Les signatures électroniques ne sont pas valides ad vitam aeternam
Dans ce contexte de crise sanitaire, nombreuses sont les entreprises qui ont été dans l’obligation d’avoir recours au télétravail. La nécessité de la signature électronique s’est alors fait ressentir lorsque les collaborateurs se sont vus dans l’incapacité de se rendre au bureau pour signer des documents de manière manuscrite.
Le marché observe depuis lors une demande croissante pour la digitalisation du processus de signature. Néanmoins, la majorité des bénéficiaires de cette digitalisation a tendance à penser que le processus de signature s’arrête une fois que le document est signé et transmis. Ce processus ne s’arrête pourtant pas là. Lorsqu’un document signé doit rester valide au-delà de plusieurs années, la validité technique de sa ou ses signature(s) doit être préservée.
Mais préservée de quoi ?
Trois évènements majeurs peuvent invalider une signature électronique dite « basique » :
- L’expiration du certificat : Prenons par exemple une carte d’identité. Cette carte d’identité a une date d’expiration. C’est pareil pour un certificat de signature. Une fois ce certificat expiré, celui-ci ne peut plus être utilisé pour créer des signatures.
- La révocation du certificat : Comme la carte d’identité, le moyen de création d’une signature électronique (aussi appelé « clef privée ») peut être volé. L’utilisateur fait donc une demande de révocation. Il demande à son fournisseur que les signatures créées à partir de la date du vol ne soient pas valides. Le certificat de signature est alors révoqué.
- La dépréciation des algorithmes cryptographiques : La puissance des ordinateurs augmente, et les chances qu’un attaquant puisse produire deux documents différents mais couverts techniquement par la même signature augmentent aussi. Certains algorithmes qui sont utilisés pour créer la signature deviennent un jour dépassés par la puissance des ordinateurs. Ces algorithmes sont alors dits dépréciés.
Ma signature a été créée alors que mon certificat n’était ni expiré, ni révoqué et j’ai utilisé les algorithmes cryptographiques recommandés. Que puis-je craindre ?
Le problème avec les signatures électroniques dites « basiques » est que l’on ne peut pas faire confiance en leur date de création. Une signature créée sur un ordinateur ou un serveur qui indique comme date le 1er janvier 1990 indiquera que le document a été signé le 1er janvier 1990. Il est alors tout à fait possible d’inclure au moment de la signature une date antérieure à la date de signature réelle.
Comment faire confiance en la signature électronique si je ne peux pas me fier à sa date de création ?
Le plus souvent, un horodatage électronique (en anglais « electronic timestamp ») est ajouté à la signature lors de sa création, par le logiciel de création de signature lui-même. Ces horodatages établissent la preuve que la signature existait à un moment donné.
Maintenant que ma signature est horodatée, est-ce que mon document a besoin d’autre chose ?
Afin de garantir la validité du document à long terme, il est également recommandé d’y inclure toutes les preuves que la signature et son horodatage n’étaient pas révoqués au moment de la signature. Ces données s’appellent les données de révocation, elles sont disponibles en ligne à un endroit donné mais il est très probable qu’elles ne soient un jour plus disponibles (par exemple, après l’arrêt des activités du fournisseur). Il est alors recommandé d’inclure toutes ces données dans la signature tant qu’elles sont encore disponibles. Finalement, un dernier horodatage est appliqué pour assurer que ces données existaient bien au moment donné et pour protéger leur intégrité.
La validité technique de la signature est maintenant protégée pour plusieurs années. À plus long terme, il est recommandé d’inclure les données de révocation du dernier horodatage et de réappliquer un horodatage sur le tout. Ce processus se fait généralement dans le cadre d’un service de préservation. C’est d’ailleurs l’un des services qualifiés définis dans le règlement n°910/2014 sur l’identification électronique et les services de confiance, mieux connu sous le nom de règlement eIDAS.
Tous ces niveaux de signature sont appelés « baseline levels » et sont définis par les organismes de standardisation tels qu’ETSI (European Telecommunications Standards Institute) en Europe.
Besoin de plus d’informations sur la préservation des signatures électroniques ? N’hésitez pas à nous contacter à l’adresse suivante : info@nowina.lu
Auteur: Xavier SCHUL