Pour qu’un contrat \u00e9lectronique ait une force probante au tribunal, il est n\u00e9cessaire de satisfaire \u00e0 l’exigence que “il a \u00e9t\u00e9 cr\u00e9\u00e9 par la personne concern\u00e9e”. Contrairement \u00e0 une signature sur un document \u00e9crit, qui peut \u00eatre v\u00e9rifi\u00e9e en regardant le document, une signature \u00e9lectronique est un donn\u00e9e \u00e9lectronique, et il est donc n\u00e9cessaire d’avoir un moyen de prouver qu’elle a \u00e9t\u00e9 cr\u00e9\u00e9e par la personne concern\u00e9e.<\/p>\n\n\n\n
\u00c0 cet \u00e9gard, l’article 2 de la loi sur les signatures \u00e9lectroniques stipule :<\/p>\n\n\n\n
\nLoi sur les signatures \u00e9lectroniques (D\u00e9finition) Article 2<\/p>\n\n\n\n
Paragraphe 2 Dans cette loi, “services d’authentification” d\u00e9signe les services qui prouvent que les informations utilis\u00e9es pour v\u00e9rifier que la signature \u00e9lectronique a \u00e9t\u00e9 effectu\u00e9e par l’utilisateur (ci-apr\u00e8s d\u00e9nomm\u00e9 “l’utilisateur”) ou une autre personne \u00e0 la demande de cette derni\u00e8re sont li\u00e9es \u00e0 l’utilisateur.<\/p>\n\n\n\n
Paragraphe 3 Dans cette loi, “services d’authentification sp\u00e9cifiques” d\u00e9signe les services d’authentification effectu\u00e9s pour les signatures \u00e9lectroniques qui, en fonction de leur m\u00e9thode, ne peuvent \u00eatre effectu\u00e9es que par la personne concern\u00e9e et qui sont conformes aux normes \u00e9tablies par arr\u00eat\u00e9 minist\u00e9riel.<\/p>\n<\/blockquote>\n\n\n\n
Ainsi, la loi sur les signatures \u00e9lectroniques pr\u00e9voit qu’un tiers prouve qu’il s’agit d’une signature \u00e9lectronique effectu\u00e9e par la personne concern\u00e9e, et appelle ce service “service d’authentification”, et parmi ceux-ci, elle d\u00e9finit comme “service d’authentification sp\u00e9cifique” le service d’authentification effectu\u00e9 pour les signatures \u00e9lectroniques qui ne peuvent \u00eatre effectu\u00e9es que par la personne concern\u00e9e et qui sont conformes aux normes \u00e9tablies par arr\u00eat\u00e9 minist\u00e9riel.<\/p>\n\n\n\n
Actuellement, la technologie d’authentification adopt\u00e9e comme norme pour les “services d’authentification sp\u00e9cifiques” est la technologie PKI (Public Key Infrastructure) utilisant une m\u00e9thode de cryptage appel\u00e9e cryptage \u00e0 cl\u00e9 publique (Article 2 du r\u00e8glement d’application de la loi sur les signatures \u00e9lectroniques).\nLes “services d’authentification sp\u00e9cifiques” sont des services qui utilisent cette technologie pour crypter les documents \u00e9lectroniques et autres, v\u00e9rifier l’identit\u00e9 de la personne concern\u00e9e, et \u00e9mettre un certificat \u00e9lectronique pour prouver que la signature \u00e9lectronique est celle de la personne concern\u00e9e. Ces services d’authentification sont autoris\u00e9s \u00e0 \u00eatre effectu\u00e9s par des entreprises priv\u00e9es, et les organismes tiers qui effectuent ces services d’authentification sont appel\u00e9s “autorit\u00e9s de certification \u00e9lectronique”, et leurs crit\u00e8res de certification, etc., sont d\u00e9finis dans l’article 4 et suivants de la loi sur les signatures \u00e9lectroniques.<\/p>\n\n\n\n<\/span>Signature \u00e9lectronique et Timestamp<\/span><\/h2>\n\n\n\nLa signature \u00e9lectronique et le timestamp sont des “preuves” qui garantissent “quand”, “quoi” et “qui” dans la soci\u00e9t\u00e9 Internet, et sont un moyen puissant de v\u00e9rifier l’authenticit\u00e9 des documents \u00e9lectroniques.<\/p>\n\n\n\n
<\/span>Cr\u00e9ation et envoi de signature \u00e9lectronique<\/span><\/h3>\n\n\n\nLa cr\u00e9ation et l’envoi de signatures \u00e9lectroniques sont d\u00e9sormais effectu\u00e9s en utilisant une “m\u00e9thode de cryptage \u00e0 cl\u00e9 publique” qui utilise une paire de cl\u00e9s priv\u00e9es et publiques, et une m\u00e9thode utilisant une fonction de hachage, comme suit :<\/p>\n\n\n\n
\nLe cr\u00e9ateur demande \u00e0 l’autorit\u00e9 de certification d’utiliser un certificat \u00e9lectronique.<\/li>\n\n\n\n L’autorit\u00e9 de certification v\u00e9rifie l’identit\u00e9, confirme l’appariement des cl\u00e9s priv\u00e9es et publiques, etc., puis g\u00e9n\u00e8re une cl\u00e9 priv\u00e9e pour crypter le document et une cl\u00e9 publique pour d\u00e9crypter le document.<\/li>\n\n\n\n L’autorit\u00e9 de certification \u00e9met un certificat \u00e9lectronique pour la cl\u00e9 publique enregistr\u00e9e par le cr\u00e9ateur.<\/li>\n\n\n\n Le cr\u00e9ateur accepte le certificat \u00e9lectronique de l’autorit\u00e9 de certification.<\/li>\n<\/ol>\n\n\n\nSur cette base, l’exp\u00e9diteur utilisera le certificat \u00e9lectronique pour envoyer les donn\u00e9es \u00e9lectroniques.<\/p>\n\n\n\n
\nL’exp\u00e9diteur convertit les donn\u00e9es \u00e9lectroniques en une valeur de hachage (\u00e9galement appel\u00e9e message digest) en utilisant une fonction de hachage. Une fonction de hachage est une fonction qui convertit des donn\u00e9es (valeurs d’entr\u00e9e) telles que des lettres et des chiffres en une certaine valeur num\u00e9rique (valeur de sortie).<\/li>\n\n\n\n Cette valeur de hachage est crypt\u00e9e avec la cl\u00e9 priv\u00e9e correspondant \u00e0 la cl\u00e9 publique certifi\u00e9e par le certificat \u00e9lectronique. Cette action est appel\u00e9e “signature \u00e9lectronique”.<\/li>\n\n\n\n L’exp\u00e9diteur combine les donn\u00e9es \u00e9lectroniques (texte brut) et la signature \u00e9lectronique, et les envoie au destinataire avec le certificat \u00e9lectronique.<\/li>\n\n\n\n Le destinataire divise les donn\u00e9es re\u00e7ues en donn\u00e9es \u00e9lectroniques (texte brut) et signature \u00e9lectronique, et g\u00e9n\u00e8re une valeur de hachage \u00e0 partir des donn\u00e9es \u00e9lectroniques (texte brut) en utilisant la m\u00eame fonction de hachage que l’exp\u00e9diteur.<\/li>\n\n\n\n La signature \u00e9lectronique est d\u00e9chiffr\u00e9e en utilisant la cl\u00e9 publique de l’exp\u00e9diteur pour obtenir la valeur de hachage.<\/li>\n\n\n\n Si les valeurs de hachage obtenues en 4 et 5 correspondent, on peut confirmer que les donn\u00e9es \u00e9lectroniques proviennent de l’exp\u00e9diteur et n’ont pas \u00e9t\u00e9 modifi\u00e9es.<\/li>\n<\/ol>\n\n\n\nEn raison de ses caract\u00e9ristiques, la valeur de hachage sera la m\u00eame si le contenu du document \u00e9lectronique est exactement le m\u00eame que lors de la signature \u00e9lectronique, et sera compl\u00e8tement diff\u00e9rent si m\u00eame un seul caract\u00e8re est diff\u00e9rent.<\/p>\n\n\n\n
Par cons\u00e9quent, en v\u00e9rifiant la correspondance des deux valeurs de hachage, on peut confirmer que le document \u00e9lectronique en question n’a pas \u00e9t\u00e9 modifi\u00e9.<\/p>\n\n\n\n<\/span>Timestamp<\/span><\/h3>\n\n\n\nIl est possible de v\u00e9rifier que le contenu du document n’a pas \u00e9t\u00e9 modifi\u00e9 en v\u00e9rifiant la correspondance entre la valeur de hachage du document \u00e9lectronique et celle de la signature, mais en plus de cela, le “timestamp” (TS) est utilis\u00e9 pour prouver “quand” ce document existait (preuve d’existence) et que le contenu du document n’a pas \u00e9t\u00e9 modifi\u00e9 apr\u00e8s ce moment (preuve de non-modification). Le timestamp est consid\u00e9r\u00e9 comme un moyen efficace de v\u00e9rifier l’authenticit\u00e9 des documents \u00e9lectroniques en combinaison avec la signature \u00e9lectronique.<\/p>\n\n\n\n
L’utilisateur envoie la valeur de hachage des donn\u00e9es originales \u00e0 l’autorit\u00e9 de certification de l’heure (TSA : Time-Stamping Authority), et la TSA envoie \u00e0 l’utilisateur un TS avec des informations de temps ajout\u00e9es \u00e0 cette valeur de hachage. En v\u00e9rifiant la correspondance entre la valeur de hachage du document \u00e9lectronique et celle du timestamp, on peut prouver que le contenu n’a pas \u00e9t\u00e9 modifi\u00e9.<\/p>\n\n\n\n