronique doivent donc être fiables.
De nouvelles catégories de victimes apparaîtront, elles ne comprendront rien à l'informatique et des escrocs ingénieux usurperont leur identité.
Or la plupart des systèmes informatiques comportent des failles et la sécurité informatique évolue rapidement, des systèmes sûrs à un moment donné peuvent se retrouver obsolètes 6 mois après.
Les systèmes de signature électronique doivent donc être transparents pour que les victimes puissent contester les résultats qu'on leur oppose et renverser la présomption de preuve.
Ce projet de décret est inacceptable en l'état car il n'apporte aucune garantie aux usagers et conduirait inéluctablement à un engrenage infernal où les hommes seraient écrasés par l'informatique et ces techniques qui les dépassent.
La consultation s'est terminée le 15 septembre 2000 avec 120 contributions valides qui seront diffusées sur le site internet.gouv.fr.
La loi sur la signature électronique a été votée par le parlement en mars 2000 et intégrée dans le code civil.
Pour cela, le gouvernement a ouvert une consultation publique sur Internet et a diffusé en juillet 2000 un projet de décret.
Voir le projet de décret sur la signature électronique
Cette page critique les points dangereux pour les usagers de cette réglementation.
1ère exigence à notre avis : la signature électronique doit pouvoir être vérifiable par tout tiers et pas seulement
après expertise coûteuse de personnes accédant à de prétendus secrets.
Le projet de décret sur la signature électronique est inadmissible en l'état actuel, il ne correspond pas à nos exigences
et risque de créer des victimes écrasées par la "preuve électronique réputée inviolable" mais comportant des failles connues des seuls experts et pirates :
Voici donc des conditions de fiabilité d'un système de signature électronique à rajouter impérativement à l'article 3 du projet de décret :
L'article 4 du projet de décret dit que les systèmes certifiés par le DCSSI sont réputés remplir les conditions de l'article 3.
La signature électronique électronique doit être au service de l'usager, elle ne doit pas être un prétexte pour tracer l'utilisateur et s'immiscer dans sa vie privée, sinon, le moindre paiement de prestation permettrait de pister le consommateur, de connaître, ses goûts, ses comportements voire ses moeurs.
De plus comme il est vraisemblable que les contrats proposés électroniquement au cyber consommateur soit des contrats d'adhésion, il ne faut pas que se généralise les contrats multipliant les clauses abusives, léonines et nulles.
En effet, qui lit les longs contrats de licence d'utilisation ou autre que l'on trouve sur Internet ?
Ces contrats d'adhésion sont dangereux car le consommateur risque de se retrouver sans aucune protection et être engagé à son insu.
Une directive européenne sur la signature électronique a été adoptée pour définir
un cadre juridique européen de la signature européen et harmoniser les réglementation.
Il vise notamment à assurer l'égal accès des sociétés au marché de la certification électronique
et pour que les produits admissibles à la signature électronique dans un état le soit dans un autre.
Curieusement, la loi sur la signature électronique et le projet de décret ne parlent nullement des problèmes
d'informations nominatives.
Dans le cas de certificateurs personnes physiques, les données nominatives du certificateurs seront transmises à chaque
destinataire de la signature, ils doivent en être conscients.
Les problèmes de détermination de l'heure de la transaction électronique ne sont pas prévus par la loi.
1. Contexte
Pour qu'elle rentre maintenant en application,
il faut attendre la publication du décret fixant les conditions techniques pour qu'un système soit admissible comme signature électronique.
2. Critères de fiabilité d'un système de signature électronique
2.1 Nos exigences
2ème exigence, doit être prévu le cas où les clés des émetteurs du système seraient répudiées ou des failles apparaitraient dans les algorithmes utilisés (exemple : les clés des cartes bancaires émises avant novembre 1999 sont répudiées).
3ème exigence, les algorithmes admissibles comme signature électroniques doivent être publics afin que tout tiers puisse vérifier la solidité de l'algorithme utilisé.
Autre cas, la signature électronique SHA-1 est souvent préférée à un MD5 car il existe un algorithme rapide pour trouver des collision dans la sortie du MD5,
(voir aticles en 1994 et 1999 des chercheurs van Oorschot et Wiener avec des machines spéciales parallèles pour trouver des collisions en quelques jours
Il existe aussi deux attaques partielles sur MD5 ; l'une est une collision sur les 3 premiers tours du MD5 qui en comporte 4 trouvée par H. Dobbertin ;
l'autre est une méthode pour générer des collisions sur la fonction de compression (c'est-à-dire en modifiant l'IV). Cependant, en pratique,
personne n'a actuellement mis en oeuvre une attaque sur la fonction MD5, ce qui constituerait une véritable prouesse cryptographique.
Sur la signature RSA, il nous semble qu'il faut exiger des clés de 2048 bits au moins pour les 5 prochaines années et il faut s'assurer que la norme de signature utilisée soit validée et ne comporte pas
de failles (il existe des cas de signatures forgées trouvés en 1998 par une équipe de UCL, Gemplus et ENS)
Une taille de clé minimum doit être utilisée dans les systèmes (adieu le chiffrement DES 56 bits cassable en 3 jours avec la machine d'une association activiste américaine)
Face à l'avancée des techniques de cryptanalyse, l'admissibilité d'un système comme signature électronique doit à notre sens être temporaire,
faire l'objet de révision et pouvoir être répudiée en cas de doutes.
En effet, il sera difficile à un particulier dans le cadre d'un litige d'inverser la présomption de preuve
que constitue un système reconnu comme signature électronique. La loi Informatique et Liberté permet à toute personne de contester
le résultat d'un traitement automatisé qu'on lui oppose.
Il est inimaginable que la situation actuelle se reproduise. A savoir : qu'un système de signature électronique comporte des failles
qui portent préjudice à des victimes,
mais que l'on ne peut le démontrer car ses caractéristiques sont inconnues, et si quelqu'un s'amusait à l'étudier et à l'analyser,
il se retrouverait poursuivis pour intrusion dans un système automatisé de traitement (comme l'a été Serge Humpich).
2.2 critique rédaction projet de décret
- L'article 3 ne dit pas que pour qu'un système de signature électronique soit admissible, les principes (algorithme de signature, taille des clés) doivent être public.
Cela est contraire à l'article 3 de la loi Informatique et Libertés du 6 janvier 1978 permettant à toute personne de contester le résultat
d'un traitement automatisé de données.
Si les schémas de signature ne sont pas publiés, les pirates analysant les systèmes trouveront des failles
(la plupart des systèmes en comportent et les techniques de cryptanalyse évoluent vite).
Donc il y a aura des victimes, qui ne comprendront rien et qui nieront avoir signé électroniquement un contrat par exemple et avoir la moindre relation avec l'émetteur du système,
mais devront le prouver vu que la loi sur la signature électronique inverse la charge de la preuve. Elles seront écrasés par l'informatique
alors que la loi Informatique et Libertés prévoit que l'informatique doit être au service du citoyen.
Or si le système de signature électronique est opaque (ce que le projet de décret permet), elles seront incapables
de connaître les fonctions du système et de découvrir les failles exploitées par les pirates
et ne pourront donc rien prouver.
S'ils étudient ce système pour en découvrir des failles, ils seraient accusés et poursuivi pour intrusion dans
un système automatisé de données comme a été condamné en première instance Serge Humpich.
Si le système de signature est public, des experts indépendants pourront trouver les failles pour répudier le système et l'améliorer.
Enfin, il faut que le décret puisse introduire une possibilité de répudiation de tout un système compte tenue de l'avancée des techniques ou de faits nouveaux.
Il faut que les spécifications techniques et le schéma de signature des systèmes admissibles à la signature électronique soient publiés.
2.3 nouvelle rédaction proposée
- les principes de fabrication de signature et
l'algorithme de signature doivent être publics,
indiquer la taille des clés privées et fournir les
clés publiques si le système a recours à des
mécanismes clés publiques
- une ou plusieurs des clés secrètes de l'émetteur du
dispositif de signature ne doivent pas être connues de
personnes extérieures à l'émetteur non liées par un
accord de confidentialité
- il ne doit pas exister de méthode connue de tiers
permettant de forger de fausses signatures avec un
budget et un délai accessible compte tenu des enjeux financiers en cause.
- l'un des algorithmes utilisés dans le dispositif de
signature ne doit pas être réputé obsolète ou
comporter des failles connues.
- il ne doit pas exister de système tiers reconnu par ("leurrant")
les systèmes de vérification comme émanant de
l'émetteur du dispositif de signature.
- il ne doit pas y avoir de cas reconnu où une
personne ait violé le dispositif de signature ou forgé
de fausses signatures même si la méthode employée par
cette personne reste inconnue du public
- les personnes détentrices du secret du dispositif de
signature électronique et leurs proches ne peuvent
utiliser pour leur compte ou opposer à des tiers des
signatures fabriquées à l'aide de ce dispositif de
signature électronique (on ne peut être juge et
partie)
- le système de signature électronique doit certifier toutes les parties au contrat.
Toutes les parties aux contrat doivent disposer d'une copie du contrat dès la signature
et doivent disposer de système permettant de vérifier l'intégrité du message signé par
les autres parties et les identités de ces autres parties.
3. Certification par un organisme indépendant composé de façon équilibrée
Or le DCSSI est un organisme gouvernemental non impartial (on se souvient que l'ancien dirigeant
avait été remplacé après ses déclarations justifiées comme quoi la carte bancaire comportait des failles).
Plus grave, le DCSSI exerce une activité de certification sans remplir les conditions requises par la loi du 94-442 du 3 juin 1994 sur la certification qui prévoit que
les organismes de certification doivent être indépendants, impartiaux, compétents et composés de manière équilibrée de représentants des
fournisseurs, utilisateurs, commerçants, constructeurs, experts.
Le DCSSI publie certaines "certifications" totalement opaques (les rapports de certification sont creux) et rien n'est divulgué sur
les schémas cryptographiques utilisés par les systèmes "certifiés".
La commission chargée d'agréer ou de répudier les systèmes de signature électronique, doit être composée d'experts indépendants, de représentants des consommateurs, de praticiens
Il faut donc remplacer dans la rédaction du décret "Les services du Premier ministre chargés de la sécurité des systèmes d'information" par
un organisme certificateur indépendant spécifique à créer composé de manière équilibrée de représentants des
fournisseurs, utilisateurs, commerçants, constructeurs, experts suivant les conditions de la loi du 3 juin 1994.
Les dispositifs de création de signature certifiés par ce nouvel organisme le seront pour une durée limitée de 5 ans maximum.
La prorogation de ce certificat ne pourra avoir lieu qu'après réétude complète du dossier suivant le dernier état de l'art.
L'organisme pourra répudier à tout moment un dispositif de création de signature en s'auto-saisissant ou à la demande de toute personne
(pas besoin que cette personne soit intéressée puisque la signature électronique étant une preuve légale,
elle peut être opposée à toute personne même dans un coma profond depuis 3 ans, voire même après sa mort !)
Conformément à la loi sur la certification du 3 juin 1994, les normes et référentiels applicables doivent être élaborés et validés
par les représentants des intérêts légitimes.
4. Services d'identification et de certification
4.1. Mesures floues de vérification d'identité
Des prestataires spécialisés verront le jour pour certifier l'identité électronique de quelqu'un et la validité de signature électronique.
Il existe déjà des opérateurs faisant cette activité au niveau mondial : Thawte et Verisign notamment.
Pour l'identification des titulaires de signature électronique, le projet de décret publié en juillet 2000 prévoit pour l'identification des personnes (article 6.2 e) :
"a recours à du personnel ayant les connaissances spécifiques, l’expérience et les qualifications nécessaires à la fourniture des services et, en particulier, des compétences au niveau de la gestion, des connaissances spécialisées en technologie des signatures électroniques et une une bonne pratique des procédures de sécurité appropriées ; ils doivent également appliquer des procédures et méthodes administratives et de gestion qui soient adaptées et conformes à des normes reconnues ;"
La "bonne pratique" et les "mesures appropriées" sont particulièrement vagues, il faut que les identification des personnes se fassent de VISU à l'aide d'une pièce d'identité officielle avec photo (et de préférence stockage de la photo sur le système de signature électronique).
Les noms et adresses doivent pouvoir être vérifiés à l'aide de justificatifs de domicile et de pièces d'identité.
Par exemple, la remise de pli recommandé (même sans procuration) n'offre pas de garantie suffisante.
4.2. Prestataires spécialisés
Un autre problème concerne le fait que le projet de décret prévoit des "prestataires de certification électronique"
accrédités au préalable (les conditions d'accréditation seront fixées par arrêté du Ministère de l'économie et des finances, on espère que les organismes accréditateurs
seront impartiaux, indépendants, compétents, composés de façon équilibrées d'industriels, commerçants, utilisateurs, experts) et contrôlés par le DCSSI.
La directive européenne prévoit même que leur responsabilité peut être engagée.
4.3. Contrôle d'identité et d'adresse alternatif par une toile de confiance : moins cher et plus ouvert
Cela ne semble ouvrir cette activité qu'à des professionnels, or des particuliers peuvent très bien s'authentifier mutuellement pour former une toile de certificats (dite "toile de confiance", en angalis "web of trust").
L'identité de chaque personne pouvant être authentifiée plusieurs fois par des personnes différentes,
cela augmente la vraisemblance de l'identication si ces certificateurs sont fiables.
Ce système est très utilisé avec le logiciel PGP et a donné lieu à une architecture ouverte dit PKI (Public Key Infrastructure).
Cependant le décret ne parle nullement de ce type de certification, quelle est
alors la validité juridique d'une identification faite de cette façon ?
Il faudrait démontrer en justice que l'identification est fiable en impliquant les certificateurs,
il n'y aurait pas de présomption et cela peut être laborieux.
Dans le cas où cela n'aurait pas de valeur juridique, cela obligerait ainsi à avoir recours à des services onéreux
alors qu'un système gratuit fait par exemple occasionnellement par des particuliers pourrait apporter une confiance
équivalente voire supérieure puisque l'identification est certifiée par plusieurs personnes et non une seule.
Ce système de toile de confiance peut cependant être intéressant, s'il est
bien utilisé, c'est à dire notamment si l'on ne prête pas une confiance
inapproprié à des tiers certificateurs dont on ignore tout.
Dans ces conditions, le système ouvert des PKI serait abandonné au profit d'intérêts commerciaux
de prestataires de services de certification électronique dont le coût peut empêcher l'accès de certaines personnes démunies
à ces services, de rendre prohibitif le coût de certains projets alternatifs ou du fait de l'obligaton de passer par des intermédiaires accrédités,
de réclamer des délais, d'obliger à des procédures administratives injustifiées, d'être dépendant d'intérêts privés contradictoires ou pire d'obliger de le certifier à utiliser la technologie du prestataire
(par exemple RSA alors que le certifié veut utiliser un autre algorithme plus puissant).
Il faut aussi étudier dans quelles conditions, une association pourrait assurer de tels services de
certification électronique pour le plus grand nombre.
Il nous semble ainsi important d'introduire dans ce projet de décret l'article suivant :
"une personne est réputée
identifiée électroniquement si 2 autres tierces personnes identifiées l'ont identifiée indépendamment et physiquement préalablement à la signature,
créé un certificat électronique avant la signature et attestent de ce certificat."
A noter qu'en cas de fausse attestation,
elles seront de toutes façons soumises aux peines prévues en cas de faux témoignage ou de subornation de témoin.
4.4. Exemple de toile de confiance
Par exemple, supposons qu'une entreprise veuille certifier ses 1000 employés,
plutôt que de devoir s'adresser à Verisign pour chacun de ses 1000 employés, ce qui est long est coûteux, il existe une solution alternative.
Un responsable informatique pourrait s'adresser une fois à Verisign et ensuite c'est lui qui certifie en interne chacun des employés :
c'est un système beaucoup moins lourd, plus souple (les employés peuvent partir) et plus sûr
car les entreprises connaissent leurs employés alors que Verisign ne sait pas qui fait partie de telle ou telle entreprise.
Ensuite quand une personne utilise sa signature à titre professionnel,
elle est accompagnée du certificat de la signature par le responsable informatique et du certificat de la signature du responsable informatique
par une autorité certificatrice accréditée.
4.5. Contrôle des documents de l'Etat
Il n'est pas possible pour des particuliers ou des organismes privés de vérifier une pièce d'identité, c'est à dire de reconnaître le vrai du faux.
Donc en définitive de pouvoir faire leur travail, même en présence d'un original de pièce d'identité, la vérification est aléatoire.
Certains réclament ainsi une interface fournie par l'Etat. du type :
On envoie à cette interface le type de pièce d'identité (Carte d'identité, passeport), le numéro de la pièce, le sexe, le nom, le prénom, l'adresse, la date,
le lieu de naissance, le sexe, le lieu d'établissement de la pièce,
l'autorité qui l'a délivrée, la date d'établissement.
L'interface renvoie simplement si OUI ou NON ces informations sont exactes, cela ne révèle rien de privé,
c'est juste une vérification mais c'est très efficace.
Faudrait tout de même éviter que l'Etat en profite pour collecter des informations dont il ne disposerait pas.
5. L'usager
En général, l'utilisateur faisant un simple achat n'a pas que cela à faire que de lire un contrat de 20 pages où une clause dangereuse serait cachée, il se contente d'appuyer sur le bouton "Ok" dans la seconde qui suit l'affichage du contrat.
6.Directive européenne sur la signature électronique
Si les considérations de libre échange sont légitimes, la sécurité des usagers ne doit pas être bradée
du fait de critères plus souples dans d'autres états membres.
En effet, la France a une avance en sécurité informatique du fait de l'utilisation répandue de la technologie de la
carte à puce.
Cette technologie de la carte à puce n'est pas très répandue dans les autres pays européens, seule la Barclays bank en Grande Bretagne met des puces sur ses cartes bancaires.
En contrepartie, grace à Serge Humpich, les hackers français ont également de l'avance
dans le cassage de systèmes informatiques basés sur la carte à puce.
La carte à puce n'est pas en soi une garantie d'inviolabilité,
il faut aussi que les techniques cryptographiques utilisées et l'organisation en place soient fiables.
Les exigences de fiabilité doivent être plus élevée en France.
A noter que la réglementation française projettée ne transpose pas encore l'intégralité de la directive européenne,
il reste à définir le régime de responsabilité des prestataires chargés de l'identification des adeptes de la signature électronique
et les dispositions sur la protection des données personnelles.
7. Informatique et libertés
Pourtant à chaque signature électronique, des éléments d'identification sont échangés de façon automatique ce qui rentre dans le cadre de
la loi Informatique et Libertés du 6 janvier 1978.
Il faut donc ne pas négliger les problèmes de respect de la vie privée liés à ces problèmes et s'intéresser au problème de
savoir qui est destinataire des données personnelles dans le cas des transactions ?
Quel usage en est fait ?
Cette transmission de données nominatives est elle justifiée pour toutes les transactions ?
Le destinataire a t'il fait une déclaration à la CNIL ?
8. Horodatage
Ils ne sont pas prévus non plus par le projet de décret d'application, ce décret ne peut d'ailleurs pas vraiment spécifier
des conditions pour établir la date et l'heure de la transaction électronique, la loi n'a accordé le droit au décret que de préciser les conditions de fiabilité.
Pour déterminer l'heure d'une signature électronique, le seul moyen est de la déposer auprès d'un tiers qui attestera de l'antériorité.
Il sera difficile pour le dispositif lui-même d'avoir une heure fiable, toutes les horloges peuvent se dérégler.
Les problèmes de détermination de l'heure sont importants dans certains cas : par exemple dans le cas des abonnements avant paiement périodique.
Ou pour la victime d'une usurpation, d'indiquer un alibi.
Il y a aussi d'autres problèmes : les dispositifs de création de signature sont des dispositifs techniques qui peuvent devenir obsolèttes
ou être cassés.
dans ces conditions, que deviennent les signatures électroniques faites auparavant ?
Si il y a eu recours à une hash fonction et que le dépôt de la signature se fait chez un dépositaire certifiant l'heure,
il serait possible de forger un contrat original sur le procédé de hash fonction a été cassé.
Cela enlève donc tout caractère probant au dépôt.
Il faudrait donc que le tiers dépositaire de la signature à des fins d'horodatage ait à la fois la signature
et le contrat original pour éviter ce risque.
Avoir le contrat original d'une transaction pose cependant des problèmes de confidentialité et il convient d'avoir confiance
en ce tiers (notamment du fait de sa profession, car si c'est un ami, alors on peut douter de son indépendance, voir nullité
des attestations ne respectant pas l'article 212 du Nouveau Code de Procédure Civile).
9. Deux cocontractants
Pour signer un contrat, il faut être 2 minimum.
C'est une évidence, implicite dans la loi, mais curieusement, elle semble absente des débats.
On peut ainsi s'inquiéter que dans les projets des industriels qui se réclament de la signature électronique, ils ne pensent qu'à identifier le "consommateur".
Pourtant il faut non seulement identifier également le "vendeur" (d'ailleurs on ne voit pas pourquoi la signature électronique serait limitée à des rapports commerciaux)
et surtout qu'elle lui soit opposable et que le consommateur puisse l'invoquer, sans cela, il y a un risque de domination évident qui rend tout le dispositif léonin.
Il faut donc être particulièrement vigilant à ce niveau : le consommateur DOIT AVOIR COPIE DE LA SIGNATURE ELECTRONIQUE DU COMMERCANT LORS DE L'ACTE.
Il est trop fréquent qu'il y ait une dominance d'une entité économique forte sur une faible du fait que seule l'une des parties dispose des preuves et de la copie du contrat.
Il convient d'ajouter dans les conditions de fiabilité du décret :
"Le procédé de signature électronique doit assurer que toutes les parties du contrat le signent de façon électronique et disposent d'une copie des signatures électroniques".
10. Avancement de la consultation
Le 06/10/2000
Le gouvernement a publié une sysnthèse des contributions à la consultation sur le projet de décret sur la signature électronique.
La liste des contributions individuelle est également disponible.
Les commentaires sont contrastés et la consultation est enrichissante.
Pour notre part nous insistons pour que les conditions de fiabilité ne soient pas laxistes
et soient publiques pour ne pas vaire une nouvelle génération de victimes.
Il est d'ores et déjà possible de faire des systèmes de signature électronique
qui répondent à nos exigences.
Les industriels font des précisions techniques justifiées (pas de référence exclusive à la cryptographie publique)
D'un autre côté les banquiers
sont inquiets et voudraient que leurs systèmes soient d'office agréés !
Notamment Cyber-comm s'apperçoit
que son système ne remplit pas les critères du décret sur la signature électronique parce qu'il ne permettent pas d'assurer l'intégrité des messages.
Plutôt que de revoir ou abandonner leurs systèmes déjà obsolètes,
ils ont la prétention de vouloir rabaisser les exigences du décret, on croît rêver !
On ne comprend pas non plus pourquoi l'identification se ferait uniquement grace à un prestataire spécialisé
et pas par une toile de confiance d'utilisateurs comme pour PGP.
Par exemple 2 témoins pourraient attester valablement de l'identité d'une personne.
A ce niveau, l'établissement de l'identité par plusieurs personnes est préférable car le prestataire unique de certification peut être abusé.
Ce point n'apparait même pas dans la synthèse des contributions !
11. Parution du decret
31/03/2001 Parution du décret sur la signature électronique
Le décret sur la Signature électronique est
paru au journal officiel du 31/03/2001.
Les conditions pour qu'un système de signature électronique soit reconnu conforme par les services du Premier Ministre sont cumulatives
et la procédure de certification sera définie par un arrêté,
ce n'est donc pas tout de suite que l'on devrait voir apparaître des systèmes
de signature électroniques et des prestataires de services de certification présumés satisfaire ces conditions.
On peut s'inquiéter cependant que les principes de signature des systèmes agréés ne soient pas forcément
rendus publics car quand un problème surviendra sur un dispositif de création de signature agréé mais opaque,
il sera très difficile à la victime d'inverser
la preuve, notamment que le système ne remplit pas les conditions de l'article 3 I 1) du décret, puisque la victime ne sait
rien du système
(surtout que vu la complexité de la réglementation le juge risque de ne pas y comprendre grand chose).
Dans la théorie, il n'y a pas de faille mais en pratique, ce n'est pas toujours le cas et un système sûr à un moment donné peut ne plus l'être quelques années plus tard,
rien n'est prévu pour réviser les agréments fournis par le DCSSI.
Faudra pas s'étonner alors si une situation analogue à celle de la carte bancaire se produit dans 10 ans
(les clés obsolètes et cassées à 320 bits choisies en 1983 sont toujours utilisées dans toutes les cartes bancaires françaises)
Il reste aussi des points en suspend :
- la responsabilité du prestataire de service de certification
prévue par la directive européenne (est introduit dans la préversion du projet de loi sur la société de l'information)
- la compatibilité du service d'annuaire prévu à l'article 6 II b du décret
avec la loi Informatique et Libertés.
12. Conclusion
Comme on l'a vu, beaucoup de problèmes restent en suspend sur ce sujet fondamental, cette consultation a permis de les relever, en partie seulement, et on peut craindre que cela soit un peut tard.
Le débat démocratique aurait dû avoir lieu à l'Assemblée Nationale et cette loi a été adopté à la sauvette, sans véritable débat de fond.
La seule intervention pertinente à l'Assemblée Nationale a été celle de la députée apparentée UDF Christine Boutin, qui s'inquiétait des risques pour le consommateur,
invoquant l'exemple de l'affaire "Humpich", alors que cette députée s'intéresse surtout
aux problèmes liés à la famille (genre le PACS).
La France a légiféré rapidement sur ce sujet, suite à une directive européenne.
Cependant la directive européenne ne s'intéressait qu'aux problèmes de concurrence et d'homogénéité à l'intérieur du marché européen et ne s'est pas intéressé
aux problèmes de fond et des risques de la signature électronique pour le consommateur, du fait de son absence de fiabilité.
Cela se comprend vu les intérêts économiques puissants en jeu qui sont demandeurs d'une sécurité juridique, mais cela ne doit
pas être un instrument privant les consommateurs de tout recours en cas d'abus.
Il ne faut pas oublier que le coût d'une expertise pour établir l'absence de fiabilité d'un dispositif risque non seulement d'être heurté à un problème de coût
que devra avancer le consommateur mais à un problème de prétendue confidentialité du procédé que le fabricant du dispositif invoquera.
13. Liens
| code civil | Partie du code civil sur la preuve électronique |
| Site internet gouvernemantal sur la société de l'information |
Consultation publique sur le projet de décret sur la signature électronique
(Attention on n'a pas le moyen de savoir si la contribution a été bien pris en compte en on ne connait pas les contributions des autres intervenants) |
| Union européenne | Directive européenne sur la signature électronique | Juriscom.net | Bon article de Maître Sédallian sur la signature électronique | TBS-internet | Signature électronique S/MIME |
| DCSSI | Direction centrale de la sécurité des systèmes d'information |
| Gouvernement | Synthèse des contributions reçues sur le projet de signature électronique. |
| Gouvernement | Explications du décret sur la signature électronique. |
| IRIS 15/09/2000 | Contribution d'IRIS sur le projet de décret sur la signature électronique. |
| 01 Net 05/12/2000 |
Article "La loi sur la signature électronique remise en question".
Intervention de George Sarre sur des failles de la présentation du numéro de téléphone. On espère que personne n'avait imaginé qu'un numéro de téléphone appelant permettrait d'identifier une personne et que l'identification d'une personne dans le cadre de la signature électronique se fera par des moyens plus fiables |
| 31/03/2001 décret | 31/03/2001 Parution du décret sur la signature électronique |
| 17/08/2000 Transfert | "L'Allemagne simplifie sa loi sur la signature électronique" |
| 01/07/2000 CNN | Loi américaine assez floue sur la signature électronique |
| 20/10/2000 Droit-Technologie | Loi belge du 20 octobre 2000 sur la signature électronique entrée en vigueur le 22/12/2000 et projet de loi sur les prestataires de service de certification |
| 14/08/2000 Luxembourg |
Loi du 14 août 2000 sur la signature électronique et les contrats conclus par voie électronique adoptée le 12/07/2000 par le grand Duché du Luxembourg.
Projet de réglement grand Ducal pour application de la loi sur la signature électronique |