Archive des chroniques "Cybernotes de Bertrand Salvas", telles que publiées dans le magazine "Entracte"
de la Chambre des notaires du Québec et autres contributions en droit des technologies de l'information.

Août 2000 >>> Être opportuniste

Au début des années 80, ibm régnait en maître absolu sur le monde de l'informatique. Lorsqu'elle décide de fabriquer ses premiers pc, elle se mit à la recherche d’un sous-contractant pour en élaborer le logiciel d'exploitation (le DOS, ou « disk operating system »). Le président de la compagnie la mieux placée pour obtenir le contrat étant parti a son cours de pilotage, ibm, pressée par le temps, donna le contrat a une autre soumissionnaire, la petite compagnie d'un jeune informaticien inconnu. La compagnie : Microsoft. L’informaticien inconnu : Bill Gates. L'anecdote est aussi célèbre que contestée. Elle illustre cependant très bien mon propos: quand le train entre en gare, mieux vaut être sur le quai.

Un train pourrait bien être sur le point d'entrer en gare pour les notaires. (pour une fois me direz-vous!) A la toute fin de la session parlementaire, le 16 juin dernier, le gouvernement déposait un avant- projet de loi, (Loi sur la normalisation juridique des nouvelles technologies de l’information[1]) en vue d'une commission parlementaire a l'automne.  Cet avant-projet, dont nous pourrions vous parler TRES longtemps[2], vise notamment a sécuriser les transactions électroniques. Or le problème majeur dans ce type de transactions se trouve aussi à être la spécialité des notaires : assurer l’identité des contractants.  Certains moyens existent déjà pour identifier les parties à une transaction ou à une communication sur le Web. Le plus connu est la certification.

La certification

Ce concept n’est pas nouveau. Il s’agit en fait d’avoir recours à un tiers reconnu, appelée ici autorité de certification, pour obtenir la confirmation de l’identité et la signature d’une personne qui nous est inconnue. Un peu comme le témoin certificateur d’identité selon la Loi sur le notariat sauf qu’ici, l’autorité de certification émettra un certificat réutilisable à la personne concernée, qui pourra être consulté électroniquement par l’autre partie lors d’une transaction.

La certification d’identité se fait à très large échelle, selon certaines conditions parfois très variables. Il est ainsi possible d’acquérir un certificat bon marché assorti de très peu de vérifications, ou un certificat plus dispendieux dont l’émission sera précédée de contrôles très stricts. Cette situation fait que la certification est encore qualifié de jungle, et que le système paraît plus ou moins fiable aux yeux de l’observateur. Le projet de loi du Québec a au moins le mérite d’oser une tentative d’encadrement de ce domaine dont les effets, bien que limités par le caractère international du Web, pourraient être intéressants au niveau local. Le notariat québécois, de par ses caractéristiques traditionnelles et son ouverture récente vers l’inforoute, se trouve donc au carrefour des préoccupations en matière de sécurité des transactions électroniques. Il nous reste à trouver comment sauter dans ce train avant qu’il ne passe son chemin.

Un peu de discrétion s.v.p. !

Un des usages les plus populaires d’Internet est certes le courrier électronique. Bien que ce mode de communication ne soit pas nouveau, il a réellement pris son envol depuis que le Web a initié des millions d'individus à l'espace cybernétique. L'utiliser? Rien de plus simple! On tape son message, on choisit l'adresse du destinataire, on clique sur "envoyer", et le message est rendu au bout du monde. Sécuritaire? C’est moins sûr.

Tout dépend bien entendu de l'usage que l'on en fait. Ainsi, pour transmettre à un copain une caricature amusante, pour faire savoir à sa famille que nos vacances se passent bien ou encore pour raconter ses joies et ses peines, il n'y a pas vraiment de problème. Mais quand vient le temps de transmettre des données financières sur soi-même ou un client, ou encore d'échanger des projets d'actes, le courriel de base est loin d'être idéal. Maintenant que le médium a été apprivoisé, je crois qu’il est maintenant temps de prendre quelques précautions de plus.

Le cheminement d'un message électronique sur le réseau est mal connu. Bien peu de gens savent par exemple qu'un message électronique ne se rend pas directement de son ordinateur à celui du destinataire. La communication sur le Web se fait par étapes. Votre ordinateur se connecte à l'ordinateur de votre serveur. Celui-ci se connecte au réseau, qui est composé de millions d'ordinateurs et d'équipements informatiques d'interconnexion qui servent, si vous voulez, à régler la circulation. Votre courriel passera par plusieurs de ces ordinateurs pour réussir à se frayer un chemin jusqu'à destination : l'ordinateur serveur auquel est rattaché celui de votre interlocuteur. Et tout au long de son périple, il laissera des copies de son contenu sur chacun, qui pourront y demeurer pour des laps de temps variables. Rien ne peut laisser prévoir par combien de machines il transitera ainsi, ni s'il empruntera le même chemin que la dernière fois. Tout dépendra de l'état d'encombrement du réseau. Ajoutez à cette situation le fait qu'il sera, comme toute communication sur Internet, scindé en blocs (ou « packets ») qui prendront chacun des voies différentes pour arriver à destination, et vous commencerez à comprendre l'incertitude de la situation.

Pour ces raisons, il est plus prudent de chiffrer vos courriels importants afin de les rendre illisibles pour un éventuel curieux. La majorité des logiciels de courrier offrent maintenant cette possibilité, souvent par le biais de logiciels spécialisés en la matière, comme PGP (Pretty Good Privacy) par exemple. PGP fonctionne à l’aide de clés privées et publiques et vous permet de publier vos clés publiques sur certains serveurs où vos correspondants pourront facilement les retrouver. L'utilisation de ces fonctions de chiffrement est très simple, tout le travail étant fait par le logiciel, sans votre intervention.

Sans aller jusqu'à prétendre que nous sommes entourés d'espions qui n'attendent qu'une bévue de notre part pour s'emparer des secrets de nos clients il n'en demeure pas moins que nous serons de plus en plus appelés à faire circuler des informations confidentielles les concernant, par voie électronique. L'apprentissage de méthodes de chiffrement ne peut qu'être de bonne pratique et pourrait nous éviter un jour de sérieux inconvénients.

Quelques mots sur les clés

Il y a les clés anglaises. Les clés à molette. Les clés de sol. Il y a même des clés à Fort Boyard. Toutes ces clés ont une chose en commun: elles sont visibles, tangibles. Mais personne n'a jamais vu une clé publique, et encore moins une clé privée! Elles forment cependant le pivot de plusieurs systèmes visant à sécuriser un peu le cyberespace. Rassurez-vous, je n'ai absolument pas l'intention de vous endormir avec des définitions, ni des explications trop techniques. Mais comme ces foutues clés reviendront souvent dans ces chroniques, j'ai pensé prendre quelques lignes pour vous les présenter.

Une clé n'est, en somme, qu'un nombre. Un peu comme les enfants s'inventent des codes secrets. Si dans un texte je remplace les "e" par des "f", les "a" par des "b", les "l" par des "m", etc..., mon texte semblera illisible. Mais celui à qui j'aurai donné mon truc pourra faire l’opération inverse et retrouver mon message caché. En informatique tout, lettres y compris, est traduit en chiffres. En appliquant à ces chiffres une formule mathématique à une inconnue, je pourrai donc les brouiller. Et celui qui connaîtra le nombre utilisé à la place de cette inconnue pourra retrouver mon message. C’est le même principe. Et plusieurs personnes pourront utiliser la même formule (ou « algorythme ») avec des inconnues différentes. Ces inconnues seront leurs clés personnelles.

Les systèmes de chiffrement à clés publiques et privées (aussi connues sous le nom de "clés asymétriques" ou "biclés") ont comme particularité qu'un message brouillé avec une des clés ne pourra être déchiffré qu'avec l'autre, et vice versa. Je pourrai donc laisser circuler l'une de mes clés, qui sera donc publique, et ne conserver précieusement que l'autre, qui sera privée. Si vous voulez m'écrire un message vous utiliserez ma clé publique, qui circule librement car je serai le seul, grâce à ma clé privée, à pouvoir le lire.

Et une signature électronique? Même principe, mais renversé. Je chiffre un document, mais cette fois avec ma clé privée, que je suis le seul à connaître. Si vous pouvez le déchiffrer avec ma clé publique (facilement retrouvée), une seule conclusion s’impose : c’est moi qui ai procédé au chiffrement. Mon identité est donc affirmée. Si en plus je dispose d’un certificat fiable (émis par une autorité de certification), le lien entre moi et ma clé sera établi de façon définitive, ce qui rassurera mon co-contractant.  Voyez-vous alors l’importance du notaire dans la certification de l’identité?

Et vive les maths.

Vous aurez deviné que mon explication des clés asymétriques est assez grossière. Les capacités des juristes en mathématiques sont proverbiales, et je ne fais pas exception. Et ces systèmes font appel à des notions de mathématiques très poussées. À tell enseigne que les systèmes de cryptographie ont été longtemps, et sont encore, assimilés à de la technologie militaire. La cryptographie est donc un des souvenirs de la guerre froide et le commerce de ses résultats est de ce fait extrêmement encadrée[3].

La cryptographie impose le maniement de nombres extrêmement grands afin de compliquer la tâche des casseurs de code. N’importe qui pourrait tenter de casser un code simple. Mais lorsque les équations sont composées de nombres complexes, extrêmement grands, la tâche est plus ardue. Par exemple, un algorythme à 56 bits pourrait générer 72 quadrillion de combinaisons différentes (72,057,594,037,927,936). Les logiciels commerciaux comme Netscape utilisent actuellement des clés de chiffrement à 128 bits. Selon Verisign, il faudrait à un pirate informatique 1 trillion X 1 trillion d'années pour briser un code à 128 bits. Et nous n’avons pas parlé des systèmes à 256 ou à 512 bits...  [4] Malgré tout vous n’avez encore qu’à cliquer sur « chiffrer[5] » pour compléter l’opération. Il faut décidément beaucoup de travail et de technologie pour faire des choses apparemment simples.

Le seul problème de cette chronique c’est sa durée. Vous trouvez peut-être qu’elle est trop longue, moi je trouve que je manque d’espace. Nous nous reverrons donc à la prochaine parution.

À la prochaine!


[1] http://www.assnat.qc.ca/fra/publications/av-projets/00-fap01.pdf

[2] Et j’aurai certainement l’occasion de le faire bientôt.

[3] Voir notamment http://cwis.kub.nl/~frw/people/koops/lawsurvy.htm

[4] Une bonne référence en cryptographie, le site de RSA technologies http://www.rsasecurity.com/rsalabs/faq/

[5] Ou quelque chose du genre...

Aucun commentaire:

Publier un commentaire