Utilisateur:OlivierAlp/Brouillon

La signature électronique est également appelée signature numérique. Elle s'applique à des documents électroniques, au même titre que la signature manuscrite pour les documents papiers. L’utilisation de la signature électronique permet d'authentifier le signataire et de garanti l'intégrité d'un document. La pandémie de Covid-19 a fait adhérer les retardataires.

Différences entre la signature électronique et la signature numérique[modifier | modifier le code]

La signature électronique est une signature portée par un support numérique. Elle est principalement utilisée dans les cas suivants:

Signature scannée: Il s’agit d’une signature manuscrite prise par photo ou scannée.
Signature manuscrite sur tablette
Signature à la volée: Il s’agit d’attribuer au signataire un certificat électronique dit « éphémère ». Souvent, pour être « activé » lors de la signature du document en ligne, un code d’activation du certificat va être adressé au signataire par SMS.

La signature numérique constitue une variante de la signature électronique, la liaison entre le signataire et l’information à signer est assurée grâce à la cryptographie. ^[1] ^[2].

Le mécanisme de base de la signature numérique[modifier | modifier le code]

Article principal : cryptographie.

La signature électronique est étroitement liée aux technologies de cryptographie symétrique ou cryptographie asymétrique^[3].

La cryptographie symétrique[modifier | modifier le code]

Article principal : Chiffrement symétrique.

Le chiffrement symétrique est une méthode de cryptographie dans laquelle une clé unique est responsable du cryptage et du décryptage des données. Les parties concernées partagent cette clé (un mot de passe ou une phrase secrète) et l’utilise pour déchiffrer ou chiffrer les messages de leur choix. Les chiffrements de clé symétrique, ou les algorithmes utilisés pour effectuer le chiffrement et le déchiffrement sont peu coûteux par rapport au niveau de protection qu’ils offrent. En effet, l'authentification à travers la cryptographie symétrique est construite de manière à ce que les parties ne puissent pas déchiffrer les données cryptées avec une clé symétrique qui utiliserait une autre clé symétrique^[4].

La cryptographie asymétrique[modifier | modifier le code]

Article principal : Chiffrement asymétrique.

Dans le cas de la cryptographie asymétrique, chaque interlocuteur possède une paire de clés composée d’une clé publique et d’une clé privée. Dans ce système, les deux clés sont liées à l’aide d’un algorithme mathématique : les données qui sont cryptées grâce à la clé publique peuvent uniquement être décryptées par la clé privée. Pour garantir la protection des données et le fonctionnement sans entrave de la cryptographie asymétrique, il est indispensable que la clé privée reste privée et ne soit connue de personne, pas même des autres interlocuteurs. La transmission de clés se fait lors du premier contact. Dans le même temps, la clé privée crée une signature numérique et peut ainsi être identifiée par les autres interlocuteurs. En d’autres termes, la cryptographie asymétrique permet que chaque participant puisse accéder à la clé publique, mais ne puisse décrypter les messages qu’avec la clé privée. Cela permet un échange de donnée hautement sécurisé^[5].

Les fonctions de hachage[modifier | modifier le code]

Article principal : Fonction de hachage.

Une fonction de hachage est aussi appelée fonction de hachage à sens unique ou "one-way hash function" en anglais. Ce type de fonction est très utilisé en cryptographie, principalement dans le but de réduire la taille des données à traiter par la fonction de cryptage. En effet, la caractéristique principale d'une fonction de hachage est de produire un haché des données, c'est-à-dire un condensé de ces données^[6].

Les différents niveaux de signature électronique[modifier | modifier le code]

Les différents types de signatures

La signature électronique simple ou basique (SES)[modifier | modifier le code]

Le terme de "signature électronique simple", regroupe l'ensemble des systèmes de signature électronique qui n'ont pas les niveaux avancés ou qualifiés. C'est la procédure actuellement la plus utilisée et correspond au premier stade de sécurité et de reconnaissance légale de la signature d’un document.

Au niveau sécurité, elle n'a pas de contraintes spécifiques établies.

Elle est utilisé pour des actes courants ou comportant des risques juridiques ou financiers limités^[7].

La signature électronique avancée ou numérique (SEA)[modifier | modifier le code]

Cette signature répond à 4 exigences selon le règlement eIDAS qui permettent d'assurer que le signataire ne peut être que celui à qui la signature a été demandée, tout en garantissant l'intégrité des documents.

Ces 4 exigences sont:

être liée au signataire de manière univoque;
permettre d’identifier le signataire;
avoir été créée à l’aide de données de création de signature électronique que le signataire peut, avec un niveau de confiance élevé, utiliser sous son contrôle exclusif; et
être liée aux données associées à cette signature de telle sorte que toute modification ultérieure des données soit détectable^[8].

Ces éléments peuvent se traduire par des systèmes comme le téléchargement puis la vérification de la pièce d’identité du signataire et son ajout au dossier de preuves.

La signature électronique avancée ou numérique qualifiée (SEQ)[modifier | modifier le code]

Elle est réglementairement reconnue dans tous les Etats membres de l’Union Européenne. Cette signature réponds aux mêmes critères de sécurité que la signature avancée mais nécessite que l’identité du signataire soit validée en amont et que la clé de signature se trouve dans un dispositif qualifié de création de signature électronique (QSCD). Des exigences supplementaires sont nécessaire pour la réalisation de ce type de signature.

Les dispositifs de création de signature électronique qualifiés garantissent au moins, par des moyens techniques et des procédures appropriés, que:

la confidentialité des données de création de signature électronique utilisées pour créer la signature électronique est suffisamment assurée;
les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être pratiquement établies qu’une seule fois;

l’on peut avoir l’assurance suffisante que les données de création de signature électronique utilisées pour créer la signature électronique ne peuvent être trouvées par déduction et que la signature électronique est protégée de manière fiable contre toute falsification par les moyens techniques actuellement disponibles;

les données de création de signature électronique utilisées pour créer la signature électronique peuvent être protégées de manière fiable par le signataire légitime contre leur utilisation par d’autres.

Les dispositifs de création de signature électronique qualifiés ne modifient pas les données à signer et n’empêchent pas la présentation de ces données au signataire avant la signature.

La génération ou la gestion de données de création de signature électronique pour le compte du signataire peut être seulement confiée à un prestataire de services de confiance qualifié.

Un prestataire de services de confiance qualifié gérant des données de création de signature électronique pour le compte d’un signataire ne peut reproduire les données de création de signature électronique qu’à des fins de sauvegarde, sous réserve du respect des exigences suivantes:

le niveau de sécurité des ensembles de données reproduits doit être équivalent à celui des ensembles de données d’origine;

le nombre d’ensembles de données reproduits n’excède pas le minimum nécessaire pour assurer la continuité du service^[9].

Les différents formats de signature[modifier | modifier le code]

Les signatures électroniques doivent respecter des formats définis par les articles 1 et 2 de la décision d'exécution (UE) 2015/1506 de la Commission du 8 septembre 2015. Les 3 formats définis sont: XAdES, CAdES, PAdES^[10].

Ces formats permettent d'organiser le stockage de la signature et le contenu signé sur l’un des trois modes suivants:

Signature enveloppée ou encapsulée: les données signées sont contenues dans la signature
Signature enveloppante: la signature est contenue dans la structure des données signées;
Signature détachée: la signature et les données sont contenues dans deux structures différentes^[10]

Le Format de signature électronique XAdES[modifier | modifier le code]

XAdES (XML Advanced Electronic Signatures) est une norme améliorant la norme XML-Dsig (XML Digital Signature). Avec le format XAdES, les informations relatives à la signature (identité, date…) sont dans le fichier XML.

En modes « enveloppant » ou « détachée », il permet de signer n’importe quel type de fichier. En revanche, lorsqu'il est en en mode enveloppé, on ne peut signer que des fichiers XML.

Le mode « détaché » produit un fichier XML sans toucher au fichier original et avec le nom du fichier (sans son chemin) dans un champ URL. Pour vérifier, il faut donc préciser le chemin du fichier original en plus du nom de fichier de signature.
Le mode « enveloppant » produit un fichier XML qui inclut les données du fichier original à l’intérieur. La signature enveloppe les données.
Le mode « enveloppé » ajoute la signature au fichier XML original. On obtient un fichier signé indépendant^[11].

La signature de format XAdES, fournit une authentification de bases, une protection d'intégation et repond aux exigences légales. En revanche, elle ne prévoit pas la non-répudiation de son existence.

Le format XAdES-BES étant le format de base, il existe des extensions complémentaires^[12].

Ces extensions permettent d’étendre la durée de vie de la signature :

XAdES-T: en complément des données ajoutées par le XAdES, cette extension inclut une date, un timestamp à l’intérieur de la signature qui peut être délivré par une autorité d’horodatage(AH)^[13].
XAdES-C: en complément des données ajoutées par le XAdES-T, cette extension inclut les données de validation complètes (chemins de certification et informations sur le statut de révocation du certificat)^[13].
XAdES-X: en complément des données ajoutées par le XAdES-C, cette extension inclut les données de validation étendues (date des références aux données de validation)^[14].
XAdES-XL: en complément des données ajoutées par le XAdES-X, cette extension inclut des données de validation étendues pour le long terme (valeurs des certificats, valeurs des états de révocation)^[14].
XAdES-A: en complément des données ajoutées par le XAdES-XL, cette extension inclut des données de validation pour l’archivage (dates de l’archivage des signatures afin de les protéger au cas où les données cryptographiques deviendraient vulnérables)^[15].

Le format de signature électronique CAdES[modifier | modifier le code]

CAdES (CMS Advanced Electronic Signature) est une extension du format de signature CMS (Cryptographic Message Syntax). C’est un fichier binaire, qui est, en fait, encodé en ASN.1. On peut signer n’importe quel type de fichier avec. L’extension d’un tel fichier de signature peut être pkcs7 ou p7m. CAdES admet deux modes de signature : « enveloppante» ou « détachée »^[16].

Le mode « détaché » produit un fichier binaire sans toucher au fichier original et sans référence à celui-ci à l’intérieur, en terme de noms de fichiers. Pour vérifier, il faut donc préciser le nom du fichier original en plus de celui de la signature.
Le mode « enveloppant » produit un fichier binaire qui inclut les données du fichier original à l’intérieur. La signature enveloppe les données^[17].

CAdES-BES étant le format de base, il existe aussi des formats CAdES avec des extensions complémentaires^[18] ^[17].

CAdES-EPES: cette extension inclut les informations de stratégie de signature au moment de la signature^[19] ^[20].
CAdES-T: cette extension inclut une date, un timestamp à l’intérieur de la signature qui peut être délivré par une autorité d’horodatage(AH)^[21] ^[22].
CAdES-C: cette extension inclut les données de validation complètes (chemins de certification et informations sur le statut de révocation du certificat)^[23] ^[24].
CAdES-X: cette extension inclut les données de validation étendues (date des références aux données de validation)^[25] ^[26].
CAdES-X Long: cette extension inclut des données de validation étendues pour le long terme (valeurs des certificats, valeurs des états de révocation)^[27] ^[26].
CAdES-A: cette extension inclut des données de validation pour l’archivage (dates de l’archivage des signatures afin de les protéger au cas où les données cryptographiques deviendraient vulnérables)^[28] ^[29].

Le format de signature électronique PAdES[modifier | modifier le code]

PAdES (PDF Advanced Electronic Signatures) est une extension du format de signature des fichiers PDF, qui est par défaut en mode enveloppé et qui ajoute la signature au fichier PDF original. C'est une norme pour laquelle la signature peut être identifiable dans le fichier et visible.

Les protections de sécurité fournies par les différents profils PAdES (équivalentes aux formulaires CAdES et XAdES) sont les suivantes^[30] ^[31]:

PAdES-BES: cette extension inclut une protection supplémentaire et des horodatages de signature en option^[30] ^[31].
PAdES-EPES: cette extension inclut les informations de stratégie de signature au moment de la signature^[30] ^[32].
PAdES-LTV: cette extension inclut l'horodatage des documents ajoutés, des certificats CA et la révocation OCSP appliqués au PDF au moment de la signature. Des données de validation et des horodatages supplémentaires peuvent être appliqués à la signature pour une validation à long terme^[30] ^[33].

Le format de signature électronique JAdES[modifier | modifier le code]

JAdES est une extension des signatures JSON Web Signature(JWS)^[34].

Les signatures JAdES permettent deux types d'inclusion de charge utile JWS (données signées): ENVELOPPANT et DÉTACHÉ.

En mode « enveloppant », la charge utile JWS est enveloppée dans la signature JAdES. Ce type ne permet de signer qu'un seul document.
En mode « détaché», une simple signature JWS permet un empaquetage DÉTACHÉ en omettant la charge utile JWS dans la signature créée. Pour le processus de validation, le contenu détaché doit être fourni et il est traité de la même manière que celui joint.

La norme JAdES offre la possibilité de signer plusieurs documents avec une seule signature de manière détachée^[35] ^[36].

Les certificats[modifier | modifier le code]

Un certificat électronique de personne est l’équivalent électronique d’une carte d’identité ou d’un passeport. Un passeport contient des informations concernant son propriétaire (nom, prénom, adresse…), la signature manuscrite, la date de validité, ainsi qu’un tampon et une présentation (forme, couleur, papier) qui permettent de reconnaître que ce passeport n’est pas un faux, qu’il a été délivré par une autorité bien connue. Un certificat électronique est un petit fichier qui contient des informations similaires. Le format standard actuellement est le format X509v3. Ils contiennent les informations suivantes :

le nom de l’autorité (de certification) qui a créé le certificat,
le nom et le prénom de la personne,
son adresse électronique,
sa clé publique,
les dates de validité du certificat,
la signature électronique de ce certificat.

L’authenticité d’un certificat est assurée par le fait qu’il est signé par l’émetteur du certificat, une autorité compétente, appelée « autorité de certification » ou AC, qui a pris toutes les mesures nécessaires pour vérifier les éléments contenus dans le certificat^[37].

Les types de certificats[modifier | modifier le code]

On distingue plusieurs types de certificats selon l’usage qu’il en est fait:

Certificat de chiffrement: Il est utilisé afin de protéger la confidentialité des données en les chiffrant avec la clé publique de l’utilisateur qu’il s’agisse d’une personne physique ou d’une personne morale (certificat serveur TLS)^[38].

Certificat de signature: Utilisé pour signer des données, on peut en distinguer deux sortes:

Certificat de signature des clés:il est détenu par des sous-autorités de certification et il permet uniquement de signer les clés privées/publiques d’un utilisateur final
Certificat de signature de documents: il est détenu par le porteur et permet de signer des documents. Quand le porteur est non humain, le RGS comme eIDAS utilise le terme de cachet ou cachet serveur au lieu de signature^[38].

Certificat d’horodatage: Il permet d’horodater des données. On peut les classer comme sous-catégorie des certificats de signature. Ce certificat est généralement détenu par une Autorité d’horodatage.

Les supports de certificats[modifier | modifier le code]

Les certificats numériques se présentent sous la forme de fichiers informatiques. La clé privée qui leur est associée doit absolument être protégée dans un support sécurisé.

Les différents supports utilisés pour ces certificats sont:

HSM (Hardware Security Module): Un HSM est un dispositif matériel considéré comme d’un haut niveau de confiance doté de fonctions cryptographiques et offrant des services de sécurité qui consistent à générer, stocker et protéger des clés cryptographiques^[39] ^[40].

Token, PKI USB, calculette, Carte à puce: Comme le HSM les cartes à puce disposent de fonctions cryptographiques et permettent de stocker des certificats et des clés privées avec un haut niveau de confiance. Ils sont utilisés en complément ou à la place d'un mot de passe pour prouver que le porteur du dispositif est bien celui qu'il prétend être^[41].

Puce TPM (Trusted Platform Module): La puce TPM est un microprocesseur cryptographique généralement intégré sur la carte-mère d’un ordinateur.

Elle permet de générer, stocker et contrôler l’usage des clés cryptographiques et des certificats. Elle permet aussi d’authentifier l’équipement et d'en assurer son intégrité^[42].

La sécurité / vulnérabilité[modifier | modifier le code]

En Février 2019, dans ce qu’il présente comme résumé de plus de cinq mois de travail, Von Vladislav Mladenov, un des membres de l’équipe de l’université de Ruhr en Allemagne a annoncé que lui et ses collègues ont réussi à percer le système de signature numérique de visionneuses de documents PDF très connues. Ils sont arrivés à créer de fausses signatures numériques sur 21 des 22 lecteurs PDF de bureau et également sur 6 des 8 systèmes de validation en ligne évalués. Parmi les nombreuses applications de bureau figurent Adobe Acrobat Reader, Foxit Reader, LibreOffice, etc., et dans le rang des services en ligne on retrouve DocuSign ou encore Evotrust, pour les plus connus.

Dans un premier temps, il y a l’attaque Universal Signature Forgery (USF) ou falsification de signature universelle. Cette attaque vise principalement à manipuler les méta-données de la signature de manière à ce que l'application de visualisation ciblée ouvre le fichier PDF, trouve la signature, mais ne trouve pas toutes les données nécessaires à sa validation. Au lieu de traiter les informations manquantes comme une erreur, cela indique que la signature contenue est valide. Par exemple, l'attaquant peut manipuler les valeurs Contents ou ByteRange au sein de l'objet Signature.

La seconde est l’attaque de Sauvegarde Incrémentielle (ISA). Elle abuse d'une fonctionnalité légitime de la spécification PDF. C’est une spécification qui permet de mettre à jour un fichier PDF en ajoutant des modifications. L’idée principale de l’ISA est d’utiliser la même technique pour modifier des éléments, tels que des textes, ou des pages entières incluses dans le fichier PDF signé en fonction des souhaits de l’attaquant. En d'autres termes, un attaquant peut redéfinir la structure et le contenu du document en utilisant la partie Body Updates.

Enfin, la toute dernière vulnérabilité dont il s’agit est la Signature Wrapping Attacks (SWA). Indépendamment des fichiers PDF, l'idée principale de Signature Wrapping Attacks est de forcer la logique de vérification à traiter des données différentes de celles de la logique d'application. Dans les fichiers PDF, SWA cible la logique de validation de signature en déplaçant le contenu signé à un emplacement différent dans le document et en insérant un nouveau contenu à l'emplacement attribué. Le point de départ de l'attaque est la manipulation de la valeur ByteRange qui permet de déplacer le contenu signé vers différentes positions du fichier^[43].

L'attaque "Man-In-The-Middle"

Article principal : Échange de clés Diffie-Hellman.

L'inconvénient majeur du protocole de Deffie-Hellman est qu'il est sensible a une attaque dite "Man-In-The-Middle" (MITM). Cette attaque repose sur le fait qu'un adversaire actif (Charlie) placé entre Alice et Bob peut intercepter toutes les communication et ainsi se faire passer pour Bob auprès d'Alice et inversement pour Alice auprès de Bob. Oscar peut alors lire toutes les conversations entre Alice et Bob avec la clé qu'ils pensent avoir construite en secret. En pratique, Charlie créé des doubles d'Alice et Bob pour ensuite créé des clés. Finalement, Alice et Bob croient s'envoyer des messages secret alors, que Charlie les interceptes et les déchiffres avec la clé qu'il a créé. Charlie est donc capable d'obtenir en clair tous les échanges entre Alice et Bob mais il peut aussi modifier les échanges^[44].

Perspectives d’avenir[modifier | modifier le code]

Article principal : Biométrie.

On distingue plusieurs types de technologies biométriques permettant la réalisation d’une signature électronique. Les technologies principalement utilisées reposent sur l’analyse physiologique (empreintes digitales, dessin du visage ou des veines, forme de la main) et comportementale (dynamique de signature, frappe clavier, voix, démarche).

Les techniques fondées sur la biométrie bénéficient à l'heure actuelle d'un engouement général. Cependant l'utilisation des systèmes biométriques ne fait pas l'objet d'un régime juridique et s’est pour ça, qu’elles ne sont pas encore peu utilisées^[45].

la signature biométriques[modifier | modifier le code]

Dans les systèmes cryptographiques traditionnels, l’authentification de la signature numérique repose sur la possession de clés. L’utilisation de la biométrie dans le domaine de la signature numérique implique que les clés nécessaires pour la cryptographie soient obtenues à l’aide de données biométriques^[46]^[47].

Ces systèmes sont classés en trois catégories : Libération de clé, Génération de clé et Régénération de clé.

Libération de clé cryptographique avec la biométrie[modifier | modifier le code]

Les clés sont générées avec des algorithmes connus, puis la clé est stockée dans un coffre-fort et elle est libérée seulement après que l’utilisateur a réussi la vérification biométrique. Dans cette configuration, la reconnaissance biométrique classique est utilisée pour pouvoir libérer la clé^[48] ^[49].

Génération de clés cryptographiques à partir de la biométrie[modifier | modifier le code]

Cette technique consiste à générer la clé avec une chaîne de bits stables venant de la biométrie. Souvent, cette approche fonctionne sans modèle biométrique, ce qui veut dire qu’elle ne nécessite pas de stockage de la donnée biométrique, mais plutôt qu’elle stocke seulement la chaîne de vérification extraite à partir de la donnée biométrique ou la clé^[50]^[51].

Régénération de clés cryptographiques à partir de la biométrie[modifier | modifier le code]

L’idée étant d’avoir une clé aléatoire, puis de la combiner avec les données biométriques à l’aide de techniques cryptographiques. Au moment de la vérification, cette clé est retirée des données combinées^[52] ^[53].

La signature dynamique[modifier | modifier le code]

Fondée sur l'utilisation d'un moyen biométrique, la signature dynamique ne constitue qu'un mécanisme particulier de signature électronique.

La vérification (dynamique) de signature est basée sur la différentiation entre les parties d'une signature qui sont habituelles et celles qui changent avec presque chaque signature.

Les systèmes d'authentification de signature incluent habituellement un crayon / lecteur et une tablette à digitaliser. La vérification est accomplie en analysant un certain nombre de variables, dont la vitesse avec laquelle la signature est réalisée, les accélérations, la pression exercée ...^[54]

On distingue deux façons de capturer une signature, soit avec des capteurs qui s’assimilent à de simples scanners, soit par l’usage d’une tablette graphique et d’un stylet sensible à la pression.

Scanner: son fonctionnement est à tout point identique aux scanners de bureau. Très simple à mettre en œuvre, cette méthode est utile pour des applications où le travail est répétitif mais trouve sa limite pour l’authentification de documents électroniques où une signature préalablement numérisée a été apposée.
Tablette graphique: utilisée à la base dans les sociétés de design, on la retrouve aussi sur les assistants personnels (Palm, etc.). Elle permet d’obtenir les informations de variations de pression et de vitesse au moment où la personne signe. Elle est très simple à mettre en oeuvre^[55].

Il y a deux façons d’analyser une signature : l’analyse statique et l’analyse dynamique.

Analyse statique: elle utilise la géométrie de la signature. L’avantage de cette méthode est qu’elle est bien adaptée pour authentifier des documents manuscrits.
Analyse dynamique: Elle utilise a reconnaissance comportementale pour le contrôle de la frappe.Cette analyse considère la direction et la pression de votre tracé au stylo et combine ces informations à la forme de votre signature afin de déterminer votre identité. L’avantage indéniable est l’impossibilité pour un imposteur de reproduire une signature avec les mêmes informations dynamiques que l’original. Cependant, elle nécessite une capture directe de la signature sur une tablette tactile ^[56].

Evolution du cadre légal[modifier | modifier le code]

Le cadre légal de la signature électronique a dû s’adapter en fonction du développement du commerce électronique. Nous allons retracer ces évolutions à travers les dates importantes :

1999 - directive européenne 1999/93/CE^[57]: Cette directive européenne est appliqué dès janvier 2000 et reconnait que la signature électronique à la même valeur que la signature manuscrite.; Mais elle est rapidement jugée insuffisante.Des différences dans la transposition de cette directive ainsi que dans les choix techniques effectués par les États membres n’ont pas permis l’émergence d’un socle commun d’interopérabilité nécessaire au développement des échanges transfrontaliers^[58].

2000 - La loi n°2000-230 du 13 mars 2000^[59]: Cette loi reprend la directive européenne 1999/93/CE et donne une reconnaissance juridique à la signature électronique et encadre les éventuels conflits de preuves^[60].; L’article 1316-4 du code civil est créé par cette loi^[61].
2001 - Le décret n°2001-272 du 30 mars 2001^[62]: Le décret n°2001-272 du 30 mars 2001 permet de poser le cadre d’une signature électronique sécurisée, et de sa fiabilité présumée^[63].

2002 - Le décret n°2002-535 du 18 avril 2002^[64]: Le décret n°2002-535 du 18 avril 2002 apporte des précisions sur l’obtention du certificat électronique qualifié. Les prestataires souhaitant être accrédités pour pouvoir délivrer des certificats valides doivent demander une agrégation, donnée par le Comité français d’accréditation (COFRAC).

2004 et 2005 - La loi du 21 juin 2004^[65] et Ordonnance du 16 juin 2005^[66]: La loi du 21 juin 2004 et l’Ordonnance du 16 juin 2005 viennent ensuite étendre le cadre juridique de la signature électronique sur la validité de tout document électronique. Ainsi, les contrats électroniques deviennent valables juridiquement.

2009 - Le décret 2009-834 du 7 juillet 2009 – Création ANSSI^[67]: Ce décret crée l’Agence nationale de la sécurité des systèmes d'information (ANSSI) sous la forme d’un service à compétence nationale^[68]. Il est, en France, l’organe de contrôle chargé de qualifier les prestataires de services de confiance, et l’organisme responsable de l’établissement, la tenue à jour et la publication de la liste de confiance^[69].

2016 - Règlementation eIDAS (règlement n°910/2014)^[70]: Date très importante dans l’histoire de la signature électronique : le 1er juillet 2016 avec l’eIDAS ( Electronic IDentification Authentication and trust Services.; Avant cette date, chaque états Européens avait leurs réglementations qui avait évoluer depuis 2000 concernant la signature électronique, sans toutefois suivre un consensus.; EIDAS est un règlement de l'UE sur l'identification électronique et les services de confiance pour les transactions électroniques au sein de l'Union Européenne.; C'est un ensemble de normes pour l'identification électronique et les services de confiance pour les transactions électroniques dans l'Union Européenne. Il a été établi dans le règlement de l'UE n° 910/2014 du 23 juillet 2014 sur l'identification électronique et abroge la directive 1999/93/CE ^[71].

Référence[modifier | modifier le code]

↑ randimbiarison 2020, p. 28-29
↑ DifSig 2020
↑ Zemor 2000
↑ Givierge 1925
↑ Barthélemy 2000
↑ Donald 1998
↑ SES 2020
↑ Reglement-910-2014 - Article26
↑ Reglement-910-2014 - Annexe2
↑ ^{a et b} XAdES,CAdES,PAdES
↑ Cruellas 2003
↑ ETSI-TS-101-903 2002, p. 10
↑ ^{a et b} ETSI-TS-101-903 2002, p. 11
↑ ^{a et b} ETSI-TS-101-903 2002, p. 17
↑ ETSI-TS-101-903 2002, p. 20
↑ rfc5126 2008, p. 15
↑ ^{a et b} ETSI-TS-101-733 2012, p. 17
↑ rfc5126 2008, p. 14
↑ rfc5126 2008, p. 18
↑ ETSI-TS-101-733 2012, p. 18
↑ rfc5126 2008, p. 20
↑ ETSI-TS-101-733 2012, p. 19
↑ rfc5126 2008, p. 21
↑ ETSI-TS-101-733 2012, p. 20
↑ rfc5126 2008, p. 25
↑ ^{a et b} ETSI-TS-101-733 2012, p. 22
↑ rfc5126 2008, p. 24
↑ rfc5126 2008, p. 27
↑ ETSI-TS-101-733 2012, p. 24
↑ ^{a b c et d} ETSI-TS-101-923 2010, p. 11
↑ ^{a et b} ETSI-TS-102-778 2009, p. 12
↑ ETSI-TS-102-778 2009, p. 13
↑ ETSI-TS-102-778 2009, p. 14
↑ rfc7515 2015
↑ Cruellas 2020
↑ JAdESsignature 2020
↑ Archimbaud 2000, p. 11
↑ ^{a et b} RIBIÈRE 2018
↑ Gregg 2014, p. 34
↑ CREN 2001
↑ Aabye 2015
↑ Duc 2008, p. 50
↑ Nouvelles attaques
↑ Protocole Deffie-Hellman
↑ enjeux et risque biometrie 2002
↑ kanade 2012, p. 1-140
↑ randimbiarison 2020, p. 43
↑ lee 2008, p. 1302-1313
↑ randimbiarison 2020, p. 43
↑ Ballard 2008, p. 61-74
↑ randimbiarison 2020, p. 44
↑ nandakumar 2007, p. 744-757
↑ randimbiarison 2020, p. 45
↑ La signature dynamique 2006, p. 9
↑ Porwik 2016, p. 998-1014
↑ Doroz 2016, p. 921-931
↑ 1999/93/CE 1999
↑ Le règlement eIDAS, p. 1
↑ LOI n°2000-230 2000
↑ Battisti 2001, p. 46-49
↑ Article 1316-4 2000
↑ Décret n°2001-272 2001
↑ Article marché-public 2001
↑ Décret n°2002-535 200
↑ loi du 21 juin 2004 2004
↑ Ordonnance du 16 juin 2005 2005
↑ Décret n°2009-834 2009
↑ ANSSI 2009
↑ Liste Nationale de confiance 2009
↑ Règlement EIDAS 2014
↑ Understanding eIDAS 2016

Bibliographie[modifier | modifier le code]

Livres et articles[modifier | modifier le code]

(en) Piotr Porwik, Rafal Doroz et Tomasz Orczyk, Signatures verification based on PNN classifier optimised by PSO algorithm, Elsevier, 2016 (présentation en ligne), p. 998-1014

(en) Rafal Doroz, Piotr Porwik et Tomasz Orczyk, Dynamic signature verification method based on association of features with similarity measures, Elsevier, 2016 (présentation en ligne), p. 921-931

Dimitri Mouton, Sécurité de la dématérialisation: De la signature électronique au coffre-fort numérique, une démarche de mise en œuvre, Eyrolles, 2012 (présentation en ligne), p. 161-210

Thierry Autret, Laurent Bellefin et Marie-Laure Oble-Laffaire, Sécuriser ses échanges électroniques avec une PKI; Solutions techniques et aspects juridiques, Eyrolles, 2002 (présentation en ligne)

Arnaud-F Fausse, La signature électronique: Transaction et confiance sur Internet, Dunod, 2001 (présentation en ligne)

Jean-Guillaume Dumas, Jean-Louis Roch, Eric Tannier et Sébastien Varrette, Théorie des codes: Compression, cryptage, correction, Dunod, 2013 (présentation en ligne)

Jean-Guillaume Dumas, Pascal Lafourcade et Patrick Redon, Architectures de sécurité pour Internet : protocoles, standards et déploiement, Dunod, 2020 (présentation en ligne), p. 159-185

(en) Michael Gregg, CASP CompTIA Advanced Security Practitioner Study Guide: Exam CAS-002, John Wiley & Sons, 2014, 2014 (présentation en ligne)

(en) Sanjay G Kanade, Dijana Petrovska-Delacrétaz et Dorizzi Bernadette, Enhancing information security and privacy by combining biometrics with cryptography, vol. 3, 2012, p. 1-140. (DOI https://doi.org/10.2200/S00417ED1V01Y201205SPT003, lire en ligne)

(en) Lucas Ballard, Seny Kamara et Michael K. Reiter, The Practical Subtleties of Biometric Key Generation, 2008 (lire en ligne), p. 61-74

Gilles Zémor, Cours de cryptographie, Paris, Cassini, 15 décembre 2000, 227 p. (ISBN 2-84225-020-6, OCLC 45915497)

Pierre Barthélemy, Robert Rolland et Pascal Véron, Cryptographie, Paris, Hermes Science Publications : Lavoisier, coll. « Collection Informatique », 22 juillet 2005, 414 p., broché (ISBN 2-7462-1150-5, ISSN 1242-7691, OCLC 85891916)

(en) Donald E. Knuth Knuth, The Art of Computer Programming, Reading, Massachusetts, Addison-Wesley, 1998, 780 p. (ISBN 978-0-321-63578-5)

Marcel Givierge, Cours de cryptographie, Berger-Levrault, 1925

jerome Randimbiarison, « Signature numérique d'un document basée sur FIDO2 », Mémoire,‎ 2020, p. 28-29. (lire en ligne)

(en) Juan Carlos Cruellas, Gregor Karlinger, Denis Pinkas et John Ross, « XML Advanced Electronic Signatures », W3C Note,‎ février 2003 (lire en ligne)

(en) D. Pinkas, N. Pope et John Ross, « CMS Advanced Electronic Signatures (CAdES) », Memo,‎ février 2008 (lire en ligne)

Michèle Battisti, « Documents numériques : nouvelles règles d'acquisition et de diffusion », Documentaliste-Sciences de l'Information, 2001/1 (Vol. 38),‎ 2001, p. 46-48 (DOI 110.3917/docsi.381.0046, lire en ligne)

(en) Dawn M. Turner, « Understanding eIDAS », Cryptomathic,‎ 2016 (lire en ligne)

(en) V. Andrianova et D. Efanov, « Cloud-Based Electronic Signature Authentication Issues », EEE Conference of Russian Young Researchers in Electrical and Electronic Engineering (EIConRus), Saint Petersburg and Moscow, Russia, Russia,‎ 2019, p. 1826-1828 (DOI 10.1109/EIConRus.2019.8656803)

Jean-Luc Archimbaud, « Certificats (électroniques) : Pourquoi ? Comment ? », hal-00561730,‎ 2000, p. 11 (lire en ligne)

Jean-Luc Parouty, Roland Dirlewanger et Dominique Vaufreydaz, « La signature électronique, contexte, applications et mise en oeuvre », Journées Réseaux (JRES 2003), Nov 2003, Lilles, France,‎ 2003, p. 1-15 (lire en ligne)

(en) Youn Joo Lee, Kang Ryoung Park, Sung Joo Lee, Kwanghyuk Bae et Jaihie Kim, « A new method for generating an invariant iris private key based on the fuzzy vault system », IEEE Transactions on Systems, Man, and Cybernetics, Part B (Cybernetics),‎ 2008, p. 1302-1313 (lire en ligne)

(en) Youn Joo Nandakumar, Karthik Jain et Anil K Pankanti, « Fingerprint-based fuzzy vault: Implementation and performance », IEEE transactions on information forensics and security,‎ 2007, p.744-757 (DOI 10.1109/TIFS.2007.908165, lire en ligne)

Gérard RIBIÈRE, « Certification électronique - 3. Certificats et Infrastructure de Gestion de Clés », Techniques de l'ingénieur Cryptographie, authentification, protocoles de sécurité, VPN, Editions T.I, vol. base documentaire : TIB314DUO.,‎ 2018 (lire en ligne)

(en) Christian Aabye, Brian Sullivan et Dave Wilson, « TOKEN VERIFICATION USING LIMITED », Patent Application Publication,‎ 2015 (lire en ligne)

Guillaume Duc et Ronan Keryell, « Un panorama des architectures informatiques sécurisées et de confiance », www.cesar-conference.fr,‎ 2008, p. 50 (lire en ligne)

(en) L. Zhu et L. Zhu, « Electronic signature based on digital signature and digital watermarking », 5th International Congress on Image and Signal Processing, S Chongqing, China,‎ 2012, p. 1644-1647 (DOI 10.1109/CISP.2012.6469828)

(en) S. Mushtaq et H. Mir, « Signature verification: A study », 2013 4th International Conference on Computer and Communication Technology (ICCCT), Allahabad, 2013,‎ 2013, p. 258-263 (DOI 10.1109/ICCCT.2013.6749637)

Nicolas MAGNIN, « Réglementation en matière de cryptologie », Techniques de l'ingénieur Sécurité des SI : organisation dans l'entreprise et législation, Editions T.I., vol. base documentaire : TIB458DUO.,‎ 2014 (lire en ligne)

Béatrice FRAENKEL et David PONTILLE, « La signature au temps de l'électronique », Politix, 2006/2 (n° 74),‎ 2006, p. 103-121. (DOI https://doi.org/10.3917/pox.074.0103, lire en ligne)

jerome Randimbiarison, « Signature numérique d'un document basée sur FIDO2 », Mémoire,‎ 2020, p. 43 (lire en ligne)

jerome Randimbiarison, « Signature numérique d'un document basée sur FIDO2 », Mémoire,‎ 2020, p. 44 (lire en ligne)

jerome Randimbiarison, « Signature numérique d'un document basée sur FIDO2 », Mémoire,‎ 2020, p. 45 (lire en ligne)

(en) Vladislav Mladenov, Christian Mainka, Karsten Meyer zu Selhausen, Martin Grothe et Jörg Schwenk, « How To Spoof PDF Signatures », https://web-in-security.blogspot.com,‎ 2019 (présentation en ligne)

(en) Whitfield Diffie et Martin E. Hellman, « Multiuser cryptographic technics », Proceedings of AFIPS National Computer Conference,‎ juin 1976, p. 109-112 (DOI 10.1145/1499799.1499815)

(en) Juan Carlos Cruellas, « Bringing JSON signatures to ETSI AdES framework: Meet JAdES signatures », Computer Standards \& Interfaces,‎ août 2020 (lire en ligne)

(en) M. Jones, J. Bradley et N: Sakimura, « JSON Web Signature (JWS) », Memo,‎ mai 2015 (lire en ligne)

Sites Web[modifier | modifier le code]

(en) « XML Advanced Electronic Signatures (ETSI) », sur uri.etsi.org, février 2002

(en) « Electronic Signatures and Infrastructures (ESI);CMS Advanced Electronic Signatures (CAdES) », sur etsi.org, V2.1.1, mars 2012

(en) « Electronic Signatures and Infrastructures (ESI);PDF Advanced Electronic Signature Profiles; », sur etsi.org, Usage and implementation guidelines, juillet 20010

(en) « Electronic Signatures and Infrastructures (ESI);PDF Advanced Electronic Signature Profiles; », sur etsi.org, Part 1: PAdES Overview - a framework document for PAdES, juillet 2009

(en) « Hardware Security Modules », sur http://www.cren.net, 5 novembre 2001

(en) « Digital Signature Service », sur https://dss.nowina.lu/doc/dss-documentation.html, décembre 2020

« DifSig », sur https://blog.signaturit.com/fr/

« SES », sur https://blog.signaturit.com/fr/

« directive européenne 1999/93/CE », sur eur-lex.europa.eu

« Le règlement eIDAS », sur www.ssi.gouv.fr

« LOI no 2000-230 du 13 mars 2000 », sur www.legifrance.gouv.fr

« Article 1316-4 du code civil », sur www.legifrance.gouv.fr

« Décret n° 2001-272 du 30 mars 2001 », sur www.legifrance.gouv.fr

« Dispositif sécurisé de création de signature électronique », sur www.marche-public.fr

« Décret n°2002-535 du 18 avril 2002 », sur www.legifrance.gouv.fr

« Loi du 21 juin 2004 », sur www.legifrance.gouv.fr

« Ordonnance du 16 juin 2005 », sur www.legifrance.gouv.fr

« Décret n° 2009-834 du 7 juillet 2009 », sur www.legifrance.gouv.fr

« ANSSI », sur www.ssi.gouv.fr

« Liste Nationale de confiance », sur www.ssi.gouv.fr

« Règlement EIDAS », sur www.ssi.gouv.fr

« Reglement-910-2014 », 23 juillet 2014

« Reglement-910-2014--annexe2 »

« Formats de signature électronique »

« La biométrie comme méthode d'authentification : enjeux et risques », sur http://www.mascre-heguy.com, décembre 2002

« Les multiples visages de la biométrie », sur http://www.journaldunet.com, novembre 2006

(en) « eSignature Documentation »

« LA SIGNATURE ELECTRONIQUE », sur www.senat.fr « Introduction aux certificats électroniques », sur www.cnrs.fr

« Principe de signature électronique », sur www.techniques-ingenieur.fr

« Application du règlement eIDAS », sur www.usine-digitale.fr, 16 octobre 2017

« Les 3 degrés de fiabilité de la signature électronique », sur www.usine-digitale.fr, 4 décembre 2017

« RÈGLEMENT (UE) No 910/2014 DU PARLEMENT EUROPÉEN ET DU CONSEIL », sur eur-lex.europa.eu, 28 aout 2014

« Comprendre les grands principes de la cryptologie et du chiffrement », sur www.cnil.fr, 25 octobre 2016

[1] randimbiarison 2020, p. 28-29

[2] DifSig 2020

[3] Zemor 2000

[4] Givierge 1925

[5] Barthélemy 2000

[6] Donald 1998

[7] SES 2020

[8] Reglement-910-2014 - Article26

[9] Reglement-910-2014 - Annexe2

[XAdES,CAdES,PAdES-10] {a et b} XAdES,CAdES,PAdES

[Cruellas-11] Cruellas 2003

[12] ETSI-TS-101-903 2002, p. 10

[ETSI-TS-101-903p11-13] {a et b} ETSI-TS-101-903 2002, p. 11

[ETSI-TS-101-903p17-14] {a et b} ETSI-TS-101-903 2002, p. 17

[15] ETSI-TS-101-903 2002, p. 20

[16] rfc5126 2008, p. 15

[ETSI-TS-101-733p17-17] {a et b} ETSI-TS-101-733 2012, p. 17

[18] rfc5126 2008, p. 14

[19] rfc5126 2008, p. 18

[20] ETSI-TS-101-733 2012, p. 18

[21] rfc5126 2008, p. 20

[22] ETSI-TS-101-733 2012, p. 19

[23] rfc5126 2008, p. 21

[24] ETSI-TS-101-733 2012, p. 20

[25] rfc5126 2008, p. 25

[ETSI-TS-101-733p22-26] {a et b} ETSI-TS-101-733 2012, p. 22

[27] rfc5126 2008, p. 24

[28] rfc5126 2008, p. 27

[29] ETSI-TS-101-733 2012, p. 24

[ETSI-TS-101-923p11-30] {a b c et d} ETSI-TS-101-923 2010, p. 11

[ETSI-TS-102-778p12-31] {a et b} ETSI-TS-102-778 2009, p. 12

[ETSI-TS-102-778p13-32] ETSI-TS-102-778 2009, p. 13

[ETSI-TS-102-778p14-33] ETSI-TS-102-778 2009, p. 14

[rfc7515-34] rfc7515 2015

[Cruellas2020-35] Cruellas 2020

[JAdESsignature-36] JAdESsignature 2020

[Archimbaud2000-37] Archimbaud 2000, p. 11

[RIBIÈRE2018_1-38] {a et b} RIBIÈRE 2018

[Gregg2014-39] Gregg 2014, p. 34

[CREN01-40] CREN 2001

[Aabye2015-41] Aabye 2015

[Duc-42] Duc 2008, p. 50

[43] Nouvelles attaques

[44] Protocole Deffie-Hellman

[45] ux et risque biometrie 2002

[46] 2012, p. 1-140

[47] randimbiarison 2020, p. 43

[48] 2008, p. 1302-1313

[49] randimbiarison 2020, p. 43

[50] Ballard 2008, p. 61-74

[51] randimbiarison 2020, p. 44

[52] umar 2007, p. 744-757

[53] randimbiarison 2020, p. 45

[54] La signature dynamique 2006, p. 9

[55] Porwik 2016, p. 998-1014

[56] Doroz 2016, p. 921-931

[57] 1999/93/CE 1999

[58] Le règlement eIDAS, p. 1

[59] LOI n°2000-230 2000

[60] Battisti 2001, p. 46-49

[61] Article 1316-4 2000

[62] Décret n°2001-272 2001

[63] Article marché-public 2001

[64] Décret n°2002-535 200

[65] u 21 juin 2004 2004

[66] Ordonnance du 16 juin 2005 2005

[67] Décret n°2009-834 2009

[68] ANSSI 2009

[69] Liste Nationale de confiance 2009

[70] Règlement EIDAS 2014

[71] Understanding eIDAS 2016

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

[67]

[68]

[69]

[70]

[71]