Nécessité d’authentification dans les transactions par Internet

By 6 November 2012

La sécurité juridique des transactions – Chapitre 2 :

« Quand à propos d’une idée, on dit qu’on est d’accord sur le principe, cela signifie que l’on n’a pas la moindre intention de la mettre à exécution »
Bismarck

La sécurité juridique des transactions passe, d’une part, par le respect des engagements pris et par l’exécution de bonne foi, et d’autre part par le respect des droits du cocontractant. Le caractère dématérialisé et délocalisé d’Internet a donné l’occasion aux cocontractants malhonnêtes de réaliser leurs méfaits : fraudes, abus de confiance, malversations, espionnage industriel, blanchiment d’argent et infractions de tout type qui entrent dans la catégorie de la cybercriminalité191. Ce même caractère a permis à certains cocontractants qui a priori respectaient leurs engagements, de lâcher leur garder et de se permettre de « petits oublis ». L’idée qu’Internet est un lieu de non-droit avait gagné les esprits aussi bien des marchands que des internautes acheteurs. Depuis quelques années, leur réveil fut difficile lorsqu’ils se sont trouvés face à un arsenal de règles juridiques et à une série d’autorités publiques spécialisées en la matière, répressives ou non. Les sanctions économiques ont été, également, brutales192.

§1- L’authentification et la signature électronique : un bouleversement du régime de la preuve ?

En droit français, l’article 1341 C.C. pose deux types de règles : d’une part, l’obligation de préconstituer une preuve écrite sous la forme d’un acte authentique ou d’un acte sous seing privé pour des actes supérieurs à un certain montant prévu par décret (actuellement le seuil est de 5.000 F); d’autre part, l’interdiction de prouver par témoignage contre ces actes.

Or, la dématérialisation de la facture électronique posait plusieurs problèmes quant à la preuve.

L’identification permet de définir de manière non équivoque l’expéditeur et le destinataire d’une information. Elle est assurée par l’utilisation de la signature électronique (B). D’autre part, l’authentification permet de vérifier la véritable identité de l’expéditeur. En effet, les signatures électroniques utilisées à des fins d’authentification sont déposées auprès d’un organisme centralisé (A).

A- Nécessité d’authentification dans les transactions

1- L’authentification des parties en vue de la sécurité de la transaction.

La sécurité juridique des transactions passe avant tout par la vérification de l’identité des cocontractants, ce qui évite le risque de fraude, de répudiation ainsi que les risques liés à la personne des cocontractants (ex. solvabilité, capacité).

a) Techniques d’identification des parties

« Que veut dire parle, ami, et entre ? » demanda Merry,
« C’est assez claire », dit Gimli. « Si voue êtes un ami, dites le mot de passe, et les portes s’ouvriront, et vous pourrez entrer ». […]
« Mais ne connaissez-vous pas le mot, Gandalf ? »
demanda surpris Boromir.
« Non ! » dit le magicien. « Je ne connais pas encore le mot. Mais nous verrons bientôt »

Le Seigneur des anneaux »
J.R.R. Tolkien

La vérification de l’identité des parties peut se faire par l’intermédiaire de plusieurs techniques :

i- La vérification par l’utilisation de mots de passe

Dans beaucoup de sites marchands, le client lors de son premier passage rempli un formulaire avec ses coordonnées complètes (nom, prénom, adresse, adresse électronique…) et certaines autres informations le concernant, notamment sur ses goûts, hobbies, etc. Une fois l’enregistrement de ses données terminé, le marchand lui accorde un numéro d’identifiant et éventuellement un code secret. Ces deux numéros (qui peuvent être alphanumériques) d’identification sont réputés personnels, et par conséquent le client est censé les garder secrets.

Il existe quatre types de mots de passe :
– Les mots de passe de groupe, qui sont communs à tous les utilisateurs du site. Ils sont appelés log-on, et permettent d’accéder à un service depuis un terminal.
– Les mots de passe individuels. L’utilisateur ou client peut choisir un code secret qui lui convient.
– Les mots de passe non individuels, qui servent à vérifier une identité déclarée. C’est le fournisseur qui attribue à son client, en plus du log-on, un code secret précis. L’exemple le plus connu c’est le code secret de la carte bancaire (le numéro à 11 chiffres de la carte correspondant au log-on). Ce code est personnel, et son titulaire est réputé ne pas le divulguer. En effet, ce code identifie de manière non équivoque la personne titulaire de la carte bancaire. L’article 57-2 du décret loi de 1935 prévoit l’irrévocabilité de la transaction en cas d’utilisation de ces deux identifiants. La jurisprudence de la Cour de cassation a réitéré cette position193. A titre de précaution, tous les contrats des établissements financiers avec leurs clients contiennent des clauses précisant le niveau de responsabilité du client face au code secret194.
– Les mots de passe qui changent à chaque fois que l’on accède au système. Le fournisseur doit établir une liste de mots de passe et d’en donner une copie au client. A chaque accès, on utilise un mot de passe qui devient de ce fait caduque pour toute utilisation ultérieure. Ce système est utilisé notamment dans le réseau SWIFT.

L’utilisation de mots de passe empêche une utilisation frauduleuse des instruments de paiement195.

En cas de perte ou d’oubli du code, certains fournisseurs mettent en place un système d’aide à l’utilisateur. En effet, lorsque le client remplit le formulaire d’inscription, une question peut jouer le rôle de « pense bête » pour l’utilisateur. Si l’utilisateur ne sait plus son code secret d’accès au service, il doit répondre correctement à cette question196 pour que le fournisseur l’identifie et lui envoie par courrier électronique son code secret.

Il est intéressant de noter qu’aux Etats Unis, le Computer Fraud ans Abuse Act 1986 sanctionne le trafic de mots de passe volés. Cependant, la loi contient des réserves, qui peuvent paraître surprenantes, parce que le fait de voler un mot de passe n’entraîne pas forcément des poursuites pénales.

ii- La vérification de l’identité par la possession d’un jeton

Le système d’identification par jeton le plus connu est celui des cartes à pistes magnétiques. Son utilisation est devenu si populaire et facile, qu’une réglementation a paru nécessaire. En effet, ISO spécifie de manière stricte les dimensions et qualités de la carte et des pistes, comme suit :

La vérification de l’identité par la possession d’un jeton
Source : D.W.Davies, W.L.Price, « Sécurité dans les réseaux informatiques », 2e édition, AFNOR, p.195.

Malgré les précautions prises par les organismes publiques, la duplication des cartes à piste magnétique est une réalité. Les cartes à puce ont été la solution au problème. La carte à puce (smart card en anglais) est une invention française197. La norme ISO 7816 définit ses caractéristiques techniques198

Il est intéressant de noter la décision de Conseil d’Etat finlandais de février 1998, qui annonçait l’introduction d’une carte d’identité électronique servant de moyen d’identification et de signature électronique. L’obtention de cette carte d’identité est prévue moyennant le paiement d’un timbre fiscal spécifique. Le Väesttörekisterikeskus (Centre d’enregistrement de la population) a été désigné comme autorité d’authentification.

Dans ce même état d’esprit, la Commission des finances, face à l’inquiétude des français à l’égard du paiement en ligne, elle a fait une série de propositions devant l’Assemblée Nationale le 11 juillet 2001199. La première proposition consiste en la mise au point d’un carte d’identité à puce, suivant ainsi l’exemple finlandais. La seconde consiste en la création d’un label200.

iii- Autres moyens d’identification des parties

Le moyen d’authentification traditionnel c’est la signature manuscrite. Dans le domaine du commerce électronique, la signature électronique a remplacé la signature manuscrite201.

D’autres méthodes d’identification et d’authentification d’une personne existent, mais ils ne sont pas adaptés au commerce électronique, du moins pour le moment et dans l’avenir proche. Il s’agit des caractéristiques biométriques, c’est-à-dire de la vérification de l’empreinte digitale, qui est utilisée par la police scientifique, la vérification de la voix et la reconnaissance des dessins rétiniens.

iv- Le choix de la méthode

Aux Etats Unis, le NBS (National Bureau of Standards) a publié un rapport, intitulé

« Guidelines on Evaluation of Techniques for Automated Personal Identification », selon lequel douze points sont à prendre en considération lors du choix d’une méthode de vérification de l’identité :
– la résistance à la fraude;
– la facilité d’effectuer une contrefaçon;
– la possibilité de contournement;
– la durée nécessaire à la reconnaissance;
– l’ergonomie;
– le coût du dispositif de reconnaissance et de son utilisation;
– l’interface du dispositif;
– le temps et l’effort requis pour la mise à jour;
– le traitement requis dans le système informatique pour mettre en œuvre le procédé d’identification;
– la fiabilité et la maintenabilité;
– le coût de la protection du dispositif;
– le coût de la distribution et du support logistique.

Actuellement l’instrument de paiement le plus sûr dans le cadre du commerce électronique est indéniablement la carte à puce qui nécessite un équipement précis, un boîtier de lecture202. Mais, le système est tellement onéreux, que les banques ont choisi de développer des services d’assurance que de fournir à leurs clients les lecteurs requis.

* L’authentification du message.
i) l’objectif de garantir l’intégrité du message
ii) le rôle de l’intermédiaire à la transaction : force probante.

Lire le mémoire complet ==> (La sécurité des paiements internationaux par Internet)
Mémoire pour l’obtention de DEA

_______________________________
191 Comme il a été exposé dans le paragraphe 1er du premier chapitre.
192 L’exemple le plus fameux est celui de Boo.com, qui se voulait une galerie marchande virtuelle mais qui a fait faillite avant même son « ouverture » officielle sur le Net. Cet exemple a constitué la mèche qui a fait explosé la bulle spéculative qui était créée autour des start-up, qui visaient gros et qui croyaient tout se permettre. Depuis
1998, le domaine des start-up a dû mal à se redressé, ces valeurs étant les plus touchées par la chute des marchés financiers.
193 Cass. 1re ch. Civ. 1989, CREDICAS: l’emploi d’une carte à puce, comportant l’identification du porteur et la fourniture d’un code secret, équivaut à une signature électronique. La transaction devient, alors, irrévocable.
194 Voir Annexe IV.
195 La société Bell a réalisé une étude concernant le temps nécessaire à la recherche d’un mot de passe. Selon cette étude pour une suite de quatre caractères choisis parmi les 95 caractères imprimables, le temps pour trouver le code était de 28 heures. Pour une suite de cinq caractère pris dans l’ensemble des 62 caractères alphanumériques, le temps de recherche était de 318 heures.
196 Il peut s’agir d’une question du type : « Quelle est le prénom de votre mère ? » ou « Quelle est votre couleur préférée ? ».
197 Le père de la carte à puce est Roland Moreno, qui a déposé son premier brevet sur la carte en 1974.
198 Pour les caractéristiques techniques, voir Glossaire.
199 Voir http://www.assemblée-nationale.fr/cr-cfiab/00-01/cr0001061.asp et http://www.rb.juris-classeur.com
200 Voir infra.
201 Voir infra.
202 Par exemple Cyber-Comm.