Signature électronique grand public

Introduction

Les technologies de cryptographie modernes permettent, notamment, l'échange d'information chiffrée (de manière sûre) entre partenaires sur Internet, ainsi que la signature électronique. La loi suisse intègre l'équivalence de la signature électronique avec la signature de contrat papier (en droit suisse, il faut se rappeler que le contrat oral est également valable).

Il est cependant difficile, en pratique, de permettre à chaque Suisse d'utiliser ces technologies. En effet, chaque entreprise (banque, poste, administrations, ...) a fait développer des systèmes incompatibles.

Même si les technologies de base sont similaires (TLS/SSL, X.509, OTP, etc) et d'ailleurs largement en logiciel libre ou open source, cela signifie tout de même qu'il n'est pas possible, avec une seule carte à puce, d'effectuer une variété de transactions électroniques ni d'étendre le champ d'utilisation de ces technologies.

Après un premier projet suisse (Swisskey, une collaboration de l'UBS, Telekurs et des offices du commerce, 1998), qui a fait faillite, la Confédération a annoncé son soutien financier au projet Suisse ID.

Intérêt de l'approche et questions ouvertes

L'approche nouvelle est intéressante sur de nombreux points:

• standardisation de l'établissement du lien entre identité réelle et identité électronique
• diminution des coûts globaux de la signature électronique
• soutien officiel de la Confédération et publicité

Elle pose, comme de nombreuses applications électroniques, des questions fondamentales

• la solution, qui permet une équivalence avec la signature papier sans en égaler la sécurité intrinsèque (empreintes digitales sur le papier, présence physique dans un même lieu, etc), est-elle véritablement sûre ?
• la solution a-t-elle été globalement auditée (matériel et logiciel: code ouvert) et comment sont traités les problèmes découverts ? (publicité, secret, déploiement des correctifs?)
• le grand public est-il suffisamment formé à utiliser ces technologies et surtout, à comprendre les enjeux ? la subvention à l'achat est-elle suffisante ? devrait-on aller vers un permis de conduire de l'ordinateur et d'Internet ?
• les plateformes techniques sont-elle suffisamment matures ?
• les technologies actuelles, par leur variété et leur impact limité, n'offrent-t-elles pas moins de risques d'abus globaux ?
• comme il n'est pas facile, sur Facebook, d'isoler vos connaissances professionnelles de vos amis, ne risque-t-on pas un nivellement (signer son courrier électronique envoyé à des amis nécessite-t-il vraiment le même niveau de sécurité qu'à sa banque?). Un système hiérarchique (on signe ses clés de travail avec sa clé personnelle) serait un bon compromis.
• quid du vote électronique et de ses enjeux ?

-- MarcSCHAEFER - 03 May 2010