crocodudule Posté(e) le 17 juillet 2009 Auteur Partager Posté(e) le 17 juillet 2009 Ca va trancher Rien ne sert de réinventer la roue.Oui le certificat a un coup parce que ce n'est pas qu'un document binaire. Tu as aussi les sécurités associées, l'association à ta personne (vérification d'identité lors du process de souscription), ... Si processus de vérification valable il y a. Comme déjà dit j'ai 2 certificats gratuits obtenus auprès d'AC, l'un j'ai donné les bonnes infos., l'autre est totalement bidon, dans les deux cas je pouvais mettre n'importe quoi. Ta procédure à la main ne permet pas de crypter efficacement, ne te garantie aucunement la signature et certifie à la personne d'en face que tu es un bidouilleur radin (ce que je comprends tout à fait, ne t'inquiète pas. Le défaut? Comme indiqué, l'usage recherché n'est pas de signer avec ma clef pour dire c'est moi (ce que fait très bien GPG), mais de "certifier" l'intégrité du contenu. (plus exactement donner un élément de comparaison porté sur le document en lui même, conservé après impression). Aucune valeur légale, ce qui est quand même le principal intérêt en cas de conflit... Si le code civil ne distingue plus doc. papier/doc. numérique, contrairement a une idée reçu un document signé numériquement n'a pas la même valeur probante qu'un document classique signé (sous réserve des éléments donnés plus bas). Le doc. signé numériquement n'est au mieux qu'un commencement de preuve par écrit (ce que peut être un document non signé numériquement mais qui aura d'autres qualités). Il faudra en plus remplir d'autres conditions qu'en lui même le juge ne peut pas apprécier, et donc faire intervenir l'AC voire une expertise informatique. (Pour un exemple parlant, Cour d'appel de Besançon 13 mars 2000 ). De plus un document imprimé ne portera plus les informations de signature électronique, ni même un élément objectif permettant de le relier à la version électronique, en conséquence de quoi sa valeur probante ne peut être qu'au mieux un commencement de preuve par écrit. C'est d'ailleurs une autre fausse idée que de croire que le Code civil n'admet que la signature électronique comme mode probatoire des documents électroniques (idée largement entretenue par les boites qui fourguent ces produits), les règles classiques de droit de la preuve s'appliquent point barre (par exemple, Cass. com., 4 oct. 2005, n° 04-15195 ou mieux encore Cass. civ. 2 25 juin 2009 n° 08-12248 ). Et c'est précisément devant le très large risque de signatures bidonnées (fausses infos. à la souscription, AC peut regardante, défaut de maîtrise technologique de l'utilisateur final...) qu'un circuit de certification bien plus restreint que celui des boites qui fourguent ces produits a été créé en Europe et en France pour offrir une garantie supérieure, on parle parfois de signature "qualifiée" (en réalité les signatures sont classiques en revanche c'est le certificat de l'AC qui est "qualifié"), et là on a un vrai processus et des garanties. Les détails sont donnés par l'arrêté de 2004 (que l'on attendait depuis 2000), cf. ici . On est plus dans la même cour en terme de garanties concernant les informations à fournir, l'audit des boîtes agrées, ou, encore, concernant l'encadrement de l'usage de la signature par l'utilisateur final. C'est seulement dans le cas où tu disposes d'une signature "qualifiée" que tu as le bénéfice d'une présomption de fiabilité qui permet de faire peser la charge de la preuve sur l'autre partie. Sans ce type de signature c'est à toi de démontrer la validité de ta signature en cas de contestation, autrement dit, ça n'a pas plus d'intérêt que mon pk11 autosigné ou même mon md5 intégré au pdf expédié lui même signé avec mon pk11 autosigné ou même un des mes certificats gratuits obtenus auprès d'AC. Tu remarqueras que disposer d'une signature "qualifiée" n'est pas donnée, mais au moins cela peut se justifier au regard de l'intérêt que cela apporte, car au moins ici il est tangible. En ne cherchant pas longtemps, je suis tombé là dessus:http://www.chambersign.fr/offre/tarifs.jsp 80€/an n'est pas si cher, je trouve... Tu en as en à 12€/an auprès des entreprises d'enregistrement de nom de domaine. Et tu as même des AC (Canada et Australie) qui sont gratuites. Un conseil, si tu veux avoir l'esprit tranquille, ce n'est pas là qui veut radiner. Désolé d'avoir développé l'argumentation juridique sur ce thème, je voulais m'en tenir à une pure réflexion technique sur la fiabilité, mais je suis bien forcé de donner ce qui m'a d'abord amené à ces questions: le marketing très moyen sur la certification électronique que l'on tente de fourguer aux moins connaisseurs, alors que juridiquement je savais déjà que pas mal de certificats vendus ne présentent pas les exigences du décret et de la loi pour qu'ils méritent le moindre investissement (quel intérêt de payer pour bénéficier du droit commun de la preuve ? ). Mais il est à craindre que cette réalité concernant ce business de la signature électronique ne soit véritablement révélée au grand jour que lorsque certaines personnes auront des difficultés dans une instance, pour le moment les jurisprudences restent rares en France, mais je ne doute pas que la question va se poser. En somme, sauf à disposer d'une signature "qualifiée", ne soit pas plus rassuré par le fait de signer des documents avec ton certificat qu'avec n'importe qu'elle autre procédé qui demande que tu puisses démontrer sa fiabilité. (Du début de la chaine jusqu'à la fin) Lien vers le commentaire Partager sur d’autres sites More sharing options...
patos Posté(e) le 18 juillet 2009 Partager Posté(e) le 18 juillet 2009 Hey c'est pas gentil de trancher de bon matin ^^ mais dans ce genre de truc, le juridique est plus important que le technique. Mais payer un expert technique pour un procès, c'est que de toutes façons tu es assez sur de toi non? Quand on parle de signer pour un certificat, ça veut dire "Intégrité" (le Identité dépend si ton autorité de certificat a fait la vérification ou pas): dès que le message est altéré, la signature saute ! et seul toi peut le resigner (Je me fais avoir tout les jours au boulot quand je dois resigner mes documents de programmeur, parce que j'ai changé une virgule). Le processus de vérification du certificat est normalisé (me demande pas le numéro de la RFC, je viens de me lever xD). Ensuite, chaque programme possède la manière dont il l'intègre au document. Par contre, ce qui t'intéresse c'est de retrouver la trace sur le papier... Je me souviens d'un module VBA sous Word qui t'imprimais en pied de page la clé publique du certificat, le nom de l'auteur, etc.... Tout pour retrouver le certificat à la main. J'pense que l'incrustation de ce genre de choses dans un pdf doit aussi exister :o C'est pelle melle, désolé, mais j'viens d'me lever Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.