Vous pouvez avoir sous les yeux un document signé du Président de la République, mais comment garantir qu’il n’a pas été modifié avant qu’il n’arrive entre vos mains ? S’il s’agit d’un document papier, l’origine de ce document n’est pas spécialement problématique. Il existe, en effet, différents moyens de garantir son authenticité : filigrane, hologramme, polices spécifiques, etc. Mais la question de l’intégrité est plus délicate. Le document papier n’est finalement pas très bien protégé contre les altérations. Alors qu’en électronique, la signature permet d’attester l’authenticité et l’intégrité d’un document. Si un document est modifié, son intégrité est immédiatement cassée.
Instaurer une politique de publication
Sauf que les documents électroniques ne sont pas tous signés. Et c’est une porte grande ouverte à la fraude documentaire. La solution réside dans la mise en place par les organisations d’une “politique de publication”. Qui doit préciser que l’organisation en question signe électroniquement les documents officiels qu’elle publie. Les utilisateurs ou lecteurs seront dès lors certains que les documents qu’ils ont entre les mains sont authentiques et intègres.
Savoir mesurer le niveau de risque
L’objectif pour les organisations étant de pouvoir se retourner quand une mauvaise information est diffusée. Reste ensuite à faire le tri entre ce qui nécessite d’être signé et ce qui ne le mérite pas. Il faut dès lors mesurer le niveau de risque. Celui-ci n’est pas le même avec un relevé bancaire, qui peut facilement être corroboré au plan informatique, qu’avec la mise à jour d’un document technique d’un avionneur par exemple. Cette notion de politique de publication peut intéresser de nombreux secteurs d’activité, comme les médias, la recherche, l’aéronautique, la pharmacie ou d’autres industries sensibles.
L’horodatage : un moyen de sécurité supplémentaire
Le document signé comporte toujours une date de signature, celle du système la plupart du temps. Ainsi, celui qui fait confiance au signataire, fait donc aussi confiance à la date de la signature du document. Mais pour des opérations transactionnelles critiques, comme un ordre de bourse ou un pari, un horodatage s’impose. Ainsi, après la prise d’empreinte de la signature du document, celle-ci est envoyée à un service d’horodatage qui la certifie avec sa propre date, indépendante du système de signature.
Horodatage : deux services pour renforcer la confiance
Mais au-delà, l’intérêt de l’horodatage est double. D’abord en fournissant une référence de temps de confiance pour s’assurer que le certificat de signature n’était pas révoqué au moment de son apposition. En effet, un attaquant aurait tôt fait d’antidater la signature afin qu’elle soit valable. Ensuite, rappelons que la signature est une denrée périssable qui n’est plus vérifiable une fois le certificat expiré. Il existe toutefois un moyen de contourner ce problème, c’est justement l’horodatage, qui une fois apposé, permet d’enregistrer le statut de révocation du certificat. Lex Persona fournit un service d’horodatage gratuit pour les signatures et les cachets, ainsi qu’un service d’horodatage payant qualifié eIDAS.