Esquisses, vol. 22, no 2, été 2011

Signature numériqueUne question de confiance

L’Ordre a récemment signé une entente avec Notarius pour le déploiement de la signature numérique. Esquisses présente ici le deuxième de quatre articles sur la question.

Charles Tremblay, directeur commercial chez Notarius

Dans le précédent numéro d’Esquisses, nous expliquions comment la signature numérique, une technologie moderne, est issue des systèmes de sécurité d’autrefois. Pour illustrer son fonctionnement, nous prenions l’exemple d’officiers d’une même armée qui pouvaient sécuriser leurs documents secrets à l’aide de leur cadenas personnel. La consultation des documents était restreinte à ceux qui avaient accès à la clé publique correspondant au cadenas qui était partagé par tous : c’est le principe du « chiffrement à clés asymétriques ».

Par mesure de sécurité, seul un groupe de soldats de confiance pouvait graver les coordonnées de l’officier propriétaire afin de prouver l’origine et de protéger le contenu des documents secrets. Or, quand aucune procédure de sécurité n’encadrait l’émission et la gestion des clés et des cadenas aux différents officiers, le système devenait vulnérable au vol et à la falsification par les espions des armées ennemies. En 2011, qui sont ces espions? Les pirates informatiques, un véritable fléau pour la sécurité des données!

C’est là qu’entre en jeu la notion de confiance, fondement de la gestion des signatures numériques. La confiance n’est pas une fonctionnalité inhérente à la technologie de la signature numérique, elle constitue plutôt le résultat de sa gestion. En d’autres termes, elle repose sur la manière dont les clés et les cadenas sont émis, gérés et protégés. D’abord, elle exige que les personnes chargées de ces tâches soient dignes de confiance. De plus, le nom et les coordonnées du propriétaire doivent être gravés sur le cadenas et la clé correspondante, et non simplement inscrit sur une étiquette facilement modifiable. L’inscription ainsi estampée constitue le « certificat », car elle contient des informations certifiées. Finalement, la confiance suppose que les clés et les cadenas soient protégés contre les pirates informatiques.

 

Une technologie fiable

Chez Notarius, la confiance est présente à toutes les étapes de la gestion de la signature numérique. En partenariat avec des ordres et associations professionnels, ainsi que des entreprises et individus, Notarius s’assure d’émettre des clés et cadenas n’utilisant que de l’information certifiée, exacte et valide. Mettre à jour les renseignements personnels d’un utilisateur comme son titre professionnel ou son statut d’employé est un incontournable à la gestion efficace de ce service. Par exemple, si un utilisateur est suspendu, congédié ou radié, son statut est modifié de façon à l’empêcher d’utiliser sa signature numérique. Par ailleurs, une vérification de l’identité est requise au moment de l’émission, contrairement à la majorité des autres fournisseurs qui laissent plutôt aux utilisateurs le soin de générer leurs propres clés et certificats. Cette pratique ne fait que faciliter la fraude par les pirates informatiques en leur permettant de créer de nouvelles clés à l’aide de vos informations personnelles.

L’infrastructure à clés publiques par laquelle Notarius émet et gère les signatures numériques constitue un environnement protégé et certifié ISO 27001 (2005). Cette norme ISO stipule entre autres que des mesures de sécurité adéquates et proportionnelles sont mises en place pour protéger les actifs informationnels afin d’inspirer confiance aux utilisateurs et au public.

En outre, Notarius fournit à ses utilisateurs tous les outils nécessaires pour protéger efficacement leurs clés de signature privées contre toute utilisation non autorisée. Là encore, Notarius se démarque d’autres fournisseurs de signatures numériques qui, trop souvent, confient à l’utilisateur la responsabilité de protéger ses clés et certificats.

L’intégrité et la sécurité des informations ne sont pas de nouveaux enjeux. Aujourd’hui, le monde des affaires souhaite que l’information soit sécurisée pour des questions de sécurité publique, de responsabilité professionnelle ou contractuelle et d’intégrité professionnelle ou commerciale. Jusqu’à récemment, la signature manuscrite était la seule marque d’authentification officiellement reconnue pour les documents papier, car, étant difficile à imiter, elle peut identifier le signataire de façon presque incontestable. Pour cette raison, plusieurs doutent de la nécessité de signer collectivement de façon numérique les documents électroniques. Notre prochain article traitera donc des avantages de la signature numérique.

L’Ordre a récemment signé une entente avec Notarius pour le déploiement de la signature numérique. Esquisses présente ici le deuxième de quatre articles sur la question.

Charles Tremblay, directeur commercial chez Notarius

Dans le précédent numéro d’Esquisses, nous expliquions comment la signature numérique, une technologie moderne, est issue des systèmes de sécurité d’autrefois. Pour illustrer son fonctionnement, nous prenions l’exemple d’officiers d’une même armée qui pouvaient sécuriser leurs documents secrets à l’aide de leur cadenas personnel. La consultation des documents était restreinte à ceux qui avaient accès à la clé publique correspondant au cadenas qui était partagé par tous : c’est le principe du « chiffrement à clés asymétriques ».

Par mesure de sécurité, seul un groupe de soldats de confiance pouvait graver les coordonnées de l’officier propriétaire afin de prouver l’origine et de protéger le contenu des documents secrets. Or, quand aucune procédure de sécurité n’encadrait l’émission et la gestion des clés et des cadenas aux différents officiers, le système devenait vulnérable au vol et à la falsification par les espions des armées ennemies. En 2011, qui sont ces espions? Les pirates informatiques, un véritable fléau pour la sécurité des données!

C’est là qu’entre en jeu la notion de confiance, fondement de la gestion des signatures numériques. La confiance n’est pas une fonctionnalité inhérente à la technologie de la signature numérique, elle constitue plutôt le résultat de sa gestion. En d’autres termes, elle repose sur la manière dont les clés et les cadenas sont émis, gérés et protégés. D’abord, elle exige que les personnes chargées de ces tâches soient dignes de confiance. De plus, le nom et les coordonnées du propriétaire doivent être gravés sur le cadenas et la clé correspondante, et non simplement inscrit sur une étiquette facilement modifiable. L’inscription ainsi estampée constitue le « certificat », car elle contient des informations certifiées. Finalement, la confiance suppose que les clés et les cadenas soient protégés contre les pirates informatiques.

 

Une technologie fiable

Chez Notarius, la confiance est présente à toutes les étapes de la gestion de la signature numérique. En partenariat avec des ordres et associations professionnels, ainsi que des entreprises et individus, Notarius s’assure d’émettre des clés et cadenas n’utilisant que de l’information certifiée, exacte et valide. Mettre à jour les renseignements personnels d’un utilisateur comme son titre professionnel ou son statut d’employé est un incontournable à la gestion efficace de ce service. Par exemple, si un utilisateur est suspendu, congédié ou radié, son statut est modifié de façon à l’empêcher d’utiliser sa signature numérique. Par ailleurs, une vérification de l’identité est requise au moment de l’émission, contrairement à la majorité des autres fournisseurs qui laissent plutôt aux utilisateurs le soin de générer leurs propres clés et certificats. Cette pratique ne fait que faciliter la fraude par les pirates informatiques en leur permettant de créer de nouvelles clés à l’aide de vos informations personnelles.

L’infrastructure à clés publiques par laquelle Notarius émet et gère les signatures numériques constitue un environnement protégé et certifié ISO 27001 (2005). Cette norme ISO stipule entre autres que des mesures de sécurité adéquates et proportionnelles sont mises en place pour protéger les actifs informationnels afin d’inspirer confiance aux utilisateurs et au public.

En outre, Notarius fournit à ses utilisateurs tous les outils nécessaires pour protéger efficacement leurs clés de signature privées contre toute utilisation non autorisée. Là encore, Notarius se démarque d’autres fournisseurs de signatures numériques qui, trop souvent, confient à l’utilisateur la responsabilité de protéger ses clés et certificats.

L’intégrité et la sécurité des informations ne sont pas de nouveaux enjeux. Aujourd’hui, le monde des affaires souhaite que l’information soit sécurisée pour des questions de sécurité publique, de responsabilité professionnelle ou contractuelle et d’intégrité professionnelle ou commerciale. Jusqu’à récemment, la signature manuscrite était la seule marque d’authentification officiellement reconnue pour les documents papier, car, étant difficile à imiter, elle peut identifier le signataire de façon presque incontestable. Pour cette raison, plusieurs doutent de la nécessité de signer collectivement de façon numérique les documents électroniques. Notre prochain article traitera donc des avantages de la signature numérique.