CHAPITRE 1. La cryptographie où la sécurité technique des transactions immatérielles

2.      Une recherche de confiance par la certification

Tout cet arsenal juridique et technique peut avoir un impact limité auprès des utilisateurs dont la confiance n’est pas encore gagnée et qui dès lors par manque de confiance hésitera a effectué une transaction sur le net. Seule la confiance peut en effet être l’élément de base des relations professionnelles entre les hommes. La confiance joue un rôle plus qu’important dans les échanges électroniques puisque dans ces hypothèses de communication les acteurs ne sont pas physiquement présents. Ce sera alors la possibilité de connaître précisément son interlocuteur et la possibilité de l’authentifier qui permettront d’instaurer un climat de confiance propre au monde des Affaires et nécessaire à son évolution. Si la cryptographie permet de sécuriser les échanges en chiffrant les documents transmis, il semble falloir encore aller plus loin en permettant aux utilisateurs de s’assurer de l’identité de celui qui se trouve à l’origine ou à l’arrivée du message protégé. C’est ici que la certification a son rôle à jouer. C’est en effet pour répondre à cette problématique que la pratique a envisagé le recours à la certification par le biais d’une tierce personne appelée “tierce partie de confiance.”

2.1. Le tiers de confiance doit faciliter la conclusion de la transaction

Ce tiers a la charge de vérifier que la clé publique envoyée au destinataire correspond bien à celle de la personne désignée grâce à cette clé. Cette charge imposée à cette tierce partie de confiance est substantielle puisque ce tiers va engager sa responsabilité professionnelle. Son rôle consiste à établir un certificat qu’il délivrera à toutes les personnes qui seront intéressées, ce qui aura pour conséquence de créer une relation entre le tiers certificateur et le signataire.

Cette technique est attestée par la Loi de l’UTAH aux Etats-Unis qui pose le principe selon lequel “la fiabilité de chaque signature créée par une clé privée dépendra en partie de la fiabilité de l’association faite par le tiers certificateur entre cette clé et une personne”.[1]. Cette technique de certification répond à une recommandation internationale, la recommandation X509, selon laquelle une autorité de certification est “une autorité chargée par un ou plusieurs utilisateurs de créer et d’attribuer leur clé publique et leur certificat.”.

Dans cette recommandation, les tiers certificateurs sont appelés “prestataires de services de certification (PSC)” et sont définis comme “toute personne physique ou morale qui délivre des certificats au public ou lui fournit d’autres services liés aux signatures électroniques.” L’annexe 2 de la recommandation internationale précitée fixe certaines exigences auxquelles doivent satisfaire les prestataires de services de certification. Ainsi, doivent-ils jouir du crédit nécessaire, utiliser des systèmes fiables, archiver les informations relatives aux certificats, disposer de ressources financières suffisantes, ne pas conserver la clé privée de signature cryptographique…

Cette technique de certification peut ainsi apporter énormément de garanties puisqu’elle va permettre de certifier la correspondance entre deux données ainsi que leur association étroite. Une des fonctions également assurée par une autorité de certification est d’émettre des certificats.

2.2. L’émission de certificats

Les certificats servent à l’identification du titulaire de la clé privée correspondant à la clé publique mentionnée dans le certificat. Il peut se définir comme “ une attestation numérique qui lie un dispositif de vérification de signature à une personne, confirme l’identité de cette personne. ”

Le certificat de base est un objet informatique logique qui permet de lier de façon intangible une entité à certaines caractéristiques de cette entité. A l’instar d’un passeport qui établit un lien entre une photographie, l’identité d’une personne donnée et une signature manuscrite, le certificat est un “passeport virtuel”[2] qui va officialiser un lien entre l’identité d’une personne et une clé publique. Pour ce faire, ce certificat contiendra le nom du porteur, la clé publique du porteur, le nom de l’autorité de certification, la durée de validité du certificat…

La finalité du certificat étant d’être remis au destinataire de la clé publique, il faut qu’il soit préalablement créé à partir de la demande du détenteur de la clé publique. Ainsi, après que les informations à certifier aient été contrôlées afin que le tiers certificateur garantisse des données exactes, le certificat est créé. Ce certificat doit ensuite parvenir à l’utilisateur de la clé publique. Il peut ne pas avoir une durée de vie illimitée et est en général soumis à ce que l’on peut appeler un cycle de vie. Il doit normalement être périmé à l’issue de la période de validité que les parties doivent prévoir dès l’origine mais il peut également l’être avant si cela est nécessaire. La révocation sera alors faite dans les délais les plus brefs et sera portée à la connaissance de tous grâce à un procédé publicitaire. En effet, une liste de révocation référence de façon facilement accessible tous les certificats qui ont été révoqués. Cette liste permet un contrôle précis de la clé publique puisque le destinataire du certificat pourra vérifier la pertinence du certificat, la validité de la clé, ainsi qu’avoir la certitude que le certificat est toujours valide.

La confiance des tiers envers les certificats émis et signés par le prestataire de service de certification résulte de la qualité et du sérieux des conditions d’attribution des certificats émis par ce prestataire de services de certification. Ces prestataires de services ont donc tout intérêt à fournir un travail de qualité tendant à la sécurisation des échanges électroniques.

Ce certificat sera dénommé “certificat de clé publique” quand l’une des caractéristiques est une clé publique. Dans les autre cas, il s’agira “d’une clé d’attributs” ou d’un “certificat de clé d’attributs”. La certification d’attributs jouera également un rôle primordial et pourra permettre en particulier de s’assurer de la qualité de celui qui signe. En effet, comme nous avons pu le dire, il est une chose de savoir que Monsieur X est le signataire mais il en est une autre de pouvoir s’assurer de la qualité de Monsieur X lorsque celle-ci est primordiale (qualité pour concrétiser valablement l’acte...).

La fourniture d’une telle certitude pourra être apportée par la certification ou plutôt ici par un processus de notarisation électronique. C’est en effet à propos de cette certification que divers auteurs ont pu parler de “notaire électronique” ou de “cyber notaire”. Une différence fondamentale demeure cependant par rapport au notaire de Droit commun dans la mesure où le tiers de certification n’a pas pour mission d’établir, de dater et de conserver des actes juridiques conformément aux prescriptions légales.[3]

Cette notion de notaire électronique est en effet à considérer avec précaution car il ne s’agit pas ici d’un officier ministériel même si le concept de notaire électronique fait actuellement l’objet de soins attentifs de diverses commissions. Le notaire électronique, si ce terme commode peut être utilisé, est seulement un prestataire de service et ne détient pas son pouvoir par l’intermédiaire de l’Etat. De plus, il s’agit d’un tiers c’est-à-dire, d’un point de vue juridique, qu’il s’agit d’un individu non signataire d’un contrat mais qui peut être concerné par l’exécution de ce contrat. Aussi intéressants et indispensables que soient les services des tiers certificateurs, ils ne possèdent aucune dimension juridique par nature. En effet, si le notaire électronique peut offrir des garanties juridiques, ceci ne provient pas de la Loi ou de la nature des tiers certificateurs. Ce pouvoir émane du fait qu’il s’agit d’un tiers au contrat que les parties ont choisi et à qui ils font confiance. Il est une offre commerciale intéressante pour les utilisateurs à qui il est rendu un service de nature technique.

Si les parties veulent utiliser ces services techniques au bénéfice de l’organisation juridique de leurs échanges électroniques, ils doivent le faire dans le cadre d’un contrat spécifique. La personne désirant obtenir une telle sécurité s’adressera au service de notarisation et lui demandera de vérifier, ainsi que de certifier, la qualité ou l’attribut d’un environnement ou d’une personne. Ce demandeur obtiendra un certificat adapté à ses attentes de la part du certificateur et pourra s’assurer de l’existence et de la réalité de caractéristiques pour lui essentielles. Cette émission des certificats ne peut être étudiée sans prendre en considération l’aspect responsabilité.

Ainsi, en ce qui concerne la responsabilité des tiers certificateurs, il est possible de faire application de la jurisprudence selon laquelle le contrat peut limiter la responsabilité de l’opérateur sans aller pour autant jusqu’à la supprimer. Ainsi, l’émetteur d’un message ne devrait pas pouvoir se défaire de sa responsabilité vis-à-vis du destinataire sur le seul tiers certificateur, sur l’opérateur de télécommunications ou sur les autres prestataires.

La complexité des situations et l’ampleur des conséquences dommageables conduisent à raisonner en termes de faute ou de risque et le partage des responsabilités devra se décider de façon contractuelle. Cette responsabilité des prestataires de service de certification est en réalité limitée du fait de l’existence même de la Directive sur la signature électronique. Ainsi, la responsabilité ne portera que sur les certificats agréés et la responsabilité en cascade sera donc impossible à mettre en œuvre. La responsabilité du prestataire de service de certification couvre l’exactitude et la pertinence des informations contenues dans le certificat agréé sauf si le prestataire de service de certification prouve qu’il n’a commis aucune faute.

La responsabilité peut être cantonnée dans les limites d’utilisation du certificat telles que spécifiées dans celui-ci ou à une certaine somme limitée contractuellement. Il doit de plus exister des garanties juridiques pour le cas où le prestataire de service de sécurité manquerait à ses obligations. Cette question de la responsabilité du prestataire de service de certification est particulièrement sensible lorsque le certificat est erroné. Les textes prévoient la responsabilité des prestataires de service de certification sur l’exactitude des informations certifiées par eux et sur l’imputabilité de la signature.

D’une manière générale, le prestataire de service de certification a l’obligation d’assurer la sécurité du système mis en place, ce qu’ils font par l’authentification et l’horodatation des certificats. Afin de conférer une force plus grande aux certificats, les autorités de certification ont pris l’habitude d’authentifier elles-mêmes les certificats en y apposant leur signature numérique. Elles y incluent une référence contractuelle : leurs “Certifications Practice Statement”. L’incorporation par référence de ces termes commerciaux qui sont de véritables conditions générales ne manquera semble-t-il pas de poser de sérieux problèmes juridiques notamment en ce qui concerne les clauses exonératoires ou limitatives de responsabilité. En effet, selon la jurisprudence française, il est indispensable que les conditions générales aient été communiquées et acceptées par l’autre partie, ce qui ne semble pas toujours être la règle en la matière.

La certification peut également jouer un rôle majeur en ce qui concerne l’horodatation. Il s’agira de munir les messages électroniques d’une date et d’une heure certaine. Cette certification électronique contrairement aux procédés existants jusqu’à présent, permettra d’apporter une heure totalement incontestable afin de conduire à une plus grande sécurité des échanges électroniques. La nouvelle étape de la certification semble désormais reposer sur une nouvelle technique mise en place par les professionnels à savoir les sites certifiés.

Les travaux canadiens actuels font en effet apparaître une nouvelle forme de certification : les sites certifiés. Un projet canadien repose sur la création d’un sceau de certification qui attestera que certains critères de sécurité sont respectés. Ces critères seront bien évidemment l’intégrité, la confidentialité et tous les autres critères nécessaires à l’instauration de la confiance. Ce sceau sera validé plusieurs fois dans l’année pour s’assurer que le site respecte toujours les critères de sécurité élaborés. La personne consultant le site pourra accéder aux différents rapports relatifs à ce site.

Afin de pousser la sécurité au plus loin possible, un certificateur fournira un service d’authentification qui garantira au consommateur que le sceau qui apparaît sur le site est véritablement authentique et que le site a été correctement autorisé à l’afficher. Pour plus de précision sur ce point, le lecteur est invité à un exemple concret situé en annexe et reposant sur la mise en place du sceau certifié dénommé WEBTRUST[4]. La cryptographie, après avoir été une arme de guerre, semble désormais avoir été “domestiquée” afin d’être au service du développement commercial des nouvelles “autoroutes de l’information”. La recherche toujours accrue de sécurité a même conduit à passer de la cryptologie à la certification ce qui permet de répondre à de nouvelles attentes sécuritaires. Cependant afin d’être réellement efficace et sécurisée, cette technique de certification se doit d’être organisée.

Nous pouvons ainsi constater que les systèmes cryptographiques s’organisent afin de satisfaire les attentes des internautes ou des acteurs des échanges électroniques. La certification joue un rôle primordial en la matière en permettant d’apporter la confiance nécessaire au développement de ces échanges. Les juristes, aidés par le législateur, ont désormais pris la mesure de la problématique et semble mettre en place des règles adaptées aux attentes des acteurs des autoroutes de l’information. Un grand pas a été d’ailleurs franchi pour la sécurité juridique des échanges électroniques grâce à l’adoption de la Loi relative à la signature électronique.

[1] Utah Digital Signature Law, Utah Code Annotated, Titre 46, Chap.3.
[2] Frédéric MASCRE, Avocat, cabinet Mascré Heguy associés.
[3] A.GOBIN, “Pour une problématique notariale des autoroutes de l’information”, JCP éd. Notariale, p.1749 et s.
[4] Confiance dans le Web