la signature électronique en Tunisie

La Tunisie a promulgué une loi sur le commerce électronique : la loi n° 2000-83 du 9 Août 2000, relative aux échanges et au commerce électronique,                 a défini le certificat électronique et la signature électronique, favorisant un environnement propice au développement des échanges et du commerce électronique, et a permis la création de l’Agence Nationale de Certification Electronique (ANCE) autorité racine de certification électronique en Tunisie, en vue de représenter le plus haut niveau de confiance dans le domaine           de la certification électronique, de la sécurité des transactions et des échanges électroniques.
L’Agence Nationale de Certification Electronique (ANCE) a pour principale vocation de sécuriser les échanges électroniques dans divers domaines         tels que le e-commerce, l’e-gouvernement, l’e-Banking, l’e-finance,                l’e-enseignement ainsi que l’e-santé … Son rôle consiste à sécuriser les transactions de paiement et l’authentification des différents acteurs.            C’est ainsi que toute personne désireuse d’effectuer une opération de paiement sur un site sécurisé par un certificat de l’Agence Nationale de Certification Electronique peut être sûre qu’elle s’adresse à un site fiable et que toutes les données qu’elle communique sont sécurisées. Les principales autres missions de l’ANCE consistent à :



  • Etablir des accords de reconnaissance mutuelle avec les Autorités de Certification étrangères.
  • Gérer les certificats électroniques (génération, révocation, publication et conservation de certificats).
  • Octroyer des autorisations d’activité de fournisseur de services de certification électronique.
  • Définir les caractéristiques techniques des dispositifs de signature et de vérification de signature.
  • Effectuer l’homologation des systèmes de cryptage.



L’ANCE délivre essentiellement deux types de certificats électroniques :



  • Certificat de signature : qui permet d’associer l’identité d’une personne à une clé publique. Il peut être utilisé pour signer, crypter des messages électroniques et s’authentifier lors d’une session sécurisée, comme par exemple lors de la consultation de son compte bancaire, télé déclaration fiscale, CNSS, CNRPS, CCP net, et déclaration douanière, etc….
  • Certificat serveur : Il associe l’identité d’un serveur web à une clé publique. Il permet la sécurisation des échanges entre le serveur et ses clients lors de l’établissement d’une session sécurisée par exemple pour l’achat ou le paiement en ligne sur un site marchand.

 

FAQ sur la signature électronique


Qu’est-ce que une signature électronique?

Une signature manuscrite consiste à apposer une marque personnelle sur un document papier. Elle exprime la volonté du signataire et son accord par rapport au contenu du document. Transposée dans le monde électronique, la signature électronique a la même valeur légale que la signature manuscrite.
La signature électronique est formée de trois composantes :

·        Le document porteur de la signature.

·        La signature elle-même.

·        Le certificat électronique authentifiant le signataire .


La signature électronique est-elle visible sur le document signé ?

La signature électronique se différencie de la signature écrite par le fait qu’elle n’est pas visuelle mais correspond à un nombre ou une suite de nombres. En effet, l’action de signer numériquement produit une information binaire appelée communément signature électronique. Un document peut contenir plusieurs signatures électroniques.

Quels types de fichiers peuvent être signés électroniquement ?

Tous types de fichiers sans exception peuvent être signés (documents Word, PDF, XML, etc.). Le format de fichier le plus utilisé est le PDF, pour sa portabilité et aussi la possibilité d’apposer plusieurs signatures électroniques. Mais également les fichiers XML normés pour les échanges entre les entités publiques.

A quoi sert la signature électronique ?

Tout comme les signatures manuscrites, les signatures électroniques sont utilisées pour identifier les co-signataires (auteurs) des données électroniques (un email par exemple).
Les signatures électroniques permettent de garantir les propriétés de sécurité suivantes:

·        Authentification : la vérification de l'identité d'une personne (ou d'un hôte : serveur et client). Cela garantit l'identité de la personne qui a signé les données : l'origine du message, du document ou de la transaction est incontestable.

·        Confidentialité et Intégrité des données : la signature électronique protège l'intégrité des données. Cela signifie que le document reçu n'a pas été altéré, volontairement ou involontairement. Dans le cas contraire, le document est signalé comme ayant été modifié.

·        Non-répudiation : le signataire d'un document prouve son identité. La non-répudiation établit, plus tard, qui a participé à une transaction. L'expéditeur ne peut nier avoir envoyé le message et le destinataire ne peut nier l'avoir reçu. Simplement, la non-répudiation signifie qu'une information ne peut être rejetée, tout comme avec les signatures manuscrites.

Les signatures électroniques sont créées et vérifiées grâce aux certificats électroniques.

Qu’est-ce qu’un certificat électronique ?

Un certificat électronique est un document sous forme électronique qui a pour but d’authentifier l’identité de la personne signataire : c’est la carte d’identité du monde électronique.

Que contient un certificat électronique ?

Les informations contenues dans le certificat électronique sont les suivantes :

·        Le nom du porteur du certificat.

·        La date de début de validité du certificat.

·        L’organisation à laquelle appartient le porteur (si nécessaire).

·        L’adresse où trouver les listes de certificats révoqués (LCR).

·        Le nom de l’entreprise de confiance, c’est-à-dire de l’autorité qui a émis ce certificat électronique.

·        La signature de cette autorité sur ce certificat.

·        Eventuellement la photographie du porteur ou du logo de l’entreprise.

·        etc…

Le certificat électronique est divisé en deux parties :



·        La première partie contient les informations.

·        La deuxième partie contient la signature de l’autorité qui a délivré le certificat.

Qui délivre le certificat électronique ?

Le certificat électronique doit être délivré par une autorité de certification (AC) qui est un organisme reconnu comme étant compétent pour délivrer des certificats à une population auprès de laquelle elle a toute confiance et en assurer la validité. Elle s'engage sur l'identité d'une personne au travers du certificat électronique qu'elle lui remet.
Une autorité de certification est responsable (vis-à-vis de ses clients, mais aussi de toute personne se fiant à un certificat électronique qu'elle a émis) de l'ensemble du processus de certification et, par voie de conséquence, de la validité des certificats qu'elle émet. Par ailleurs, c’est elle qui définit la politique de certification et la fait appliquer.
Une autorité de certification s'organise autour de trois fonctions fondamentales :

·        Fonction d'organisation : traitement des demandes de certificats, contrôles des informations, validation ou rejet des demandes, révocation des certificats.

·        Fonction technique : responsable de la production des certificats électroniques, environnement sécurisé de bout en bout.

·        Fonction de distribution des certificats

Comment signer un document ?

Lorsque vous signez un document, le logiciel de signature en crée une empreinte numérique, appelée hachage : sorte de condensé numérique composé d’une suite de lettres et de chiffres. Le hachage est unique (la plus petite modification du document produira un hachage différent). Ce hachage est ensuite chiffré (codé) grâce à la clé privée de votre certificat numérique. Le hachage chiffré et la clé publique sont réunis pour composer la signature numérique, annexée au document.

Comment vérifier une signature ?

Lorsque le document signé est ouvert, le hachage est déchiffré grâce à la clé publique du signataire. Puis le logiciel de vérification recalcule le hachage du document : si celui-ci est identique au hachage déchiffré auparavant, le document n’a pas été modifié. Le logiciel affiche alors un message certifiant son intégrité, ainsi que le nom du signataire.
Donc le principe de la signature électronique repose sur deux familles d’algorithmes, qui seront utilisés de manière complémentaire :

·        Des algorithmes de chiffrement dit asymétriques ou à clef publique.

·        Des fonctions de hachages




Il est fortement recommandé d’associer un horodatage à chaque signature électronique.

C'est quoi un algorithme de chiffrement symètrique ?

Le principe d’un algorithme asymétrique est simple. Un couple de clefs numériques est construit de manière à ce que le cryptogramme (texte crypté) généré à partir d’un texte clair et l’une des clefs ne puisse être aisément retrouvé qu’avec l’autre clef.
En pratique, l’une des clefs est conservée secrètement : clef privée, tandis que l’autre est diffusée publiquement : clef publique. Seul le propriétaire d’une clef privée (l’émetteur dans notre exemple) aura pu chiffrer un texte déchiffré avec la clef publique associée.


C'est quoi une fonction de hachage ?

Est une fonction à sens unique et sans collision qui permet de calculer une empreinte (ou condensat) de taille fixe à partir des données fournies de tailles variables. Ces fonctions sont dites à sens unique car il est impossible de retrouver les données initiales à partir de l’empreinte.
Une fonction est dite sans collision ou injective lorsqu’il est réputé très difficile de trouver deux sources différentes conduisant à un même résultat.
Le calcul du condensat d’un document et la comparaison de celui-ci avec sa valeur initiale permet de contrôler l’intégrité d’un document.


C’est quoi l’horodatage électronique ?

Nombreuses sont les procédures administratives qui mettent en jeu la date d’envoi des documents : dépôt de candidatures, réponses à des appels d’offres, déclarations diverses, etc. Les mécanismes traditionnels utilisent le cachet de la poste.
La dématérialisation de telles procédures passe par un équivalent électronique à ce cachet de la poste. Le format PKCS#7 qui décrit les conteneurs de données signées dans la messagerie électronique inclut un champ pour indiquer la date à laquelle le message a été signé. C’est toutefois la date et l’heure du poste de travail du signataire qui sont utilisés dans ce champ. L’émetteur peut donc tricher en indiquant des dates fausses. De la même façon, un tiers mal intentionné ayant récupéré une clé privée associée à un certificat périmé peut ramener artificiellement la date de sa machine dans la période de validité du certificat et émettre des documents signés.
La signature électronique d’un document est donc indissociable d’un mécanisme qui garantit que le document existait à une date et une heure donnée et n’a pas été altéré depuis. C’est l’horodatage. Il consiste à transmettre à une autorité de confiance, appelée autorité d’horodatage, une requête comprenant le condensat du document à horodater. L’autorité renvoie au demandeur un jeton d’horodatage, le condensat, une date et une heure, le tout signé par l’autorité d’horodatage.




Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Image
  la signature électronique en Tunisie La Tunisie a promulgué une loi sur le commerce électronique : la loi n° 2000-83 du 9 Août 2000, relative aux échanges et au commerce électronique, a défini le certificat électronique et la signature électronique, favorisant un environnement propice au développement des échanges et du commerce électronique, et a permis la création de l’Agence Nationale de Certification Electronique (ANCE) autorité racine de certification électronique en Tunisie, en vue de représenter le plus haut niveau de confiance dans le domaine de la certification électronique, de la sécurité des transactions et des échanges électroniques. L’Agence Nationale de Certification Electronique (ANCE) a pour principale vocation de sécuriser les échanges électroniques dans divers domaines tels que le e-commerce, l’e-gouvernement, l’e-Banking, l’e-finance, l’e-enseignement ainsi que l’e-santé … Son rôle consiste à sécuriser les transactions de paiement et l’authentification des diff...
Lire la suite