Usurpation d’identité : un identifiant peut en cacher un autre…

En début d’année, Le Figaro Economie ainsi que Le Monde Informatique [2] nous révélaient combien l’usurpation d’identité avait facilité la dissimulation des transactions frauduleuses du jeune trader de la Société Générale. Selon le rapport d’étape du Comité spécial du Conseil d’administration, Jérôme Kerviel s’est justifié sept fois auprès de ses contrôleurs au moyen de « vrais-faux emails ». Il aurait ainsi avoué sa manœuvre en expliquant : « J’ai réalisé un faux mail avec une fonction qui me permet de réutiliser l’en-tête d’un mail qui m’est adressé en changeant le contenu ». [3] L’ampleur de ce scandale national nous donne la mesure des failles persistant au sein de systèmes d’information que l’on aurait pu croire inviolables.

Sur Internet, tout un chacun peut, le plus simplement du monde, « emprunter » l’adresse électronique d’autrui. Il suffit de taper « mail anonyme » dans un moteur de recherche pour accéder instantanément à des outils redoutablement efficaces [4]. Faites vous-même le test, vous serez édifiés ! Lors d’une démonstration, j’ai ainsi pu me faire faxer le bilan d’une société en me faisant passer pour un expert comptable… En d’autres termes, n’importe qui devient capable de produire devant un juge le contraire de n’importe quel email produit par la partie adverse, ce qui revient à lui ôter toute valeur juridique dans la pratique.

Un mail non signé électroniquement n’offre aucune sécurité juridique puisque qu’il ne constitue qu’une simple présomption de preuve devant les tribunaux. Pour se prémunir contre tout risque, la signature électronique est le seul outil offrant de réelles garanties tant aux expéditeurs qu’aux destinataires de messages électroniques. Le certificat électronique est l’outil d’authentification par excellence et le MINEFE a référencé les fournisseurs de certificats électroniques acceptés dans le cadre des télédéclarations, telles que TéléTV@.

Le certificat électronique est l’outil qui sert à la fois à :
* garantir l’identité de l’expéditeur
* garantir l’intégrité du message
* apporter la valeur probante d’un email [5]

A l’heure où les entreprises se préoccupent tant de sécurité informatique, il convient de rappeler que rien ne sert d’investir des millions d’euros dans des dispositifs sophistiqués, sans avoir pris la peine de sécuriser ce qui constitue la base de tout échange électronique ! Le certificat électronique est une carte d’identité électronique qui contient différentes séries d’informations : nom, prénom, service et fonction du titulaire, nom et numéro de SIREN de l’entreprise, signature électronique (validité, longueur des clefs…), nom de l’autorité émettrice et du tiers certificateur. Délivré sur carte à puce ou clé USB, il est infalsifiable et constitue l’un des piliers de la confiance dans les échanges électroniques, en épargnant à bon nombre d’entre nous bien des mauvaises surprises.

Tous droits réservés. Copyright © ChamberSign France 2008

[1] Enquête YouGov, Verisign, mars 2008
[2] Le Monde Informatique, 21 février 2008
[3] Le Figaro Economie, 8 février 2008
[4] L’usurpation d’identité est passible de 5 ans d’emprisonnement et de 75.000€ d’amende.
[5] La loi française encadre la signature électronique en lui reconnaissant la même valeur juridique qu’à la signature manuscrite. Conf. art 1316-4 du Code civil créé par la Loi numéro 2000-230 du 13 mars 2000, art. 4, portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique.