On peut dire que tout est devenu numérique. À une époque où l'on cultive des fermes virtuelles et où l'on s'occupe d'aquariums en ligne, pourquoi le besoin d'une "signature virtuelle" ne se ferait-il pas sentir ? Lorsqu'il s'agit de remplacer votre "John Hancock" par un horodateur, le risque de compromission de la sécurité s'accroît. Heureusement, il existe des mesures de sécurité protectrices qui peuvent facilement minimiser les risques.
Qu'est-ce qu'un horodateur ?
Un horodateur est l'heure à laquelle un événement est enregistré par un ordinateur, et non l'heure de l'événement lui-même. Les horodateurs sont utilisés dans les fichiers journaux ou dans les systèmes de fichiers où ils sont utilisés pour la création ou la modification d'un fichier ou d'un répertoire.
Horodatage de confiance
L'horodatage est un processus qui permet de suivre la création et la modification de données. Ces données peuvent être un document ou un programme. Ce processus est effectué de manière sécurisée et enregistré afin que personne ne puisse modifier les données, y compris le propriétaire, sans s'en apercevoir. Il garantit l'intégrité des données.
Pourquoi avons-nous besoin de cela ?
Lors de la signature d'un document juridique, dans presque tous les cas, un notaire est présent pour assister à la signature. Le notaire s'assure qu'il a validé la date et l'identité du signataire. Le notaire signe également le document et l'horodate (date/heure). Le notaire conserve un enregistrement (journal) de l'événement à des fins d'audit.
Les entreprises qui souhaitent utiliser ou utilisent des signatures numériques (PKI) pour signer des données (par exemple, un document PDF) supposent qu'une non-répudiation totale est en place.
Malheureusement, cette hypothèse peut s'avérer coûteuse et avoir des conséquences juridiques négatives.
Lorsque vous apposez une signature numérique, par exemple sur un document PDF, le champ de signature indique le nom de la ou des personnes qui ont signé, ainsi que la date et l'heure auxquelles la signature a été apposée sur le document. Cette date et cette heure correspondent à l'horodatage (2011.05.25 at 18:23.21) du document signé.
Lorsque nous vérifions cette signature numérique dans Adobe Acrobat, nous remarquons quelque chose d'intéressant.
(Horodatage avec l'horloge de l'ordinateur local)
"Cela signifie qu'au moment où la signature a été créée, l'horodatage provenait de l'ordinateur local du signataire. Il n'y a rien de mal à cela. Mais il y a un problème majeur d'un point de vue juridique.
Fraude
Il est 17 heures et nous souhaitons signer un document. Malheureusement, notre certificat de signature a expiré ou a été révoqué il y a 10 minutes. Nous pouvons y remédier en réglant l'horloge de l'ordinateur sur 16 heures. Notre certificat sera à nouveau valide et nous pourrons signer le document.
Pour empêcher ce changement d'horloge, nous pourrions désactiver les paramètres de l'horloge sur l'ordinateur du signataire, mais ce n'est pas la solution idéale car elle ne résout pas le problème de la falsification de la date et de l'heure.
Solution
Une meilleure solution consiste à utiliser une autorité d'horodatage (TSA), également connue sous le nom de serveur d'horodatage (TSS). Elle utilise le protocole d'horodatage (TSP)(RFC 3161) ou mieux encore(norme ANSI ASC X9.95). La norme nationale américaine X9.95-2005 Trusted Time Stamps a été élaborée sur la base des normes RFC 3161 et ISO/IEC 18014.
Un TSS est un ordinateur connecté au réseau qui garde l'heure exacte et crée des horodatages. Lors de la signature numérique d'un document PDF et de l'utilisation d'un TSS, tout le monde, y compris le signataire, ne peut pas modifier l'horodatage. Même si l'horloge de l'ordinateur est modifiée avant la signature, l'heure (l'horodatage) est toujours fournie par le TSS et comporte l'heure et la date exactes.
(Signature horodatée)
Conclusion
L'utilisation d'un TSS nous permet de signer numériquement des données et d'assurer une non-répudiation totale. En outre, l'authenticité du document est protégée et ne peut être altérée. Il s'agit essentiellement d'un notaire informatisé.
