Certificat numérique, la signature dématérialisée

Près de 250 000 entreprises seront tenues de télédéclarer leur TVA dès janvier 2007 (à partir d'un chiffre d'affaires de 760 000 euros). En dehors de l'e-administration, la dématérialisation des échanges inter-entreprises se banalise. De nouveaux usages qui nécessitent de signer les documents envoyés à l'aide d'un certificat numérique, afin d'attester de l'identité de l'envoyeur et de garantir l'intégrité et la confidentialité des données. Ce certificat s'obtient auprès d'une autorité de certification, ou AC. Celle-ci est reconnue comme telle si elle respecte une série de procédures (définies dans un document du Minefi) dans la délivrance et la gestion de ces cartes d'identité numériques. Les AC sont responsables de la validité et de la révocation des certificats. Elles peuvent faire appel à des autorités d'enregistrement, ou AE, qui sont chargées de contrôler l'identité des demandeurs.

De fait, pour les entreprises, les principales AC sont Certigreffe (greffes des tribunaux de commerce), Certinomis (filiale de La Poste) et ChamberSign (CCI). L'opérateur de certification, ou OC, est le prestataire technique qui émet les certificats numériques. Keynectis, l'opérateur majeur sur ce marché, fabrique notamment les signatures pour la déclaration de revenus. Sur le marché des entreprises, on trouve des opérateurs comme CertEurope, qui joue aussi le rôle d'AC. Dans la pratique, le choix d'un fournisseur est déterminé par plusieurs critères.

Dans un premier temps, pour utiliser le même certificat sur téléTVA et pour d'autres échanges, il est nécessaire de se fournir auprès d'une entreprise référencée par le Minefi. Ensuite, le certificat doit être de niveau 3 ou 3+ pour pouvoir être utilisé hors de l'entreprise. Le niveau 3 implique de justifier de son identité par une visite à l'autorité d'enregistrement, le ' + ' signifiant que le certificat est stocké sur un support non réinscriptible, clé USB ou carte à puce. Un tel certificat coûte environ 60 euros par an. Ces cartes d'identité sont délivrées pour une période de deux ans renouvelable. L'AC est également chargée de mettre à jour les listes des certificats révoqués (LCR) dans un délai de 24 heures. Ces listes recensent les certificats invalides soit parce qu'ils sont arrivés à expiration, soit parce que l'entreprise détentrice a désiré le révoquer, par exemple suite à la perte d'une clé USB. Les entreprises destinataires doivent vérifier la validité de la signature. Une fonction partiellement automatisée, puisque le certificat contient le lien vers la liste de révocation de l'AC.

Techniquement, la sécurité des échanges repose sur le couple clé privée-clé publique mis en ?"uvre dans les PKI. Ces deux clés sont générées à partir d'un algorithme de chiffrement (RSA, etc.) et de hachage (SHA-1). La clé publique, embarquée sur le certificat, permet au destinataire de lire le message. Le certificat contient les informations permettant d'identifier la personne physique ou morale (raison sociale, etc.), ainsi que la signature de l'autorité qui l'a émis. Il précise aussi la durée de vie du certificat et des informations complémentaires comme le lien sur l'AC.