Signatures
Qu’est-ce qu’une signature numérique ? C’est quoi ce fichier signature.asc joint aux courriels ?
Signature manuscrite
Tout le monde sait ce qu’est une signature manuscrite.
C’est une signature que l’on trace manuellement sur une feuille de papier pour apposer notre accord à un texte. Elle se doit d’être facilement identifiable, mais difficile à reproduire.
Cependant, même la plus difficile des signatures manuscrites est maintenant facile à reproduire par simple photocopie. Sa valeur est donc limitée, bien qu’elle serve encore aujourd’hui pour conclure un grand nombre de contrats.
Signature numérique
La transposition numérique du procédé de signature fait appel à la cryptographie. Je ne détaillerai pas ici les principes de la cryptographie asymétrique. Il suffit de savoir qu’une personne qui veut signer un document doit avoir créé au préalable une paire de clés : une clé privée qu’elle garde secrète et qui permet de signer le message, et une clé publique qu’elle diffuse et qui permet de vérifier que la signature est valable.
On retrouve les demandes auxquelles essayait de répondre la signature manuscrite : la signature numérique garantit que le texte signé a bien été signé par la personne qui a en sa possession la clé privée, et aussi que le texte n’a pas été modifié entre-temps.
La valeur d’une signature numérique est donc directement liée à la politique que met en œuvre le détenteur de la clé publique pour empêcher que des personnes mal intentionnées ne la lui volent. Si la clé privée est bien tenue secrète par son possesseur, alors la signature est (presque) infalsifiable.
Exemple pratique : les courriels
Lorsque l’on reçoit un courriel, on regarde en général l’adresse de l’expéditeur, et l’on suppose que c’est bien cette personne qui a écrit le message, et que le message n’a pas été modifié en cours de route. Grave erreur ! Il n’y a aucune sécurité lors de l’envoi des courriels qui garantisse que l’expéditeur est bien celui qui prétend l’être. Une personne mal intentionnée peut facilement falsifier cette adresse et se faire passer pour n’importe qui.
Et c’est ici que la signature numérique des messages intervient : elle répond parfaitement aux deux besoins exprimés, puisqu’elle garantit l’intégrité du message et sa provenance.
Conclusion
Je n’ai volontairement pas parlé du côté technique de la signature numérique, ni de son utilisation au quotidien. Je vous conseille d’utiliser GnuPG pour tout ce qui est cryptographie asymétrique. Si vous voulez seulement l’utiliser pour les courriels, je vous renvoie sur d’autres sites web selon que votre ordinateur tourne sur une distribution Gnu/Linux ou que vous utilisiez Mozilla Thunderbird.
J’espère avoir réussi à vous avoir un peu sensibilisé à la signature numérique, et je vous encourage à signer à votre tour tous vos courriels !