Le vol de signature numérique, une fraude en forte augmentation

Quelle confiance peut-on avoir dans les technologies d’authentification.

Une annonce qui change tout

Une nouvelle récemment diffusée, concernant une fraude par falsification de signature numérique perpétrée contre une entreprise, a attiré l’attention sur la question de la sécurité et de la confiance dans les technologies d’authentification.

Selon les rapports, un comptable, un consultant en sécurité au travail et une société fictive enregistrée au nom d’une personne décédée depuis environ un an et appartenant plutôt à une personne inconnue des autorités fiscales, ont obtenu une copie impropre de la signature numérique d’un petit entrepreneur en se connectant au système informatique des chambres de commerce. La fraude a été découverte par l’unité spéciale de fraude télématique.

Après des perquisitions et des saisies effectuées dans sa province, les trois suspects doivent maintenant répondre des délits de substitution de personne, de fausses déclarations ou attestations au certificateur de signature électronique sur l’identité ou les qualités personnelles d’eux-mêmes ou d’autrui, de faux dans les actes publics, les actes privés et les documents informatiques.

Comment se protéger

La signature numérique est sûre et invulnérable, pour autant que l’on respecte un comportement correct dans son utilisation.
L’entreprise ligure insiste sur la sécurité et l’inviolabilité de la technologie, en approfondissant les précautions à prendre pour éviter les risques potentiels.

Parmi les plus importants : l’observation d’une procédure de libération méticuleuse, le stockage précis de la carte à puce et du Pin, un choix correct du logiciel de signature et de vérification, une attention particulière sur les systèmes de signature à distance.

Le point le plus critique du système est la mise à disposition initiale de la carte à puce : après l’identification personnelle, il y a la livraison matérielle de la carte à puce et du Pin et la signature d’un contrat de service qui décrit en détail la procédure, à suivre scrupuleusement en évitant les approximations et les simplifications.

La carte à puce est un objet sécurisé, qui est activé par la saisie d’un code PIN secret. Il faut éviter de conserver une copie du Pin avec la carte et, en cas de perte, demander immédiatement sa révocation.

Il existe une offre commerciale croissante de systèmes de signature à distance, c’est-à-dire de serveurs qui centralisent les clés privées et les certificats en supprimant la délivrance de la carte à puce, à certains égards plus souples que le système avec carte à puce, mais objectivement moins sûrs : le propriétaire confie sa clé à l’opérateur.

Prudence avant tout

Il convient donc d’être particulièrement prudent dans le choix du fournisseur et dans le type de transactions confiées à ce système.
Le logiciel de signature numérique associe physiquement la signature au document individuel.
Un logiciel défectueux ou même malveillant pourrait induire la signature de n’importe quoi : il faut donc utiliser, dans la mesure du possible, des logiciels de confiance.

Parfois, notamment lors de l’utilisation de signatures à distance, il est nécessaire d’utiliser une procédure de signature intégrée dans une application web : dans ce cas, il doit être possible d’avoir une copie de ce qui est signé.

Le logiciel de vérification des signatures d’autrui est encore plus important que le logiciel de signature : vous devez utiliser un produit fiable, à la réputation irréprochable, capable de détecter toute anomalie. En particulier, la signature doit être apposée par le propriétaire avec un certificat qualifié, non expiré, non suspendu, non révoqué au moment de la signature.

Il est important de placer une signature dans le temps : si le document reçu n’est pas pourvu à l’origine d’un horodateur, le destinataire doit pouvoir l’ajouter, afin d’empêcher l’expiration ou la révocation du certificat.

Il faut également se méfier en général lorsqu’un système de vérification des signatures rapporte des messages tels que « il n’est pas possible de s’assurer de la fiabilité du certificat » ou « il n’est pas possible d’accéder aux informations de révocation » : la vérification doit être passée sans équivoque.