Version ordinateur
Posez-nous vos questions pour aller plus loin

Home > Droit des nouvelles technologies / Informatique

La sécurité sur le web

| Publié le 06/11/2005


Parmi les craintes les plus souvent avancées par les entreprises concernant l'informatique et plus particulièrement le commerce électronique, figure essentiellement celle de la sécurité.

En effet, la notion de sécurité des systèmes informatiques et des données qu'ils traitent n'est pas nouvelle, d'autant que le développement incessant des réseaux et singulièrement de l'Internet en a fait une priorité absolue pour les entreprises.
Et bien qu'Internet soit, a priori, un réseau techniquement optimisé pour assurer le transport de données, le nombre considérable d'échanges de produits et de services, rend la sécurité primordiale.

Prenons l'exemple du mail : outil incontournable de communication tant au sein de l'entreprise qu'entre les entreprises. Son utilisation n'est pas anodine. En termes de sécurité, tout le monde peut les lire, les photocopier et même en modifier la provenance, l'objet, la destination, le texte...

Par ailleurs, s'il s'agit souvent de prouver l'existence d'une transaction ou d'un accord en produisant un mail, la recevabilité d'une telle preuve en justice n'est pas évidente. Il est donc indispensable de rendre ces échanges électroniques "non-répudiables", autrement dit, d'éviter que leur auteur n'en réfute l'origine ou le contenu.

Face à ces interrogations, on rencontre souvent deux types de réactions. Pour certains chefs d'entreprises, il ne s'agit pas vraiment d'un problème. Ils sont convaincus que leurs données ne sont pas "si confidentielles que ça", et s'exposent ainsi à un piratage facile de leurs systèmes d'information. D'autres cantonnent l'utilisation du mail à l'échange d'informations non sensibles pour l'entreprise, se privant ainsi d'un formidable outil de communication.

Dans cette perspective, il est indispensable d'organiser les échanges électroniques par la mise en place de garanties spécifiques à la fois sur le plan technique et sur le plan juridique, ces derniers étant indissociables.

Ainsi, la reconnaissance juridique de la signature électronique est essentielle pour assurer la sécurité et la fiabilité des échanges en ligne.

Concrètement, les garanties de sécurité indispensables lors de la réalisation d'un échange dématérialisé sont les suivantes:

  • une identification du terminal à l'origine de la requête,
  • une authentification de l'auteur de l'acte (en effet, l'émetteur d'un mail doit pouvoir être formellement identifié car il est possible que l'émetteur du mail reçu soit un usurpateur : il est en effet connu que les virus empruntent souvent une adresse au hasard pour travestir l'identité de l'émetteur et rendre plus difficile leur détection). Cela fragilise considérablement l'utilisation du mail dans des échanges commerciaux : comment se fier à un bon de commande, à une demande de virement ou de mouvement de titres s'il s'avère que ce mail est émis par un pirate ?
  • L'intégrité du message ne doit pas être altérée pendant son transport (un mail pourra très facilement être modifié pendant son trajet, et il sera difficile de savoir où et quand cette modification a été opérée : comment s'assurer que l'ordre d'achat que j'ai passé est de 500 actions et pas de 50 actions ? Il est donc impératif de disposer d'une garantie sur l'intégrité des documents échangés.
  • La confidentialité du message: autrement dit, le message ne doit être compréhensible que par son destinataire ou les personnes dûment autorisées…D'où l'intérêt du cryptage.

Notons, en outre, que certains services supplémentaires peuvent être également proposés par des tiers de confiance, comme les services d'horodatation, lesquels certifient la date et l'heure de réception du message et garantissent ainsi avec exactitude le moment où l'acte est réalisé.

Un peu comme un contrat !

En outre, une preuve ne sert pas à grand chose si on ne peut pas la conserver et la produire. Les mails devront donc être archivés sur des supports permettant d'attester de leur parfaite conservation.

Chacun de ces points doit être pris en compte pour une sécurité juridique acceptable. Les mails transitant pourront alors constituer des preuves recevables au sens de la loi sur la signature électronique de mars 2000.

En terme d'outils techniques, il existe à ce jour des solutions relativement faciles à gérer et à administrer qui permettent d'assurer cette sécurisation. Mais certains problèmes restent en suspend. Ainsi en est-il de l'environnement juridique actuel qui pose le principe du caractère inviolable de la correspondance privée, mais autorise le contrôle des mails à certaines conditions, notamment relatives à la sécurité du réseau, ou à la protection de l'entreprise contre une utilisation "abusive" ou illicite de son système de messagerie par ses salariés.

Il faudra donc définir les conditions précises d'utilisation de la messagerie au sein de l'entreprise.

L'objectif de confidentialité constitue de plus en plus un impératif essentiel pour les utilisateurs de services en ligne. Historiquement, cette fonction était assurée et contrôlée par la puissance publique. Si l'exigence du contrôle demeure une priorité pour les Etats, notamment en vue de lutter efficacement contre la criminalité, la prestation de services de cryptologie peut être exercée par des prestataires privés.

La cryptologie est une science qui s'appuie sur l'utilisation d'un ensemble de moyens tant logiciels que matériels pour rendre une information non compréhensible pour les tiers, mais accessible et restituable dans son état d'origine pour son auteur et son destinataire et en assurant l'identification de l'auteur de l'acte, ainsi que l'intégrité et la confidentialité des données transmises.
Plusieurs systèmes tel que la signature manuscrite numérisée, la carte à puce, ou encore le cryptage à l'aide de clés mathématiques (système aujourd'hui considéré comme offrant les meilleures garanties de sécurité), permettent d'assurer à la fois ces fonctions de confidentialité et d'identification.

Afin d'assurer un plein effet juridique à la signature électronique, la directive européenne du 13 décembre 1999 avait prévu deux principes:

la clause d'assimilation qui permet une totale équivalence de traitement entre une signature électronique et une signature manuscrite lorsque certaines conditions sont effectivement remplies (la signature électronique doit être avancée, doit reposer sur un certificat qualifié, doit avoir été créée par un dispositif sécurisé de création de signature), et la clause de non-discrimination, qui a vocation à s'appliquer lorsque les conditions prévues ci-dessus ne sont pas réunies. Toutefois, en l'absence de ces éléments, il appartiendra toujours à celui qui se prévaut de la clause de non-discrimination de convaincre le juge de sa valeur probante.

Il s'agit donc là de reconnaître une équivalence probatoire entre la signature manuscrite et la signature électronique.

On en déduit l'importance de la non dénaturation de tels documents. Aussi, pour plus de sécurité sur le web, faut-il encore se protéger des Hackers : ces " pirates informatiques " qui s'introduisent dans des ordinateurs qui ne leur appartiennent pas pour y faire tout ce qui leur passe par la tête.

Ils connaissent des dizaines de façons de violer la confidentialité des communications. Il est donc normal que les français doutent de la sécurité des transactions sur le Web.

En effet, l'exploitation d'un défaut matériel ou logiciel permet à un attaquant d'accéder illégalement à des fichiers confidentiels voire de détourner ou d'interrompre tout aussi illégalement le fonctionnement d'un système.

Les hackers piratent ainsi souvent la publicité même d'une entreprise. Beaucoup d'entreprises ouvrent un site web pour avoir une sorte de vitrine sur Internet où elles peuvent exposer leurs produits, activités, etc…Une nouvelle sorte de piratage consiste à entrer illégalement sur le serveur web et à modifier les pages existantes. Dans tous les cas, quand un site est piraté, la nouvelle page remplacée n'est pas pour promouvoir l'activité du propriétaire.

La sécurité d'un site web n'est donc pas à prendre à la légère notamment pour les entreprises.

Le commerce en ligne connaît donc inévitablement de nombreux risques. Quelles sont alors les précautions à prendre au regard du droit positif ? Comment rétablir la confiance ? Quand est-il aussi de l'intégrité du commerce ?

La sécurité des cartes de crédit est un des principaux enjeux de la sécurité sur Internet à cause de l'énorme potentiel de ce nouveau commerce mondial qui se développe à grande vitesse. Cela laisse une grande place à la fraude des cartes de crédit. En effet, un grand nombre de magasins virtuels vendent des livres, des vêtements…sur l'internet. Le consommateur envoie son numéro de carte de crédit par Internet mais cette transmission peut être interceptée par un tiers, sans l'accord ni du marchand, ni du consommateur. Dans le même sens, les fichiers de cartes de crédits dans la base de données d'une entreprise peuvent être piratés.

Autrement dit, un nombre considérable d'informations circulent sur le réseau Internet. Sur le plan de la preuve il est nécessaire de rapporter celle de l'existence de transactions en ligne et leur contenu exacte.

L'article 1316-1 du Code civil pose le principe de l'admissibilité de l'écrit sous forme électronique comme preuve. L'article 1316-3 pose le principe selon lequel l'écrit électronique a la même force probante que l'écrit sur support papier.

La loi du 13 mars 2000 pose une définition de la signature électronique, au coeur d'une mise en place de sécurité sur le web : il s'agit d'un procédé fiable d'identification qui garantit un lien entre la signature et l'acte auquel elle s'attache.

La signature électronique résulte d'une technique appelée cryptographie asymétrique. Elle fonctionne avec deux clés : une clé publique et une clé privée, lesquelles sont asymétriques. La clé privée est la clé confidentielle, seule utilisée par l'émetteur. La clé publique est utilisée par le destinataire pour vérifier l'identité de l'émetteur du message.

Le décret du 30 mars 2001 a prévu quant à lui des mesures pour fiabiliser le système. Il prévoit une présomption simple de fiabilité sous réserve de conditions liées à la mise en oeuvre d'une signature électronique sécurisée ( autrement dit : être propre au signataire, être créé par des moyens que le signataire garde sous son contrôle exclusif c'est à dire garder confidentielle la clé privée et garantir, avec l'acte auquel elle s'attache, un lien tel que toute modification de l'acte soit détectable. Enfin, le décret, pour susciter la confiance, prévoit une certification de conformité obligatoire).

En effet, pour renforcer la sécurité technique et juridique du processus, l'expéditeur du message peut faire certifier sa clé publique par un tiers de confiance avant une transmission de celle-ci au destinataire. A cette fin, l'expéditeur joint sa clé publique à une demande de certificat. Le tiers certificateur délivre le certificat après vérification d'une concordance entre la clé publique et l'identité de son détenteur.

Un certificat électronique est en fait une attestation informatique qui permet de lier de façon certaine l'identité d'une personne physique ou morale à certaines caractéristiques de cette personne (identité, capacités, qualifications professionnelles,…).

Le système de sécurité d'une entreprise se construit à l'aide de nombreux outils complémentaires et techniques existant sur le marché. Un seul ne suffit pas : la sécurité est assurée par une utilisation correcte d'un ensemble d'outils à choisir, paramétrer et/ou développer en fonction de l'objectif de sécurité fixé.

L'utilisation des techniques d'encryption, de signature électronique et des certificats sont la base d'un commerce électronique sécurisé. A titre d'exemple, le logiciel d'encryption gratuit Pretty Good Privacy (PGP) est très largement employé pour protéger le courrier électronique.

Notons que les techniques d'encryption et de certificats utilisés conjointement à celle des mots de passe ajoutent un très haut degré de sécurité dans le domaine de l'authentification des utilisateurs.

Bien évidemment, il convient avec son avocat ayant la double spécialisation droit des affaires et droit de l'Internet de mettre en place des procédures et modalités juridiques afin d'encadrer l'utilisation d'Internet par les entreprises pour une véritable sécurisation des opérations ainsi qu'une optimisation commerciale des relations.

Cet article est mis en ligne à des fins d'information du public et dans l'intérêt des justiciables. Il est régulièrement mis à jour, dans la mesure du possible. En raison de l'évolution permanente de la législation en vigueur, nous ne pouvons toutefois pas garantir son application actuelle et vous invitons à nous interroger pour toute question juridique ou problème concernant le thème évoqué au 01 56 79 11 00. En aucun cas le Cabinet ne pourra être tenu responsable de l'inexactitude et de l'obsolescence des articles du site.

Vous voulez plus d'informations ?

Plus de conseils ? Appelez-nous.

+33 (0)1 56 79 11 00

90 av. Niel & 69 rue Ampère - 75017 Paris

Vient de paraître

Loi Sapin 2 : quels aspects de l’assurance vie seront touchés ? Avocats Picovschi vous prévient !

Les lecteurs d'Avocats Picovschi ont aussi aimé

Votre avis nous intéresse

Le responsable de traitement des données à caractère personnel collectées sur le présent site Internet est Gérard PICOVSCHI, Avocat au Barreau de Paris. Les informations recueillies font l'objet d'un traitement informatique destiné à respecter nos obligations déontologiques et à prévenir d'éventuels conflits d'intérêts.Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d'un droit d'accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant au service Informatique et Libertés : 69 rue Ampère, 75017 Paris (e-mail : avocats[at]picovschi.com). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant.