95
edits
Changes
Jump to navigation
Jump to search
Line 83:
Line 83: + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
E-Signatures in the GC/E-Signature Terminology (view source)
Revision as of 18:28, 13 January 2022
, 18:28, 13 January 2022no edit summary
<!-- FRENCH -->
<!-- FRENCH -->
@fr|__NOTOC__
@fr|__NOTOC__
=Terminologie relative aux signatures électroniques au gouvernement du Canada (GC)=
'''Introduction'''
Des administrations partout dans le monde ont adopté des lois et des règlements qui reconnaissent la validité des documents électroniques et des signatures électroniques. Certaines administrations sont très adaptées à différentes technologies, alors que d’autres sont plus générales et neutres sur le plan technologique. De plus, les modalités concernant les signatures électroniques diffèrent d’une administration à l’autre, ce qui peut entraîner une certaine confusion. Un examen approfondi des termes et des définitions utilisés dans d’autres administrations est présenté à l’'''Annexe A de l’Orientation du gouvernement du Canada sur l’utilisation des signatures électroniques'''.
Pour le gouvernement fédéral du Canada, les termes « signature électronique », « signature numérique » et « signature électronique sécurisée » figurent tous dans les lois du gouvernement du Canada (GC). La présente annexe vise à préciser la définition de ces termes pour en permettre l’utilisation uniforme d’un bout à l’autre du gouvernement du Canada (GC). Cette publication est principalement fondée sur l’Orientation du gouvernement du Canada sur l’utilisation des signatures électroniques, mais fournit des directives plus condensées sur la terminologie.
'''Lois et terminologie relatives aux signatures électroniques du GC'''
La partie 2 de la ''Loi sur la protection des renseignements personnels et les documents électroniques'' (LPRPDE) définit le terme signature électronique de la façon suivante :
« Une signature constituée d’une ou de plusieurs lettres, ou d’un ou de plusieurs caractères, nombres ou autres symboles sous forme numérique incorporée, jointe ou associée à un document électronique ».
En fait, une signature électronique (aussi appelée SE<sup>1</sup>) peut être pratiquement toute forme de représentation électronique qui peut être liée ou rattachée à un document ou transaction électronique. Bien que ce ne soit pas une liste exhaustive, des exemples de signatures électroniques pourraient inclure :
· l’authentification de l’utilisateur à partir d’un clic de souris agissant comme un bouton de reconnaissance de l’intention (c’est-à-dire, « cliquez pour signer »);
· l’utilisation d’un stylet sur l’écran tactile d’une tablette pour écrire une signature à la main et la capturer sous forme électronique;
· un nom dactylographié ou un bloc de signature dans un courriel;
· une signature manuscrite numérisée sur un document électronique;
· un son comme une commande vocale enregistrée (par exemple, une confirmation verbale en réponse à une question);
· une signature numérique;
· une signature électronique sécurisée.
Veuillez noter que les signatures numériques et les signatures électroniques sécurisées sont considérées comme étant des signatures électroniques.
Dans le contexte du GC, les premières définitions de la signature numérique remontent à plus de deux décennies au moment de l’adoption du Règlement sur les demandes de paiement et de règlement et le Règlement sur le paiement électronique<sup>2</sup>. Les deux règlements définissent la signature numérique de la façon suivante : « le résultat de la transformation d’un message par un système cryptographique qui, au moyen de clés, permet à la personne qui reçoit le message initial de déterminer si :
· d’une part, la transformation a été effectuée au moyen de la clé qui correspond à celle du signataire du message;
· d’autre part, il y a eu modification du message après la transformation ».
Le Centre canadien pour la cybersécurité offre également une définition de la signature numérique dans l’ITSP.40.111, soit : « Transformation cryptographique des données qui fournit les services d’authentification, d’intégrité des données et de non-répudiation du signataire ».
En substance, une signature numérique est un type de signature électronique fondée sur la cryptographie asymétrique. Le signataire du message, du document ou de la transaction utilise sa clé privée de signature pour créer une signature numérique et toute personne ayant accès aux données signées et au certificat de clé de vérification publique du signataire peut vérifier la signature numérique<sup>3</sup>.
Cela étant dit, il n’est pas vrai que toutes les signatures numériques s’équivalent et certaines sont plus fiables ou solides que d’autres. À titre d’exemple, la façon dont l’identité d’un signataire est vérifiée avant l’émission de son certificat de clé de vérification publique, le type de jeton utilisé pour stocker la clé de signature privée du signataire, la fiabilité de l’autorité de certification (AC) qui émet le certificat de clé de vérification publique et l’algorithme de signature numérique, de même que la longueur de la clé, entre autres choses, permettent de déterminer collectivement la fiabilité de la signature numérique.
C’est là que le terme « signature électronique sécurisée » entre en jeu. La signature électronique sécurisée est une signature numérique qui présente, toutefois, certaines caractéristiques particulières, telles que définies dans la partie 2 de la LPRPDE :
· la signature électronique résultant de l’utilisation de la technologie ou du procédé est propre à l’utilisateur;
· l’utilisation de la technologie ou du procédé pour l’incorporation, l’adjonction ou l’association de la signature électronique de l’utilisateur au document électronique se fait sous la seule responsabilité de ce dernier;
· la technologie ou le procédé permet d’identifier l’utilisateur;
· la signature électronique peut être liée au document électronique de façon à permettre de vérifier si le document a été modifié depuis que la signature électronique a été incorporée, jointe ou associée au document.
Bien que le terme « signature numérique » ne figure pas dans la partie 2 de la LPRPDE, le Règlement sur les signatures électroniques sécurisées (SES) précise la définition de celui-ci par son utilisation du terme « signature numérique ». De façon plus particulière, le Règlement sur les SES énonce que « La signature électronique sécurisée à l’égard des données contenues dans un document électronique est la signature numérique qui résulte de l’exécution des opérations consécutives suivantes... ». Le Règlement sur les SES indique également les technologies et les processus devant être utilisés pour générer et vérifier les signatures électroniques sécurisées.
De plus, le Règlement sur les SES :
· prescrit un algorithme asymétrique spécifique pour appuyer les signatures électroniques<sup>4</sup>;
· spécifie que l’autorité de certification (AC) émettrice doit être reconnue par le Secrétariat du Conseil du Trésor du Canada qui vérifiera que l’AC a « la capacité de délivrer les certificats de signature numérique de façon sécurisée et fiable »;
· comprend une présomption selon laquelle, les données électroniques sont présumées, en l’absence de preuve contraire, avoir été signées par la personne identifiée dans le certificat de signature numérique ou au moyen de celui-ci.
La LPRPDE date de 2000, alors que le Règlement sur les SES est entré en vigueur en 2005. Il convient de noter que la partie 2 de la LPRPDE est fondée sur un cadre d’acceptation volontaire et qu’au sein du gouvernement fédéral, le taux d’adoption de la partie 2 de la LPRPDE est minime. En outre, le Règlement sur les SES est désuet et doit être revu.
En collaboration avec les principaux intervenants, le Secrétariat du Conseil du Trésor (SCT) examine actuellement différentes améliorations possibles aux actuelles lois fédérales sur la signature électronique.
'''Remarque sur la mise en œuvre des solutions de signatures électroniques au sein du GC'''
De nombreux ministères ont déjà recours à des solutions de signature électronique pour répondre à leurs besoins opérationnels. Un certain nombre de ministères utilisent leurs justificatifs d’identité MaClé du GC afin d’apposer leur signature numérique sur des documents de MS Office et des documents PDF. Cela permet aux ministères du GC de mettre à profit leurs investissements actuels dans les technologies d’infrastructure à clé publique (ICP) et de tirer parti des fonctions de signature numérique que comportent différents produits de la suite Microsoft Office, comme Word, PowerPoint et Excel, ainsi que divers logiciels PDF. Services partagés Canada (SPC) est l’un des ministères ayant adopté cette approche et a partagé ses documents (y compris ses guides de démarrage) pouvant être utiles à d’autres ministères désirant aller dans la même voie (veuillez consulter le site <nowiki>https://gccollab.ca/file/group/976512/all#2466578</nowiki> pour de plus amples renseignements).
Bien que ces derniers ne soient pas définis par les lois canadiennes, il se pourrait que vous tombiez sur certains termes supplémentaires pendant la mise en œuvre de ces solutions. À titre d’exemple, les documents Microsoft Office portant une signature numérique conforme aux normes de signature électronique avancée XML<sup>5</sup> (XAdES) (en anglais). En examinant en détail la signature numérique d’un document Microsoft Office portant une signature numérique, vous remarquerez peut-être que le type de signature est désigné comme étant « XAdES-EPES » (XML Advanced Electronic Signatures - Explicit Policy-based Electronic Signature (signature électronique avancée de format XML - signature électronique basée sur une politique formelle). Il s’agit là d’une des variantes de la spécification XAdES et, selon les documents de Microsoft, il s’agit du type de signature numérique utilisé par défaut dans les produits Microsoft Office. En outre, les documents PDF portant une signature numérique sont conformes aux normes AdES pour documents PDF (PAdES) (en anglais) il est donc possible que vous tombiez sur des variantes des PAdES dans le cadre de votre utilisation des documents PDF. Veuillez toutefois noter que les utilisateurs ne sont généralement pas tenus de comprendre ce niveau de détail.
'''Sommaire'''
Cette publication aborde les définitions de signature électronique qui sont pertinentes pour le GC. En résumé, le terme signature électronique devrait être considérée comme un terme générique s’appliquant à tout type de signature pouvant être représentée électroniquement et associée à un document, à un enregistrement ou à une transaction. La « signature numérique » est un type de signature électronique créé et vérifié au moyen de la cryptographie asymétrique et prise en charge par l’ICP. La « signature électronique sécurisée » est une signature numérique qui répond aux exigences spécifiques qui sont énoncées dans la partie 2 de la LPRPDE et dans le Règlement sur le SES.
L’Orientation du gouvernement du Canada sur l’utilisation des signatures électroniques fournit des directives supplémentaires sur l’utilisation des signatures électroniques au GC. L’Annexe A de ce document aborde la terminologie relative aux signatures électroniques dans d’autres administrations, y compris les provinces, les États-Unis et l’Union européenne.
'''Notes de bas de page'''
· 1 On retrouve également l’acronyme SN.
· 2 - Les deux règlements sont entrés en vigueur le 23 février 1998 et sont, par conséquent, antérieurs à la LPRPDE.
· 3 - Un certain nombre d’éléments doivent être pris en considération afin de déterminer si une signature numérique est « valide » ou non, y compris le statut de révocation et la période de validité du certificat de clé publique connexe.
· 4 - La description de l’algorithme figurant à l’article 2 du Règlement sur les SES est si précise qu’elle présente une description de l’algorithme de signature numérique Rivest-Shamir-Adleman (RSA).
· 5 - L’Union européenne définit la signature électronique avancée dans son règlement sur l’identification électronique et les services de confiance pour les transactions électroniques – la définition donnée est presque identique à la définition des SES énoncée dans la partie 2 de la LPRPDE.
</multilang>
</multilang>
