Accueil > Droit, Informatique > Signature et chiffrement numériques

Signature et chiffrement numériques

Signez vos courriels!

Qu’est-ce qu’une signature? L’article 2827 du Code civil du Québec définit légalement la signature de la façon suivante:

La signature consiste dans l’apposition qu’une personne fait à un acte de son nom ou d’une marque qui lui est personnelle et qu’elle utilise de façon courante, pour manifester son consentement.
 

De manière générale, au quotidien, une signature est aussi une façon de certifier que l’on est bien l’auteur d’un document, ou à tout le moins qu’on l’approuve, car elle identifie de façon claire et unique son propriétaire. Ainsi, lorsqu’on écrit une lettre papier, il paraît tout naturel d’apposer sa signature. Mais qu’en est-il du courrier électronique?

Les outils de «signature» classiquement offerts par les divers logiciels de courrier électronique (simplement apposer ses nom et coordonnées à la fin d’un message) ne créent pas de véritables signatures authentiques: n’importe qui peut les imiter! Et comme le champ « De: » (ou « From: ») peut être modifié à volonté, n’importe qui peut se faire passer pour n’importe qui!

Prenons comme exemple les multiples virus qui se propagent par courrier électronique et qui trafiquent justement le champ « De: » afin d’éviter qu’on retrace leur origine facilement: lorsque l’on reçoit un courriel infecté, il proviendra nécessairement de quelqu’un qui a notre adresse sur son ordinateur, mais on ne peut savoir de qui il s’agit; s’il provient d’une personne avec qui on partage des amis communs, il est possible que le champ « De: » indique une personne que l’on connaît effectivement, ce qui incitera à faire confiance au courriel et à cliquer sur le fichier attaché infecté. Cependant, c’est très risqué, et jamais il ne faut ouvrir un tel courriel à moins d’être sûr que la personne a bel et bien délibérément envoyé le courriel. On pourrait lui téléphoner pour avoir confirmation, par exemple. Mais existe-t-il une façon plus simple et rapide de s’assurer qu’une personne a bel et bien délibérément envoyé un courriel spécifique? Oui, par la signature numérique!

Une signature numérique vise à faire le même travail qu’une signature manuelle, à savoir déclarer comme authentique ce qui est signé. Le principe fonctionne de la façon suivante.

Clef secrète et clef publique

Le système repose sur la génération de clefs. Une personne possède deux clefs, soit une clef secrète (aussi appelée clef privée) et une clef publique. La clef secrète, comme son nom l’indique, doit demeurer secrète. La clef publique, au contraire, peut être distribuée à qui vous le jugerez bon (même être publiquement exposée sur des serveurs de clefs publics ou sur une page Web).

Lors de la signature numérique d’un courriel, le logiciel de signature (voir plus bas) demande un mot de passe afin de pouvoir décoder votre clef secrète; cette clef servira ensuite à produire une série de chiffres qui sera basée à la fois sur la clef secrète et le contenu du message et qui sera ajoutée au courriel: c’est ça, la signature numérique. Lorsque votre correspondant recevra votre courriel, s’il a en main votre clef publique (que vous lui aurez donnée personnellement ou que vous aurez rendue disponible sur un serveur public), il pourra vérifier que la signature correspond à la fois à la clef publique (laquelle correspond elle-même à la clef privée) et au message reçu, de façon à valider non seulement l’origine (seul vous avez pu signer le document) mais également l’intégrité du message (la signature étant basée sur le contenu).

Il faut en effet savoir que les courriels transitent par divers serveurs de façon non sécurisée, c’est-à-dire que n’importe qui, entre le point de départ et d’arrivée du courriel, pourrait en principe intercepter les messages, les lire et les modifier. La signature numérique permet, en plus de valider l’origine du courriel, de valider que le contenu n’a pas été altéré en chemin. Mais si n’importe qui peut intercepter et modifier les courriels (particulièrement les administrateurs de serveurs de courriels), cela veut donc dire qu’ils peuvent évidemment les lire! Eh oui: envoyer un courriel, c’est un peu comme envoyer une carte postale par la poste: tout le monde peut la lire! Y a-t-il une façon de contrer cela? Oui, par le chiffrement des courriels!

Chiffrez vos courriels!

En plus de signer vos courriels, vous devriez également les chiffrer, surtout si le contenu est confidentiel. Mais on n’a pas besoin de raison particulière pour chiffrer ses courriels: un simple désir d’intimité suffit!

Le processus de chiffrement va coder un courriel (ou n’importe quel autre document) à partir de la clef publique de la personne à laquelle vous désirez envoyer le document chiffré, de façon telle que seule une personne possédant la clef secrète correspondant à la clef publique utilisée pourra déchiffrer le document (ou message). Par exemple, vous voulez envoyer un courriel chiffré à votre patron: vous devez pour cela disposer d’une clef publique qu’il vous aura fournie (par exemple, ça pourrait être la même que vous utilisez pour vérifier l’authenticité des messages qu’il vous envoie). Une fois le courriel chiffré, seul le possesseur de la clef secrète sera en mesure de déchiffrer le message, c’est-à-dire votre patron. Vous assurez ainsi la confidentialité des documents et messages que vous envoyez par Internet.

Comment faire: explication générale

Les deux principaux systèmes de signature et chiffrement numériques sont S/MIME et OpenPGP. Les deux systèmes sont tout aussi efficaces l’un que l’autre; cependant, le premier exige que l’on se procure un certificat de la part d’une autorité de certification, alors que le second peut être utilisé facilement sans aucune formalité particulière: il est donc plus simple et moins côuteux d’utiliser OpenPGP.

Il existe divers logiciels permettant d’exploiter les fonctionnalités d’OpenPGP; de ceux-là, GnuPG (GPG) sort du lot en ce qu’il est libre et gratuit.

GPG est cependant un logiciel général de signature et de chiffrement, qui ne possède par surcroît aucune interface graphique, de sorte que pour l’exploiter on utilisera d’autres logiciels qui s’interfaceront avec GPG. Par exemple, pour l’utiliser avec le courrier électronique, on utilisera un gestionnaire de courriel compatible qui rendra son utilisation facile et transparente. Le logiciel Outlook de Microsoft ne supporte nativement que le S/MIME; il existe des logiciels commerciaux ajoutant le support OpenPGP à Outlook, mais le mieux de mon point de vue est encore d’utiliser le gestionnaire de courriel Thunderbird avec l’extension EnigMail.

Categories: Droit, Informatique Tags:
  1. Pas encore de commentaire
  1. Pas encore de trackbacks
Vous devez être identifié pour poster un commentaire