L'échange de documents sur Internet est une pratique commune en commerce électronique.
Ces documents contiennent souvent des informations sensibles - par exemple des
contrats juridiques, des informations concernant l'innovation technologique, des
transactions financières. Pour empêcher les documents de commerce électronique
circulant dans le cyberespace d'être interceptés et lus par des pirates, il faut
les chiffrer. Mais pour garantir une sécurité absolue, il est également préférable
les signer numériquement.
L'utilisation d'une signature numérique sur un document de commerce électronique
garantie l'origine, l'intégrité et le non-rejet des données. Lorsqu'un client
signe numériquement un bon de commande en ligne, par exemple, le commerçant peut
identifier, grâce à la signature numérique du document, le client qui a émis la
commande, vérifier que personne n'en a modifié le contenu pendant le transit et
prouver que tel client a fait telle commande.
Les signatures numériques existent depuis 1976, depuis leur lancement par Diffie
and Hellman comme application de chiffrement à clé publique. Mais ce n'est que
récemment que les entreprises et les gouvernements ont commencé à utiliser cette
technologie pour protéger les documents sensibles sur le World Wide Web.
En septembre 1998, Bill Clinton et le Premier Ministre irlandais Bertie Ahern
ont signé un document de commerce électronique intergouvernemental, qui est le
premier document de ce type au monde à utiliser la technologie de la signature
numérique. Microsoft l'a d'ailleurs utilisée pour développer la technologie Authenticode,
qui sécurise les programmes téléchargés du Web.Comme le besoin de signature numérique
se développe, plusieurs éditeurs de logiciels, dont Entrust Technologies et Network
Associates, commercialisent des progiciels de sécurité qui permettent d'utiliser
des signatures numériques pour sécuriser les documents de commerce électronique.
Dans cet article, nous évoquerons la technologie de la signature numérique, nous
étudierons certains logiciels actuellement disponibles et nous envisagerons la
mise en oeuvre des solutions de signature numérique dans l'entreprise.
Des documents électroniques authentifiés avec les signatures numériques
La technologie de la signature numérique s’est développée à partir du chiffrement
à clé publique, technologie à deux clés : une clé privée et une clé publique.
Lorsque vous envoyez un document à quelqu’un, vous utilisez votre clé privée pour
signer le document. Lorsque les destinataires reçoivent le document signé, ils
utilisent la clé publique de l’expéditeur pour l’authentifier.
La Figure 1 illustre le processus de signature numérique. Supposons que vous vouliez
envoyer un document signé numériquement à Jean. Une fois le document créé, vous
le passez par un algorithme de hachage de message. L’algorithme génère un document
haché qui est une somme de contrôle du contenu du document. Vous chiffrez ensuite
le message haché avec votre clé privée. Le résultat est une signature numérique.
Vous ajoutez cette signature numérique au document pour former un document signé
numériquement et vous l’envoyez à Jean.
Lorsque Jean reçoit le document, il le passe par le même algorithme de hachage
de message que vous et crée un nouveau fichier haché. En même temps, il utilise
votre clé publique pour déchiffrer votre signature numérique, convertissant ainsi
la signature en hachage original. Jean compare alors le fichier haché nouvellement
généré et l’original. S’ils se correspondent, Jean peut être assuré que le document
reçu est réellement de vous et que personne ne l’a modifié pendant la transmission.
Si les fichiers sont différents, Jean sait que le contenu du document a été modifié
par une intrusion ou une erreur de transmission.
Les algorithmes de hachage les plus communément utilisés sont MD5 (Message Digest
5) et SHA-1 (Secure Hash Algorithm 1). Le premier peut produire un hachage de
128 bits et le second de 160 bits. L’algorithme de hachage est une fonction unidirectionnelle
qui génère un hachage unidirectionnel. C’est pourquoi, personne ne peut déduire
le contenu original du document message haché. La chance que deux documents aient
le même hachage est pratiquement nulle. Par exemple, la possibilité que MD5 sorte
le même hachage pour deux documents différents est de 1/2128 (soit environ 1 500
documents par mètre carré de la surface de la terre).
Une signature numérique est supérieure à une signature manuscrite traditionnelle.
Un faussaire habile peut modifier le contenu d’un document avec une signature
manuscrite ou déplacer une signature d’un document à un autre sans être détecté.
Avec la technologie de la signature numérique, tout changement apporté à un document
signé – par exemple une modification du contenu ou le remplacement de la signature
– provoque l’échec du processus de vérification de la signature numérique.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
