Des travées désertées, des conférences annulées, des exposants désœuvrés... L'ambiance du Salon Infosec 2003, spécialisé dans la sécurité informatique, qui vient de se tenir du 20 au 22 mai au CNIT à Paris, tranche avec l'effervescence des années passées. Trois ans après l'adoption de la loi sur la signature électronique, celle-ci tarde à entrer dans les mœurs. Certes, les industriels ont dû patienter pour que les décrets d'application (2001) et les arrêtés ministériels (2002) précisent les conditions techniques et juridiques donnant à la signature électronique la même valeur probante qu'à la signature manuscrite. Certes, la "bulle Internet" a éclaté dans l'intervalle, tarissant les financements.

Pour autant, on s'explique mal le manque d'enthousiasme vis-à-vis d'une technologie - l'infrastructure à clés publiques (ICP) - qui était présentée naguère comme le moyen idéal pour établir la confiance sur Internet. Elle permettrait, annonçait-on, de contrôler l'identité des internautes, de garantir la confidentialité et l'intégrité des messages transitant sur le réseau et de garder la preuve que l'échange de documents avait bien eu lieu. Bref, d'utiliser le réseau ouvert pour faire circuler des informations sensibles, pour passer des commandes, signer des documents, toutes choses coûteuses en temps et en argent dans le monde réel.

Au milieu des années 1990, les plus optimistes tablaient sur un marché généré par l'ICP de 3,5 milliards de dollars en 2005. Or, en 2002, il n'aurait pas dépassé 350 millions de dollars.

En théorie, les ICP sont un outil sans rival. Elles reposent sur le principe du chiffrement dit asymétrique, inventé en 1973 au sein des services secrets britanniques, puis redécouvert par des universitaires américains, Whitfield Diffie et Martin Helmann, qui en 1976 en énoncent le principe : utiliser une paire de clés, dont l'une est publique et permet à tous de signer ou chiffrer un document, tandis que l'autre est secrète et permet à son seul possesseur de procéder à l'opération inverse.

En 1978, des universitaires, Ronald Rivest, Adi Shamir et Leonard Adleman, proposaient un algorithme permettant de réaliser cette prouesse à l'aide de nombres premiers. Leur système, baptisé RSA, est au cœur des solutions ICP proposées aujourd'hui, qui reposent sur l'attribution aux utilisateurs de cartes d'identité numériques, les certificats, normalisés et reconnus par la majorité des logiciels de navigation ou de messagerie. Il a suffi d'augmenter la longueur des clés pour les mettre à l'abri des attaques d'ordinateurs toujours plus puissants et capables, désormais, de travailler en réseau sur toute la planète. La technologie n'est donc pas en cause.

C'est sa mise en œuvre qui pose problème. La réglementation prévoit une pyramide d'acteurs. Elle comprend des distributeurs de certificats (en France, essentiellement Certplus et Certinomis) agréés par des autorités de certifications (généralement des banques) qui, elles-mêmes, font l'objet de procédures de qualification. Il faut aussi des validateurs capables de tenir à jour les annuaires de certificats et d'en retirer ceux qui sont parvenus à expiration ou qui ont été révoqués. L'utilisateur final doit enfin être dûment identifié, ce qui suppose parfois une rencontre physique.

"Le plus compliqué, c'est d'organiser la confiance et la maintenir vingt-quatre heures sur vingt-quatre", souligne Richard Pirim, architecte système sécurité et réseau de la direction générale des impôts, qui a pu juger de la complexité du problème à l'occasion de la mise en place de téléprocédures pour l'acquittement de la TVA par les grandes entreprises et la déclaration en ligne de l'impôt sur le revenu, à laquelle 608 000 personnes ont procédé en 2003. Il s'agit là - avec la carte de santé - des seules utilisations d'envergure d'IPC en France. Encore le ministère des finances a-t-il dû rendre obligatoire le télépaiement de la TVA pour les quelque 20 000 entreprises de plus de 15 millions d'euros de chiffre d'affaires qui sont contraintes d'acheter des certificats électroniques.

La signature électronique demeure pourtant confidentielle. Certaines start-up tentent de la rendre plus conviviale ou attrayante. C'est le cas, par exemple, de E-picture-Certification.com, qui propose, hors ICP, un logiciel permettant d'accoler une signature électronique à l'image d'une signature manuscrite.

La jeune société Cryptolog ambitionne, pour sa part, de faire l'économie du déploiement de lecteurs de cartes à puce ou de clés USB, les supports habituels des certificats pour les remplacer par des certificats virtuels stockés sur un serveur distant et protégés par des algorithmes à connaissance nulle. D'autres, comme Audiosmartcard, vendent des cartes à puce sonores qui évitent le recours à de coûteux lecteurs de cartes, puisqu'elles font appel au microphone des ordinateurs.

Reste à savoir si le marché est mûr. Les pouvoirs publics ont, en la matière, un pouvoir d'incitation majeur. Le projet de carte d'identité à puce du ministère de l'intérieur pourrait servir de certificat gratuit.

Le Minefi envisage plusieurs projets de téléprocédures faisant appel à la signature électronique. Mais il ne peut se permettre de proposer une application qui contraindrait les utilisateurs dans le choix du matériel - certains logiciels ne prévoient pas le stockage des certificats, les Mac ne gèrent pas les algorithmes de chiffrement et certaines versions de Windows n'acceptent pas les applications Java.

Trouver une solution universelle relève donc du défi. "Une complexité à faire frémir les développeurs", note Richard Pirim. Le Minefi envisage de faire appel aux grandes écoles pour développer une application de signature qui pourrait être versée dans le domaine public. Ce qui suppose de nouveaux délais...

Hervé Morin

Une carte d'identité à puce est à l'étude

Le ministère de l'intérieur planche, depuis plusieurs mois, sur une nouvelle génération de carte d'identité, équipée d'une puce électronique. Les groupes de travail de la Place Beauvau n'ont pas encore statué officiellement sur le type et la quantité d'informations personnelles qui pourraient y être stockées. Des informations biométriques devraient, en tout cas, y figurer avec, notamment, les empreintes digitales.

Une telle éventualité pourrait susciter l'émergence de nouveaux lecteurs de cartes à puce capables d'authentifier formellement leur porteur. Les ministres de l'intérieur et de la justice du G8, qui se sont réunis à Paris, lundi 5 mai, se sont d'ailleurs engagés à recourir à la biométrie comme méthode d'identification de leurs citoyens. Les Etats-Unis ont déjà fixé, en effet, à octobre 2004 la date à partir de laquelle les contrôles recourant à la biométrie des titres de transport et d'identité seront nécessaires pour l'entrée sur le territoire américain.