Qu’est-ce qu’une signature? L’article 2827 du Code civil du Qu\u00e9bec d\u00e9finit l\u00e9galement la signature de la fa\u00e7on suivante:<\/p>\n
La signature consiste dans l’apposition qu’une personne fait \u00e0 un acte de son nom ou d’une marque qui lui est personnelle et qu’elle utilise de fa\u00e7on courante, pour manifester son consentement.<\/address>\n\u00a0<\/address>\nDe mani\u00e8re g\u00e9n\u00e9rale, au quotidien, une signature est aussi une fa\u00e7on de certifier que l’on est bien l’auteur d’un document, ou \u00e0 tout le moins qu’on l’approuve, car elle identifie de fa\u00e7on claire et unique son propri\u00e9taire. Ainsi, lorsqu’on \u00e9crit une lettre papier, il para\u00eet tout naturel d’apposer sa signature. Mais qu’en est-il du courrier \u00e9lectronique?<\/p>\n
Les outils de \u00absignature\u00bb classiquement offerts par les divers logiciels de courrier \u00e9lectronique (simplement apposer ses nom et coordonn\u00e9es \u00e0 la fin d’un message) ne cr\u00e9ent pas de v\u00e9ritables signatures authentiques: n’importe qui peut les imiter! Et comme le champ \u00ab\u00a0De:\u00a0\u00bb (ou \u00ab\u00a0From:\u00a0\u00bb) peut \u00eatre modifi\u00e9 \u00e0 volont\u00e9, n’importe qui peut se faire passer pour n’importe qui!<\/p>\n
Prenons comme exemple les multiples virus qui se propagent par courrier \u00e9lectronique et qui trafiquent justement le champ \u00ab\u00a0De:\u00a0\u00bb afin d’\u00e9viter qu’on retrace leur origine facilement: lorsque l’on re\u00e7oit un courriel infect\u00e9, il proviendra n\u00e9cessairement de quelqu’un qui a notre adresse sur son ordinateur, mais on ne peut savoir de qui il s’agit; s’il provient d’une personne avec qui on partage des amis communs, il est possible que le champ \u00ab\u00a0De:\u00a0\u00bb indique une personne que l’on conna\u00eet effectivement, ce qui incitera \u00e0 faire confiance au courriel et \u00e0 cliquer sur le fichier attach\u00e9 infect\u00e9. Cependant, c’est tr\u00e8s risqu\u00e9, et jamais il ne faut ouvrir un tel courriel \u00e0 moins d’\u00eatre s\u00fbr que la personne a bel et bien d\u00e9lib\u00e9r\u00e9ment envoy\u00e9 le courriel. On pourrait lui t\u00e9l\u00e9phoner pour avoir confirmation, par exemple. Mais existe-t-il une fa\u00e7on plus simple et rapide de s’assurer qu’une personne a bel et bien d\u00e9lib\u00e9r\u00e9ment envoy\u00e9 un courriel sp\u00e9cifique? Oui, par la signature num\u00e9rique!<\/p>\n
Une signature num\u00e9rique vise \u00e0 faire le m\u00eame travail qu’une signature manuelle, \u00e0 savoir d\u00e9clarer comme authentique ce qui est sign\u00e9. Le principe fonctionne de la fa\u00e7on suivante.<\/p>\n
Le syst\u00e8me repose sur la g\u00e9n\u00e9ration de clefs. Une personne poss\u00e8de deux clefs, soit une clef secr\u00e8te (aussi appel\u00e9e clef priv\u00e9e) et une clef publique. La clef secr\u00e8te, comme son nom l’indique, doit demeurer secr\u00e8te. La clef publique, au contraire, peut \u00eatre distribu\u00e9e \u00e0 qui vous le jugerez bon (m\u00eame \u00eatre publiquement expos\u00e9e sur des serveurs de clefs publics ou sur une page Web).<\/p>\n
Lors de la signature num\u00e9rique d’un courriel, le logiciel de signature (voir plus bas) demande un mot de passe afin de pouvoir d\u00e9coder votre clef secr\u00e8te; cette clef servira ensuite \u00e0 produire une s\u00e9rie de chiffres qui sera bas\u00e9e \u00e0 la fois sur la clef secr\u00e8te et le contenu du message et qui sera ajout\u00e9e au courriel: c’est \u00e7a, la signature num\u00e9rique. Lorsque votre correspondant recevra votre courriel, s’il a en main votre clef publique (que vous lui aurez donn\u00e9e personnellement ou que vous aurez rendue disponible sur un serveur public), il pourra v\u00e9rifier que la signature correspond \u00e0 la fois \u00e0 la clef publique (laquelle correspond elle-m\u00eame \u00e0 la clef priv\u00e9e) et au message re\u00e7u, de fa\u00e7on \u00e0 valider non seulement l’origine (seul vous avez pu signer le document) mais \u00e9galement l’int\u00e9grit\u00e9 du message (la signature \u00e9tant bas\u00e9e sur le contenu).<\/p>\n
Il faut en effet savoir que les courriels transitent par divers serveurs de fa\u00e7on non s\u00e9curis\u00e9e, c’est-\u00e0-dire que n’importe qui, entre le point de d\u00e9part et d’arriv\u00e9e du courriel, pourrait en principe intercepter les messages, les lire et les modifier. La signature num\u00e9rique permet, en plus de valider l’origine du courriel, de valider que le contenu n’a pas \u00e9t\u00e9 alt\u00e9r\u00e9 en chemin. Mais si n’importe qui peut intercepter et modifier les courriels (particuli\u00e8rement les administrateurs de serveurs de courriels), cela veut donc dire qu’ils peuvent \u00e9videmment les lire! Eh oui: envoyer un courriel, c’est un peu comme envoyer une carte postale par la poste: tout le monde peut la lire! Y a-t-il une fa\u00e7on de contrer cela? Oui, par le chiffrement des courriels!<\/p>\n
En plus de signer vos courriels, vous devriez \u00e9galement les chiffrer, surtout si le contenu est confidentiel. Mais on n’a pas besoin de raison particuli\u00e8re pour chiffrer ses courriels: un simple d\u00e9sir d’intimit\u00e9 suffit!<\/p>\n
Le processus de chiffrement va coder un courriel (ou n’importe quel autre document) \u00e0 partir de la clef publique de la personne \u00e0 laquelle vous d\u00e9sirez envoyer le document chiffr\u00e9, de fa\u00e7on telle que seule une personne poss\u00e9dant la clef secr\u00e8te correspondant \u00e0 la clef publique utilis\u00e9e pourra d\u00e9chiffrer le document (ou message). Par exemple, vous voulez envoyer un courriel chiffr\u00e9 \u00e0 votre patron: vous devez pour cela disposer d’une clef publique qu’il vous aura fournie (par exemple, \u00e7a pourrait \u00eatre la m\u00eame que vous utilisez pour v\u00e9rifier l’authenticit\u00e9 des messages qu’il vous envoie). Une fois le courriel chiffr\u00e9, seul le possesseur de la clef secr\u00e8te sera en mesure de d\u00e9chiffrer le message, c’est-\u00e0-dire votre patron. Vous assurez ainsi la confidentialit\u00e9 des documents et messages que vous envoyez par Internet.<\/p>\n
Les deux principaux syst\u00e8mes de signature et chiffrement num\u00e9riques sont S\/MIME et OpenPGP. Les deux syst\u00e8mes sont tout aussi efficaces l’un que l’autre; cependant, le premier exige que l’on se procure un certificat de la part d’une autorit\u00e9 de certification, alors que le second peut \u00eatre utilis\u00e9 facilement sans aucune formalit\u00e9 particuli\u00e8re: il est donc plus simple et moins c\u00f4uteux d’utiliser OpenPGP.<\/p>\n
Il existe divers logiciels permettant d’exploiter les fonctionnalit\u00e9s d’OpenPGP; de ceux-l\u00e0, GnuPG<\/a> (GPG) sort du lot en ce qu’il est libre et gratuit.<\/p>\n GPG est cependant un logiciel g\u00e9n\u00e9ral de signature et de chiffrement, qui ne poss\u00e8de par surcro\u00eet aucune interface graphique, de sorte que pour l’exploiter on utilisera d’autres logiciels qui s’interfaceront avec GPG. Par exemple, pour l’utiliser avec le courrier \u00e9lectronique, on utilisera un gestionnaire de courriel compatible qui rendra son utilisation facile et transparente. Le logiciel Outlook de Microsoft ne supporte nativement que le S\/MIME; il existe des logiciels commerciaux ajoutant le support OpenPGP \u00e0 Outlook, mais le mieux de mon point de vue est encore d’utiliser le gestionnaire de courriel Thunderbird<\/a> avec l’extension EnigMail<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Signez vos courriels! Qu’est-ce qu’une signature? L’article 2827 du Code civil du Qu\u00e9bec d\u00e9finit l\u00e9galement la signature de la fa\u00e7on suivante: La signature consiste dans l’apposition qu’une personne fait \u00e0 un acte de son nom ou d’une marque qui lui est personnelle et qu’elle utilise de fa\u00e7on courante, pour manifester son consentement. \u00a0 De mani\u00e8re […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2},"jetpack_post_was_ever_published":false},"categories":[5,4],"tags":[],"class_list":["post-210","post","type-post","status-publish","format-standard","hentry","category-droit","category-informatique"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"jetpack_shortlink":"https:\/\/wp.me\/p5oQvl-3o","jetpack-related-posts":[],"_links":{"self":[{"href":"https:\/\/blogue.ericmartel.net\/index.php?rest_route=\/wp\/v2\/posts\/210","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blogue.ericmartel.net\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blogue.ericmartel.net\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blogue.ericmartel.net\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blogue.ericmartel.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=210"}],"version-history":[{"count":10,"href":"https:\/\/blogue.ericmartel.net\/index.php?rest_route=\/wp\/v2\/posts\/210\/revisions"}],"predecessor-version":[{"id":291,"href":"https:\/\/blogue.ericmartel.net\/index.php?rest_route=\/wp\/v2\/posts\/210\/revisions\/291"}],"wp:attachment":[{"href":"https:\/\/blogue.ericmartel.net\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=210"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blogue.ericmartel.net\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=210"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blogue.ericmartel.net\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=210"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}