Le développement du commerce électronique exige que les consommateurs aient confiance au moment de "signer". Différentes techniques permettent de garantir les transactions.

Avec les signatures numériques, les transactions sur Internet sont devenues aussi sûres que lorsqu'on appose personnellement son paraphe. Elles pourraient même, à l'avenir, se révéler plus sûres encore. Dans la vie courante, le risque est accepté comme un fait naturel. La plupart d'entre nous concluons quotidiennement des transactions financières risquées et non protégées : le paiement par carte de crédit ne repose sur rien d'autre que la possession d'un code à quatre chiffres ou bien sur une signature. Mais une combinaison de chiffres peut être volée et une signature imitée sans trop de difficultés. La protection contre la fraude tient au fait que les signatures ont, pour ainsi dire, force de loi et engagent le signataire lors d'un contrat. Par ailleurs, elles peuvent être vérifiées en cas de litige sur simple présentation d'une pièce d'identité. Depuis le 25 juillet dernier, la signature électronique est devenue légale au Royaume-Uni. Quelques semaines auparavant, les Etats-Unis avaient franchi le pas. En décembre 1999, avec l'adoption d'une directive par Bruxelles, l'ensemble de l'Union européenne s'est engagé a faire de même dès l'été 2000. Reste qu'avant l'adoption d'une loi, les signatures en ligne n'avaient aucun statut juridique. Sur Internet, cependant, au lieu de fournir seulement le numéro de sa carte de crédit et son nom, on peut d'ores et déjà s'entourer de quelques précautions supplémentaires. Trois règles doivent être observées pour sécuriser une transaction électronique. La première est que l'identité des deux parties soit établie et authentifiée. La deuxième est d'envoyer un message chiffré pour la demande de transaction. La troisième est la délivrance d'un accusé de réception.Sécuriser une transaction, c'est aussi être en mesure de vérifier l'inviolabilité de la communication (en s'assurant qu'aucun intrus ne peut y avoir accès pour la manipuler), et qu'elle puisse être opposable (c'est-à-dire que la communication ne puisse être niée par l'expéditeur).

Le cryptage à clés
La méthode la plus ancienne et la plus répandue pour sécuriser une transaction est connue sous le nom de cryptage à clé publique. Chacune des deux parties obtient deux clés entre lesquelles une relation permet de chiffrer un message d'un côté et de le déchiffrer à l'autre extrémité. L'une de ces clés est rendue publique à des destinataires choisis, l'autre restant confidentielle. Un message chiffré à l'aide d'une clé publique ne peut être déchiffré qu'avec la clé privée qui lui correspond. Un message chiffré avec une clef privée peut être lu avec la clef publique qui lui est liée, ce qui permet au destinataire de s'assurer que l'expéditeur est bien le propriétaire de la clef. Des sociétés, comme l'irlandaise Baltimore Technologies ou les américaines Entrust et Verisign, fournissent cette infrastructure de cryptage connue sous le nom de PKI (Public Key Infrastructure). Une autre technique de sécurisation allie le chiffrement à la biométrie - utilisation de facteurs biologiques comme l'empreinte digitale mémorisée -, pour créer une signature électronique physiquement liée au signataire. Cette méthode utilise les empreintes digitales, la voix, la reconnaissance du visage ou de l'iris, pour s'assurer que le signataire est bien le bon, en comparant un scanner de la partie du corps concernée avec celui qui a été enregistré au préalable.La biométrie permet de faire mieux encore, puisqu'il existe une méthode très réaliste pour signer électroniquement comme on le ferait sur une feuille de papier. L'intéressé appose sa signature normalement, mais à l'aide d'un crayon numérique et sur une tablette sensible à la pression. Cette tablette enregistre la vitesse, la pression et la forme de la signature, y compris les endroits où la personne marque les jambages et les hampes. La façon d'écrire propre à tout un chacun est ainsi mémorisée. Quand la personne veut envoyer ou recevoir un message, elle doit commencer par signer sur une tablette de ce type pour authentifier son écriture.

Le m-commerce
La sécurité des transactions doit aussi être appliquée à l'Internet mobile. Les analystes prévoient en effet que, dans les prochaines années, le commerce mobile représentera une part très importante du commerce électronique. C'est pourquoi, en avril dernier, Nokia, Ericsson et Motorola, les trois premiers fabricants mondiaux de téléphones portables, se sont rencontrés pour travailler à une norme commune permettant de sécuriser ce type de commerce. Objectif : produire les premiers téléphones intégrant cette norme vers la fin de l'année. Toutefois, pour qu'un mode de signature numérique se développe, il doit non seulement être sûr, mais il doit être aussi perçu comme tel. Les consommateurs hésiteront probablement à confier leurs coordonnées bancaires à un dispositif électronique tant qu'ils n'auront pas vérifié sa fiabilité. Forrester Research estime que les signatures numériques deviendront courantes pour les transactions commerciales d'ici à trois ans, et que les consommateurs n'hésiteront plus à s'en servir d'ici trois à cinq ans.

Par Fiona Harvey
fiona.harvey@ft.com

Baltimore Technologies
www.baltimore.com
Entrust
www.entrust.com

Verisign
www.verisign.com