|
|
 |
> |
| |
Octobre 2001-n°149
|
Réglementation et internet
Sécurité renforcée
En mars 2001, le gouvernement français promulguait un décret sur la signature électronique. Objectif : développer les transactions électroniques en contribuant à accroître la confiance des utilisateurs.
|
|
|
| |
|
|
|
| |
|
Fin juillet 2001, le baromètre trimestriel du commerce électronique en France, publié par la société Webmarchand.com révélait une faible progression du nombre de sites marchands sur les six premiers mois de l’année avec 5,6%, loin des 100% de croissance annuelle enregistrés jusqu’à fin 2000. Cette même enquête rapporte que 41,4% des sites utilisent le niveau maximal de sécurisation lors de transactions : la sécurisation est donc jugée satisfaisante... bien que perfectible. Parallèlement, une étude de l’INSEE d’avril 2001, réalisée au cours du dernier trimestre 2000, confirme le développement de la vente sur internet pour les entreprises de vente de détail à cette période. Les ventes par internet au grand public ont dépassé au cours du premier trimestre 2000 celles de l’ensemble de l’année 1999. Un commerçant sur cinq est un « e-spécialiste ». Trois détaillants sur quatre considèrent en revanche la sécurité comme un frein au développement du e-commerce. Selon une source Cedicam, la fraude sur internet représente 1% des transactions, soit 66 fois le taux de fraude sur les paiements, sur les cartes françaises à puces (0,015%). Sur le plan international, internet représente 50% des impayés, chiffre qui atteint 80% en France. Différents cas de fraude peuvent se présenter : réutilisation de numéros de cartes volées, capture au fil de l’eau par le réseau TCP/IP, attaque de serveurs commerçants pour récupérer des numéros de cartes valides, faux numéros de cartes générés par des serveurs (et dans ce cas, les numéros de cartes peuvent correspondre à une carte existante), création de fausses enseignes. Mais la sécurisation des paiements sur internet s’améliore avec la technologie et la réglementation. Ceci conduit d’ailleurs Nicolas Lefebvre, directeur général de Sofipost et Joël Robino, directeur marketing France d’IBM France, à déclarer lors de l’UEC à Hourtin 2001, qu’il est plus dangereux de donner son numéro de carte bancaire par téléphone ou fax que sur internet.
|
|
| |
|
| |
|
|
|
La cryptologie réglementée
Un système de paiment sécurisé sur internet devra a minima vérifier qu’il n’y a pas d’opposition sur la carte de paiement et s’assurer que le numéro de la carte ne circulera pas en clair sur le réseau et sera donc crypté pendant le transfert entre le poste du client et celui du commerçant. La sécurisation du réseau internet en France et la réglementation afférente sont donc mis en place progressivement. En 1998 et 1999, plusieurs décrets réglementent la fourniture, l’utilisation, l’importation et l’exportation de la cryptologie. Ainsi, les fonctions cryptologiques autres que la confidentialité sont soumises à déclaration simplifiée auprès de la Direction centrale des systèmes de sécurité de l’information (DCSSI), placée auprès du secrétariat général de la Défense Nationale, service du Premier ministre. La confidentialité est soumise soit au régime de la déclaration, soit au régime de l’autorisation. Le site de la DCSSI (www.scssi.gouv.fr) délivre toutes les informations sur le cadre législatif de la cryptologie, ainsi qu’une liste de produits cryptologiques libres d’utilisation. En France, selon le décret n°99-200 du 17 mars 1999, l’utilisation et l’importation de produits de chiffrement utilisant des clés de longueur inférieure ou égale à 128 bits sont libres à condition d’avoir été déclarées.
|
|
| |
|
| |
|
|
La signature électronique
L’étape suivante du gouvernement en matière de sécurisation des échanges d’information a été la publication du décret concernant la signature électronique le 30 mars 2001. C’est par la loi du 13 mars 2000, qui adapte le droit de la preuve aux technologies de l’information qu’a été reconnue la validité juridique de la signature électronique au même titre que la signature manuscrite. Le décret de cette année détermine les conditions pour que des procédés de signature électronique puissent être considérés comme sécurisés et bénéficier de la présomption de fiabilité. Ces conditions portent tant sur les matériels et logiciels utilisés pour créer cette signature, et qui devront être certifiés par l’administration, que sur le contenu des « certificats électroniques » qui garantiront l’identité du signataire. En effet, si internet permet de réaliser de nombreuses opérations, de l’échange de courriers aux achats en ligne avec carte bancaire, en passant par la conclusion de contrats à distance, etc., plusieurs problèmes demeuraient quant à la fiabilité des opérations : comment garantir l’authenticité de l’identité de celui qui a effectué l’opération et l’intégrité du document échangé ? La signature électronique apporte une réponse à ces deux besoins essentiels. Le procédé utilise un système à base de clés de signature, équivalentes à un sceau apposé sur un document. Le procédé défini en France utilise un système à deux clés liées entre elles : une information propre au signataire, la clé privée, que le détenteur ne doit jamais communiquer et la clé publique, également propre au signataire, mais divulgable et consultable sur annuaire. Le destinataire du message vérifie à l’aide de la clé publique que cette dernière s’accorde bien avec la signature du message reçu, signature générée par une clé privée. Un résultat positif est une garantie sur l’expéditeur et sur l’intégrité du document. Ce système impose que le signataire soit le seul capable de générer la signature et que toute modification ultérieure du document soit détectable. Au final, un dispositif de création de signature électronique peut avoir plusieurs formes : une carte à puce avec éventuellement un code secret, un détecteur d’empreinte digitale, un appareil à enregistrer la signature manuscrite, un logiciel installé sur le disque dur, etc. Dans tous les cas, il sera détenu et utilisé par le signataire ou utilisera des données propres au signataire (code secret, empreinte digitale, etc.). Par ailleurs, le décret précise le cadre dans lequel s’exercera l’activité des professionnels, dénommés « prestataires de services de certification », qui délivreront les certificats électroniques, garanties de l’identité du signataire. Pour compléter ce dispositif, des organismes seront agréés prochainement par arrêtés ministériels afin de permettre la certification, le contrôle et la qualification des futurs fournisseurs de systèmes de signature électronique.
Le champ des usages liés à l’utilisation d’une signature électronique s’étend au delà du paiement sécurisé sur internet. Le décret doit accroître la confiance des utilisateurs. Il doit également faciliter le développement de nombreuses applications qui s’appuient sur les services de certifications électroniques, (télédéclaration de la TVA, télédéclaration d’impôts…). Enfin, tous les procédés mis en place pour internet seront applicables en matière de télévision interactive et de services payants afférents.
|
|
| |
|
| |
|
|
|
Réseau mondial pour l’authentification électronique
Le 1er août 2001, la commission européenne a autorisé un réseau mondial pour l’authentification des signatures électroniques et autres opérations commerciales par voie électronique. Cela se traduit par l’autorisation d’accords entre de grandes banques européennes et non européennes sur la création d’un réseau mondial, baptisé Identrus, société de droit américain constituée en entreprise commune entre 8 fondateurs initiaux. Depuis, Identrus compte 21 actionnaires, dont aucun ne pourra avoir seul le contrôle. Chaque institution financière participante peut fonctionner en qualité d’autorités de certification, individuellement et en concurrence entre elles, en vue de garantir la sécurité des transactions commerciales par voie électronique. Identrus est ouvert aux institutions financières qualifiées du monde entier. Chaque participant peut offrir en concurrence avec tous les autres ses propres applications qu’il aura créées de façon indépendante. Chaque participant fixe librement les prix facturés à ses utilisateurs finaux pour ses services d’authentification. Pour la Commission européenne, ce réseau, par son fonctionnement, n’entraînera aucune restriction sensible de concurrence.
http://www.identrus.com
|
|
| |
|
| |
|
|
La signature électronique... pour quels usages ?
Les usages professionnels
• Achats en ligne par Internet (« B to B ») : la signature électronique rendra accessible aux PME certains outils informatiques des grandes entreprises (format EDI par exemple)
• Gestion des entreprises et dématérialisation des documents.
• Elaboration d’actes authentiques : les notaires pourront établir des actes à distance (dans l’attente de la publication d’un second décret d’application de la loi du 13/3/2000)
• Télépaiement de la TVA : il sera obligatoire pour les entreprises réalisant plus de 100 millions de francs de chiffre d’affaire annuel. Pour plus de détails, voir le site www.finances.fr
• Actes médicaux avec la carte Santé Professionnelle (pour plus de détails voir site www.santé.fr et www.gip-cps.fr).
• Transferts financiers, actes de commerce, lettres de change, etc.
Pour les particuliers
• La télédéclaration d’impôts (cf. www.finances.gouv)
• Le commerce électronique l’achat en ligne la carte EMV, carte bancaire du futur, permettra également de faire la signature électronique. Il sera possible de régler ses achats en utilisant un procédé de signature électronique.
• Les actes notariés (après publication du décret « actes authentiques »).
• Les correspondances personnelles.
Source : http://www.internet.gouv.fr
|
|
| |
|
| |
|
| |
| Contactez-nous
: |
 |
|
 |
| |
|
|
|
|
