Les moyens d’identification
De nombreuses traces peuvent être qualifiées de preuve par écrit, indépendamment du support utilisé et des modalités de leur transmission. Toutefois, l’origine de cet échange électronique doit être sécurisée et garantir son authenticité. Cela consiste à pouvoir identifier le signataire et disposer de suffisamment de garanties en matière d‘identification et d’authentification.
Identification et authentification
En principe, l’identification se réalise au moyen de signature qui doit être appréciée et analysée eu égard aux dispositifs de signature électronique. À côté de l’établissement de tels dispositifs, il existe d’autres moyens d’identification tels que l’identification par cartes à puces, utilisés pour les téléphones portables ou bien la carte bancaire, ou bien encore les certificats de signature pour les supports matériels comme pour les logiciels, qui constituent un procédé n’identifiant pas directement la personne dont émane l’acte mais la personne à laquelle l’acte sera imputé.
Une signature électronique basée sur la cryptologie à clé publique, dite signature numérique permet également de garantir l’identification et peut servir de preuve. Avec la signature numérique, l’identification du signataire correspond au nom de la personne inscrite dans le certificat en qualité de signataire lié à une paire de clé asymétrique.
Toutefois se pose la question de savoir ce qui pourrait se passer si la personne figurant sur le certificat met à la disposition d’une autre personne de son choix, son code ou son mot de passe ainsi qu’un moyen d’accès à l’Internet. Dans ce cas de figure, l’acte n’émanerait pas directement de la personne identifiée, mais d’un autre internaute qui disposerait du code d’activation de la clé privée du signataire. Il serait assez difficile de savoir de qui émane l’acte. Aussi, le recours à des procédés biométriques comme l’empreinte digitale ou oculaire, serait un meilleur moyen d’attester que c’est bien le signataire qui a activé la clé privée avec les données de création de la signature (directive art. 2).
Techniquement, l’opération d’authentification consiste à vérifier l’origine du message, ce qui implique une identification de l’émetteur-signataire garantie par un tiers indépendant et qui peut être vérifiée par le destinataire.
Le prestataire de service de certification n’authentifie pas le contenu des actes dont il ne connaît pas la teneur, la nature et les noms des destinataires. Il ne peut octroyer un certificat numérique d’identité unique. Il certifie que le dispositif de création de signature est réalisé sous le contrôle du signataire. Il a un rôle important dans l’opération d’identification électronique, mais ne garantit en rien la sécurisation des échanges.
Sécurisation et authenticité
La vérification de l’identité des personnes se réalise en principe à partir de quatre exigences :
- le procédé retenu impose que la signature soit liée uniquement au signataire
- qu’elle permette de l’identifier
- qu’elle soit créée par des moyens que le signataire puisse garder sous son contrôle exclusif
- et enfin, qu’elle soit liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable.
Dans le cadre des procédés d’identification numériques, la délivrance de l’identité se réalise au moyen de certificat électronique émis par le prestataire de service de certification. L’enregistrement peut s’effectuer directement et rapidement, sur présentation des pièces justificatives. Ce certificat qui contient la clé publique de l’abonné est joint au message que la partie entend signer au moyen de sa clé privée, mais il peut également être mis à disposition dans une base contenant les certificats émis par le prestataire de service de certification. Aussi, le récepteur du message ou du fichier signé doit veiller à ce que le certificat qui contient la clé publique correspondant à la clé privée ayant servi à signer soit en cours de validité et qu’il n’ait pas été révoqué. Il procédera à la consultation de la liste de révocation des certificats sur un annuaire publié et mis à jour par le prestataire qui émet les certificats. Le destinataire devra vérifier ensuite la signature que le prestataire aura apposée sur le certificat jusqu’à l’autorité de certification racine, qui est au sommet de la hiérarchie. Avec ce procédé de signature électronique, l’exigence d’identification est respectée.
La traçabilité doit également garantir l’intégrité. L’écrit doit être apporté et conservé sans qu’aucune altération ne soit intervenue depuis la manifestation de volonté d’adhésion au contenu de l’acte jusqu’à ce que le juge soit certain de son contenu.
Avec les nouvelles technologies, le système juridique doit s’appuyer sur des éléments de preuve matérialisés sous forme de traces préconstituées. Il importe que la trace électronique soit établie et conservée dans un souci d’intégrité. Cette obligation probatoire a pour but de garantir la restitution de la trace à partir de sa conservation.
Avec l’Internet, il n’y a pas d’original mais uniquement des copies, excepté le système d’information utilisé. Donc, la distinction se fera selon la nature du support et chaque support fera l’objet d’un traitement juridique différent. En effet, l’information contenue sur le support original a une force probante supérieure à celle apparaissant sur la copie. Ainsi, un acte électronique devrait valoir comme l’original à partir du moment où il présente des garanties fiables quant au maintien de son intégrité.
Les notions d’intégrité et de fidélité permettent toutefois de transposer l’exigence du caractère intact de l’écrit dans le monde du numérique. Ces notions diffèrent de la notion de fiabilité qui ne s’applique qu’aux procédés et processus techniques, ainsi qu’aux systèmes informatiques qui produisent des écrits. Les écrits doivent être intègres et les moyens utilisés doivent être fiables.
Aujourd’hui, seule la signature électronique basée sur un certificat à clé publique permet de garantir cette fonction d’intégrité. Cet outil procède de façon automatique à un concentré du message signé, qu’il chiffre au moyen d’un algorithme de cryptographie (par une fonction dite « hasch » ou « contrôle »). Le message signé est accompagné d’une empreinte obtenue, attestant que le document envoyé est identique au message reçu. Ensuite, le destinataire du message devra vérifier que la signature est correcte, via le résultat du calcul numérique du raccourcissement du message chiffré à l’émission avec le résultat du calcul obtenu lors de la réception. C’est à partir de ce moment qu’on peut s’assurer que le message est bien intégré.