Retour page d'accueil site sur l'affaire des cartes bancaires
La loi sur la signature électronique a été votée par le parlement en mars 2000, pour qu'elle rentre maintenant en application,
il faut attendre la publication du décret fixant les conditions techniques pour qu'un système soit admissible comme signature électronique.
1ère exigence à notre avis : la signature électronique doit pouvoir être vérifiable par tout tiers et pas seulement
après expertise coûteuse de personnes accédant à de prétendus secrets.
2ème exigence, doit être prévu le cas où les clés des émetteurs du système seraient répudiées ou des failles apparaitraient dans les algorithmes utilisés (exemple : les clés des cartes bancaires émises avant novembre 1999 sont répudiées).
3ème exigence, les algorithmes admissibles comme signature électroniques doivent être publics afin que tout tiers puisse vérifier la solidité de l'algorithme utilisé.
Autre cas, la signature électronique SHA-1 est souvent préférée à un MD5 car il existe un algorithme rapide pour trouver des collision dans la sortie du MD5,
(voir aticles en 1994 et 1999 des chercheurs van Oorschot et Wiener avec des machines spéciales parallèles pour trouver des collisions en quelques jours)
Il existe aussi deux attaques partielles sur MD5 ; l'une est une collision sur les 3 premiers tours du MD5 qui en comporte 4 trouvée par H. Dobbertin ;
l'autre est une méthode pour générer des collisions sur la fonction de compression (c'est-à-dire en modifiant l'IV). Cependant, en pratique,
personne n'a actuellement mis en oeuvre une attaque de la fonction MD5, ce qui constituerait une véritable prouesse cryptographique.
Sur la signature RSA, il nous semble qu'il faut exiger des clés de 2048 bits au moins pour les 5 prochaines années et il faut s'assurer que la norme de signature utilisée soit validée et ne comporte pas
de failles (il existe des cas de signatures forgées trouvés en 1998 par une équipe de UCL, Gemplus et ENS)
Une taille de clé minimum doit être utilisée dans les systèmes (adieu le chiffrement DES 56 bits cassable en 3 jours avec la machine d'une association activiste américaine)
Face à l'avancée des techniques de cryptanalyse, l'admissibilité d'un système comme signature électronique doit à notre sens être temporaire,
faire l'objet de révision et pouvoir être répudiée en cas de doutes.
En effet, il sera difficile à un particulier dans le cadre d'un litige d'inverser la présomption de preuve
que constitue un système reconnu comme signature électronique. La loi Informatique et Liberté permet à toute personne de contester
le résultat d'un traitement automatisé qu'on lui oppose.
Il est inimaginable que la situation actuelle se reproduise. A savoir : qu'un système de signature électronique comporte des failles
qui portent préjudice à des victimes,
mais que l'on ne peut le démontrer car ses caractéristiques sont inconnues, et si quelqu'un s'amusait à l'étudier et à l'analyser,
il se retrouverait poursuivis pour intrusion dans un système automatisé de traitement (comme l'a été Serge Humpich).
La commission chargée d'agréer ou de répudier les systèmes, doit être composée d'experts indépendants, de représentants des consommateurs, de praticiens
Retour page d'accueil site sur l'affaire des cartes bancaires