Préservation des signatures et sceaux électroniques : Comment procéder ?

La signature numérique ou électronique est une chose merveilleuse. Elle nous permet de signer numériquement un document en un instant, de réduire la quantité de papier nécessaire et d'accélérer considérablement les processus de signature. Plus besoin d'imprimer des documents, de courir après la personne responsable sur votre lieu de travail pour obtenir une signature humide sur plusieurs exemplaires d'un document, y compris une initiale sur chaque page. C'est très bien, mais cette signature numérique restera-t-elle valable pour toujours ? Les pirates informatiques ne sont-ils pas en mesure d'altérer les signatures numériques et de créer des documents avec une signature numérique falsifiée ? Ce sont là des questions tout à fait valables et importantes à poser, et un aspect particulièrement important de cette question est le "quand". Immédiatement après avoir signé un document numériquement avec votre carte d'identité électronique, par exemple, vous pouvez être sûr que tout va bien. Mais qu'en est-il d'un document que vous signez aujourd'hui mais qui aura encore une utilité juridique dans 5, 10, 20 ou même 50 ans ? Par conséquent, non seulement la signature numérique proprement dite doit être sécurisée, mais la sécurité et le stockage d'une signature numérique sont peut-être encore plus importants. Dans cet article, nous allons approfondir les implications techniques et les raisons pour lesquelles la conservation d'une signature numérique est d'une importance capitale.

Comment fonctionne exactement une signature électronique qualifiée ?

Nous prendrons l'exemple de la signature d'un document avec votre eID. Supposons que vous ayez reçu un contrat à signer de votre banque et que vous le signiez à l'aide de votre logiciel de lecture de fichiers PDF préféré. Lorsque vous choisissez de signer le document :

1. Le logiciel calcule le hachage cryptographique des données à signer.
2. Ensuite, le logiciel vous demandera de fournir la carte d'identité électronique pour générer une signature.
3. Le logiciel demande à l'utilisateur d'introduire le code pin (authentification à deux facteurs).
4. La carte génère la signature numérique sur le hachage cryptographique du document.
5. L'application recueille la signature numérique fournie par la carte d'identité électronique.
6. L'application stocke la signature numérique, par exemple dans le document (pdf).

La sécurité et la validité de la signature numérique sont assurées par des solutions cryptographiques :

• Le hachage sécurisé calculé sur le document.
• Le cryptage asymétrique utilisant la technologie PKI utilisé par la carte d'identité électronique pour générer une signature.
• L'utilisation de certificats (par exemple, un certificat qualifié X.509v3) pour générer une signature avancée qualifiée.

Cela signifie également que tous ces éléments peuvent être à l'origine de l'invalidité d'une signature. Si l'algorithme de hachage a été "cassé" et qu'il devient facile de générer de faux documents avec le même hachage, il est théoriquement possible de remplacer le document original par un faux. Si un certificat est révoqué, la validité de la signature ne peut plus être validée, etc. Ce qui nous amène à la question suivante :

QeA : Pourquoi la préservation est-elle importante ?

Lorsque l'on reçoit un document signé numériquement, il est possible de vérifier la validité du document et de la signature numérique. Si la validation de la signature est réussie, nous pouvons nous assurer que le document n'a pas été modifié après la signature et que nous pouvons identifier la personne qui a signé le document. Que ferons-nous dans 5, 10 ou 20 ans ? Nous pouvons essayer de valider à nouveau la signature, mais il y a de fortes chances que le certificat utilisé dans le processus de signature ait expiré. Dans ce cas, nous ne pouvons plus valider correctement la signature. Que se passe-t-il si le document a été signé avec un eID qui a été volé après la signature ? Le certificat sera révoqué et vous ne pourrez plus valider la signature. Que se passerait-il si une faiblesse cryptographique était découverte dans la cryptographie ? et il est désormais possible de créer de fausses signatures. Pouvez-vous encore faire confiance aux signatures utilisant cette technologie ? Dans ce cas, vous devez supposer que toutes les signatures affectées par cette faiblesse ne sont plus valables. N'importe qui peut créer de fausses signatures et vous fournir des documents prétendument signés Quoi qu'il en soit, quelle que soit la technologie utilisée, il arrivera un moment où la validité d'une signature ne pourra plus être validée. C'est là que la préservation des signatures numériques (et des documents en général) devient importante. Heureusement, il existe des solutions à ce problème.

Création de preuves

Dès que vous validez une signature numérique, vous savez que vous disposez d'un document qui a été signé et qui peut servir de preuve juridique. Comme nous l'avons vu, la validation de la signature à l'avenir deviendra impossible à un moment ou à un autre. Soit à long terme (expiration du certificat), soit dans un délai imprévisible (rupture de l'algorithme de cryptographie ou révocation du certificat). Il est donc important d'enregistrer l'acte de validation de la signature lui-même. Cela signifie qu'au moment de la validation de la signature, il est important d'enregistrer l'heure de la validation et de la stocker avec le document et la signature validés. De toute évidence, il ne suffit pas d'écrire une note indiquant que le document et la signature ont été validés, car cette note pourrait facilement être falsifiée ou ajoutée ultérieurement. Là encore, il est nécessaire de prouver que cela a été fait. Pour prouver que vous avez effectivement effectué la validation, vous pouvez utiliser un horodatage qualifié.

Horodatage qualifié

L'horodatage d'un document est le processus par lequel une date et une heure (horodatage) sont liées à ce document. La date et l'heure sont demandées à un fournisseur d'horodatage qualifié. Il s'agit d'un fournisseur de services de confiance qui garantit la fourniture d'un horodatage précis et correct. Comme pour la signature d'un document numérique, les étapes sont les suivantes :

1. Un hachage cryptographique du document est créé.
2. Le hachage cryptographique du document est fourni à l'autorité d'horodatage.
3. L'autorité d'horodatage signe le hachage cryptographique en indiquant l'heure réelle de la signature.
4. Le résultat signé est renvoyé à l'auteur de la demande.

À ce stade, nous avons la preuve que le document lui-même a été enregistré à un moment donné. Cela nous permet de prouver qu'à l'avenir, le document n'a pas été modifié depuis l'horodatage. En horodatant les documents et les résultats de la validation de leur signature, il est donc possible de prouver qu'un document n'a pas été modifié.

Un seul horodatage suffit-il ?

Non, ce n'est pas le cas. Tout comme la signature numérique elle-même, la validité d'un horodatage peut être remise en question au fil du temps. Là encore, il s'agit d'algorithmes cryptographiques qui peuvent être brisés au fil du temps. Le fournisseur de contremarques de temps qualifié utilise à nouveau des certificats pour signer les hachages. Comme nous le savons, les certificats expirent et peuvent également être révoqués. Il est donc nécessaire de répéter ce processus dans le temps et d'horodater régulièrement les documents au fil du temps. Si nous continuons à horodater les documents, les informations supplémentaires des horodatages précédents nous permettent de créer une chaîne d'enregistrements de preuves qui apportent la preuve indéniable que ces documents n'ont pas changé au fil du temps. Il est essentiel de ne pas se contenter d'horodater le document lui-même à plusieurs reprises, mais de toujours horodater le résultat précédent. C'est pourquoi nous créons un hachage de toutes les informations précédentes, en les incluant dans la chaîne de preuves. Avec de nouveaux horodatages à l'avenir, nous pouvons mettre à jour les algorithmes cryptographiques et nous assurer que tous les certificats utilisés par toutes les parties concernées ont une date d'expiration. Nous pouvons suffisamment nous protéger à l'avenir contre les problèmes que nous avons déjà évoqués, à savoir la compromission des algorithmes cryptographiques ou l'expiration ou la révocation des certificats. La compilation de ce type de chaîne de preuves nous permet de prouver à tout moment que le document n'a pas été modifié au fil du temps et que nous avons utilisé des algorithmes cryptographiques qui étaient à la pointe de la technologie au moment de la création de l'enregistrement de la preuve.

Archivage électronique qualifié

Il est clair que toutes les étapes discutées pour préserver correctement une signature numérique est un processus qui n'est pas trivial. C'est là qu'une solution d'assurance qualité s'impose. En tant que destinataire d'un document signé numériquement, il est important que le document soit intégré dans l'archive le plus rapidement possible. Dès qu'une signature numérique est préservée par l'archive, vous pouvez être assuré que.. :

• Le document est stocké correctement
• Les signatures dans le document sont validées
• Toutes les informations pertinentes sont correctement horodatées lors de l'ingestion.
• Les horodatages sont renouvelés à intervalles réguliers avant que des problèmes de cryptage ou d'expiration de certificats ne surviennent.

Par conséquent, la signature numérique d'un AQE reste valide. pour toujours car les informations suivantes sont stockées :

• Les données signées numériquement
• La signature numérique des données
• Une preuve de la validité de la signature (rapport de validation de la signature horodaté)
• Renouvellement des horodatages avant que la validité des horodatages antérieurs ne puisse être remise en cause.

L'intégrité de toutes ces données doit être protégée à tout moment. C'est exactement ce que permet une solution d'assurance qualité.

Cadre juridique

Une AQE n'est pas seulement une solution technologique, elle est également soutenue et définie par un cadre juridique solide qui garantit l'authenticité, l'intégrité et la confiance pour tous les documents conservés. La nécessité d'une conservation à long terme est reconnue, entre autres, dans le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur [i.2], comme le montre le considérant (61) : " Le présent règlement devrait assurer la conservation à long terme des informations afin de garantir la validité juridique des signatures électroniques et des cachets électroniques sur de longues périodes et de garantir qu'ils peuvent être validés indépendamment des changements technologiques futurs. " D'une manière générale, les signatures électroniques qualifiées préservation des signatures numériques est mis en œuvre dans l'UE et dans les lois, normes et réglementations mondiales. Les normes les plus courantes et les plus éprouvées sont les suivantes :

• ETSI TS 119 511 : Exigences en matière de politique et de sécurité pour les prestataires de services de confiance assurant la conservation à long terme des signatures numériques ou des données générales à l'aide de techniques de signature numérique.
• ETSI EN 319 401 : Signatures électroniques et infrastructures (ESI) ; exigences générales en matière de politique pour les prestataires de services de confiance.
• Règlement eIDAS :
• Article 34 : Service de conservation qualifié pour les signatures électroniques qualifiées
• Article 40 : Validation et conservation des sceaux électroniques qualifiés

Pas seulement une solution technologique

Une AQE n'est pas seulement une solution technique à un problème, elle repose également sur une base juridique. Elle impose également des exigences strictes au fournisseur de l'archive. Pour exploiter une AQE, il faut être un fournisseur de services de confiance qualifié (QTSP). Pour devenir un service de confiance qualifié, le service doit répondre aux exigences légales (loi belge sur le numérique et règlement eIDASv2 à venir). Avant de devenir un prestataire de services de confiance "qualifié", l'organisation fait l'objet d'une évaluation rigoureuse et indépendante et subit des audits réguliers pour s'assurer qu'elle continue à respecter les exigences du QTSP. Il s'agit notamment de former régulièrement l'ensemble du personnel, de se soumettre à une évaluation indépendante et à des audits réguliers, de mettre en place un plan de continuité des activités, etc.

Conclusion

Les signatures numériques remplacent totalement les signatures traditionnelles sur papier. Elles fournissent non seulement la même preuve juridique, mais aussi beaucoup plus d'informations et sont pratiquement impossibles à falsifier. Combinées à une conservation correcte des signatures dans un système d'assurance qualité, les signatures restent valables à jamais.