Problèmes à résoudre

Il y a deux types de problèmes à résoudre:

  1. la transposition au contexte télématique de notions juridiques telles que la signature;
  2. les faiblesses d'Internet du point de vue de la sécurité.

Problèmes juridiques

Pour reproduire les moeurs du monde réel, l'univers électronique va progressivement se voir imposer ses lois, ses autorités et ses principes juridiques. Dans ce qui suit, on laisse de coté un débat politique passionnant et souvent passionné pour n'évoquer que la couverture juridique indispensable à toute transaction financière: Si l'on souhaite échanger des biens et de l'argent sur Internet, il faut présenter une identité digne de foi et des garanties juridiquement opposables.

Solutions

Des procédés informatiques réputés fiables sont proposés aujourd'hui permettant de définir une identité et de lui associer une signature.
On peut donc parler d'identité électronique et de signature électronique. Ces notions sont progressivement admises par les législateurs.

Identité et certificats

Qui sommes-nous ? La question n'est pas résolue sur le plan métaphysique mais elle l'est sur le plan juridique:
Ressortissants de pays disposant d'un état civil, nous avons une identité que nos autorités de tutelle ont la responsabilité d'établir et de protéger. Cette identité est matérialisée par un passeport.
Cette identité n'est cependant pas celle qui importe lors d'une transaction financière. Pour acheter des biens sans débourser d'argent liquide, on peut par exemple présenter une carte de crédit, sans avoir à justifier de son identité. Cela signifie que l'on présente une identité ad-hoc, de titulaire de carte de crédit. La confiance entre les parties, naît de celle que place le commerçant dans l'organisme émetteur de la carte. Dans cet exemple, nous sommes en présence de deux identités, représentées par deux documents (passeport et carte de crédit) émanant de deux autorités.

Ces identités peuvent être reproduites sur Internet. Les documents d'identité se font électroniques mais ne changent pas de fonction, on les appelle des « certificats électroniques ».
Signe des temps, le certificat « carte de crédit » verra vraisemblablement le jour avant le certificat « passeport ».

Signature électronique

Des procédés de signature électronique ont été mis au point, qui se basent sur la manipulation d'un code que seul le signataire est censé connaître. Le procédé est différent de celui du mot de passe ou du NIP des cartes bancaires, dans lesquels le code est transmis vers un autre système pour effectuer des comparaisons. Les signatures électroniques sont effectuées sans transmission, elles appliquent sur un document électronique un traitement que seul le titulaire du code est en mesure d'effectuer.

Les faiblesses d'Internet

Internet a été conçu pour être très ouvert, très souple et très robuste. C'est ce qui a fait son succès, en dépit des efforts des fournisseurs de systèmes propriétaires. Ces grandes qualités deviennent de gros défauts quand il s'agit de communiquer des choses sérieuses comme de l'argent. Tel qu'il se présente à l'heure actuelle, Internet n'offre aucune garantie de fiabilité, ni de confidentialité. Sur Internet, toute la gamme des atteintes à la sécurité est à la portée du premier venu: indiscrétions, impostures, altérations et échos.

Aucune confidentialité

Sur Internet, circulent des paquets qui suivent des circuits de routage de machines (host en anglais) en machines. Chacune de ces machines effectue ce routage avec des logiciels standards aux spécifications bien connues. Le chemin varie en fonction de la disponibilité des machines et des connexions. C'est ce qui fait la robustesse d'Internet.
Il est impossible de garantir que les paquets échangés entre deux correspondants quels qu'ils soient ne sont pas interceptés ni altérés.

Aucune identification

Internet ne comporte pas de méthode pour identifier (authenticate en anglais) des correspondants (humains ou logiciels). La seule notion qui existe actuellement dans certaines applications d'Internet est celle de nom d'usager d'une machine. Cela donne des identifications du type machin@nom.de.machine . On risque toujours d'avoir affaire à un imposteur, car:

Solutions

Confidentialité

Pour assurer la confidentialité des échanges, il est exclu de modifier le principe de fonctionnement d'Internet, ce qui n'apporterai d'ailleurs que peu de garanties. Pour établir des échanges discrets, on peut se contenter de crypter les données échangées.
On dispose pour ce faire, de solutions fiables (difficiles à percer) et performantes (cryptages et décryptages rapides). Celles-ci sont décrites au chapitre « Les procédés de cryptage ».

Identification

Pour identifier les correspondants, il existe deux types de solutions:

  1. identification par le réseau,
  2. présentation d'une identité électronique.

Dans le premier cas, l'identification du correspondant est effectuée lors de sa connexion au réseau, selon des procédés informatiques. Le réseau a ensuite la charge de garantir cette identification.
Dans le second cas, on va se faire reconnaître directement auprès de son interlocuteur sans demander de garantie au réseau, en présentant des certificats et en échangeant des documents électroniques signés.

Ces solutions sont décrites d'un point de vue technique au chapitre « Idenfication ».


[Chapitre précédent], [Chapitre suivant], [Table des matières]