La signature numérique est un code qui authentifie l'auteur
d'un message ou d'une transaction électronique. Dans les logiciels de courrier
électronique, cette signature prend la forme d'une suite plus ou moins longue de
caractères sans signification, qui est parfois visible à la fin du message. Cette
signature est encodée par une clé privée que seul l'expéditeur détient. Le logiciel
du destinataire reconstitue la signature de l'expéditeur à l'aide de la clé publique de
l'expéditeur qu'il trouve dans un répertoire de clés publiques. Si la signature est
bien décodée, le destinataire est certain que le message provient de l'expéditeur, car
seul ce dernier a pu, avec sa clé privée, encoder sa signature. Le logiciel PGP (Pretty
Good Privacy) utilise ce procédé et se greffe aux logiciels de courrier électronique
les plus répandus.
Ce procédé est en fait l'équivalent du système de cryptage à clé publique décrit
dans la fiche traitant de la cryptographie. Dans le commerce électronique, la signature
numérique empêche la fraude, car elle authentifie automatiquement l'identité d'un
commerçant qui offre des produits sur Internet et celle d'un client qui passe une
commande. Les parties prenantes à une transaction doivent d'abord obtenir un certificat
numérique constitué d'une clé privée (conservée sur le système de l'utilisateur et
protégée par mot de passe) et d'une clé publique disponible dans un répertoire de
certificats numériques. De nombreuses firmes, comme Entrus, CommerceNet, VeriSign et
BelSign, offrent actuellement de tels services, à des degrés de sécurité et de
fiabilité malheureusement très différents.
|