Actualités

[19/11/2014] Portails d'entreprise, la nouvelle version du livre blanc Smile

Qu'est-ce qu'un portail d'entreprise ? Quels sont ses fonctionnalités et domaines d'application ? Quelles sont les meilleures solutions du marché ? C'est à découvrir dans le livre blanc Smile !

[16/10/2014] L'édition 2014 du livre blanc de Smile : "Bonnes pratiques du web"

Smile publie une nouvelle version du livre blanc "Bonnes pratiques du web – Toutes les clés pour concevoir son site web". A télécharger gratuitement !

[14/10/2014] Smile vous donne RDV sur les forums de recrutement de 2014-2015 !

Vous aimez le web et les technologies de pointe, vous souhaitez mettre votre expertise au service du meilleur de l’open source ? Venez rencontrer Smile durant les prochains forums écoles de cette année 2014-2015.

Toutes les actualités picto
       

Vous avez besoin de mettre à jour votre Lecteur Flash Flash 7

Guillemet ouvrant l'actualité des solutions
et des technologies open source Guillemet fermant
picto

Déclaration de revenus, signature électronique et O.J. Simpson

A l’heure où Bercy renonce à la signature électronique des déclarations, le moment est venu de dire qu’elle ne valait rien.

En 2003, l’introduction de la signature électronique pour la déclaration en ligne des revenus avait été perçue comme un immense pas en avant vers son adoption généralisée. Six années plus tard, malheureusement, la signature électronique a peu progressé dans la société et dans l’économie Et cette année, Bercy se contentera d’une simple authentification à base de trois informations confidentielles.

En réalité, le processus de signature électronique mis en place par le Minéfi n’avait pratiquement aucune valeur, pour un observateur rigoureux. Les experts en sécurité s’étaient gardés de le dire trop fort, estimant sans doute que l’avancement dans les usages de la signature électronique pouvait mériter qu’on ferme les yeux sur les détails.

En cette année 2009 où est abandonnée la signature de la déclaration d’impôts, c’est peut être le moment de rappeler que la signature électronique n’est pas qu’affaire de cryptographie, elle est avant tout affaire d’engagement éclairé et de processus vérifiable. La signature de nos déclaration n’utilisait que d’excellents algorithmes, et pour autant elle ne servait à rien, sauf peut-être à donner un peu de solennité à l’acte de cliquer sur un bouton.

Dans un papier de 2006, le professeur Jean-François Blanchette de UCLA, faisait un parallèle très pertinent avec les analyses ADN utilisées lors du procès de O.J. Simpson, ancienne star du football américain, accusé du meurtre de sa femme. Les analyses ADN sont un peu aux empreintes digitales ce que la signature électronique est à la signature manuscrite : une forme de preuve à la fois plus moderne et potentiellement plus irréfutable. Dans ce procès, les analyses ADN concordaient et accusaient le footballeur millionnaire. Sans nier les résultats, les avocats de la défense démontrèrent que toute la chaîne de recueil et de gestion des échantillons était d’une trop faible rigueur : échantillons non-étiquettés, transportés dans la poche d’une veste, placés sur une étagère sans surveillance, etc. Ainsi toute la force de preuve des analyses elles-mêmes s’est trouvée proprement démontée par les lacunes du processus, contribuant à un acquittement qu’on s’accorde à penser injuste.

C’est extrêmement souvent que la signature électronique se trouve entachée de semblables défauts, et le cas de la déclaration d’impôts en était une parfaite illustration. On a vu comment l’étape initiale de recueil d’échantillons d’ADN sur une scène de crime, de transport et de conservation était critique. En matière de signature électronique, et tout particulièrement dans le grand public, l’étape maillon-faible est souvent la génération du certificat, bien avant le processus de signature lui-même. Une autorité de certification doit contrôler mon identité avant de signer ma clé publique. C’est cette première signature, qui sera portée par mon certificat, qui assure que les signatures calculées ensuite au moyen de ma clé secrète sont bien les miennes, et qui permet à un tiers, à qui j’aurai remis un document signé, de s’assurer que c’est bien moi qui l’ai signé. Le processus ne sera jamais plus solide que ne l’était le contrôle initial de mon identité. Dans le cas de la déclaration de revenus, le contrôle initial reposait sur trois informations plus ou moins confidentielles, de sorte que toutes les signatures sont ensuite au mieux équivalentes à la fourniture de ces trois mêmes informations.

Ce n’est pas tout. Celui qui appose sa signature électronique sur un document doit (1) être en mesure de comprendre ce qui est exécuté par les programmes et (2) pouvoir s’assurer par ses propres moyens que ce qui est exécuté est bien ce qui est annoncé. Si le signataire ne fait que cliquer sur un bouton où il est écrit « Oui, je signe et j’approuve », alors quels que soient les algorithmes exécutés par les programmes sous-jacents, qu’ils soient corrects ou qu’ils soient erronés, tout cela ne vaut pas grand-chose. En effet, le jour où un contribuable viendrait à renier sa signature, il faudrait pouvoir prouver que le programme utilisé exécutait les bons calculs. Or ce jour là, pour autant que l’administration sache produire le programme et ses sources, elle ne pourrait pas démontrer que c’est ce programme qui a été utilisé. Dans un processus de signature normal, cette question ne se pose pas, car c'est le signataire qui choisit son outil et le met en oeuvre, tandis que le destinataire ne fait que contrôler la signature qu'il reçoit.

Une règle absolue est que le dispositif de signature ne peut pas être fourni par celui à qui la signature est destinée. C’est une évidence : A calcule sa signature associée au document et l’adresse à B qui la contrôle. Si c’est B qui calcule la signature de A, et A ne peut pas même la contrôler, tout le process perd son sens. C’est pourtant ce qui était fait. Apposer une signature électronique sans maîtriser les outils, c’est comme apposer une signature manuscrite sur un document en blanc : le signataire ne maîtrise plus la relation entre le cryptogramme représentant sa signature et le document supposément signé.

C’est pourquoi la signature électronique doit impérativement être basée sur des outils open source, ou a minima dont les sources soient librement disponibles. Certes, chaque contribuable ne pourra pas analyser les sources et recompiler l’outil, mais il suffit à tous de savoir que quelques-uns le feront. Ainsi, un dispositif solide de signature électronique des déclarations de revenus serait le suivant : (a) le contribuable s’identifie et remplit le formulaire approprié, (b) le site adresse un petit fichier texte (ou éventuellement Html), aisément lisible, qui récapitule la déclaration, (c) le contribuable utilise GnuPG, par exemple, pour signer le fichier texte, et colle sa signature électronique dans une page web, (d) le site vérifie la signature et confirme la déclaration.

Tout autre process, et en particulier le recours à une applet de signature fournie par le destinataire de la signature, ne vaut rien. Car le dispositif est totalement opaque pour l’internaute contribuable : il ne sait pas ce qui est signé, il ne sait pas avec quels algorithmes, il ne sait pas même si sa clé privée n’est pas communiquée sur le réseau, il ne maîtrise rien, ne voit que des pages web qui lui racontent des choses qui sont supposées se passer. A l’arrivée, tout cela n’a aucune valeur, et s’il devait y avoir un procès digne de ce nom, des avocats combatifs n’auraient aucun mal à faire voler en éclats la soi-disant force de preuve.

Bien évidemment, la bonne foi du Minéfi est pratiquement acquise : il est très probable que les applets faisaient ce que l’on nous disait, qu’elles utilisaient les bons algorithmes, appliqués sur les bonnes données. Quel intérêt pourrait trouver le ministère à exécuter l’algorithme de signature sur des chiffres modifiés ? Bien sûr… Mais l’absence de motif apparent n’est pas tout à fait une preuve d’innocence. Et par ailleurs, qui pourrait affirmer que cette applet de signature, dont on n’a pas les sources, serait dans les très rares programmes exempts de bugs ?

Pour que la signature électronique puisse véritablement se généraliser, il y a quelques conditions essentielles :

  1. Que le processus de contrôle d’identité, préalable à la signature du certificat, soit solide, car il fixe la limite de crédibilité de toutes les signatures qui seront produites.
  2. Que la signature soit traitée par des outils externes à toutes les applications et sites internet : l’application ou le site web produit un fichier d’un format standard comportant le texte à signer, et la signature est apposée par un outil distinct.
  3. Que l’outil de signature soit en Logiciel Libre, que les sources en soient aisément accessibles et que les exécutables soient eux-mêmes signés.
  4. Que le signataire soit parfaitement conscient du caractère critique de la protection de sa clé privée et maîtrise les outils associés.
  5. Que chacune des parties dispose d’un outil de contrôle de signature.

La signature électronique pourrait être le sésame de l'économie numérique, au plan technique les outils sont parfaitement au point depuis longtemps, et la volonté politique aurait pu être l'amorce d'une généralisation tant attendue. La tentative de déploiement de la signature électronique pour les déclarations de revenus aura donc été une grande occasion manquée, et le renoncement nous ramène plusieurs années en arrière.

En matière de sécurité, le logiciel libre n’est pas une alternative possible, il est la seule voie possible.

Patrice Bertrand
picto

Commentaires

Soyez la premiere personne à ajouter un commentaire sur cet article.
Ecrire un nouveau commentaire