Bienvenue et merci d'être revenu sur notre site! Vous pouvez souscrire à notre flux RSS RSS feed. Merci de votre visite!

Pour la première fois, un acte authentique peut être réalisé sous forme entièrement numérique. C’est un exemple fort du rôle des nouvelles technologies au service des citoyens, avec des garanties de sécurité et d’efficacité auxquelles le gouvernement est particulièrement attentif. Rachida Dati, Garde des Sceaux et Eric Besson, Secrétaire d’Etat en charge du développement numérique, ont soutenu cette démarche.

Intervention d’Eric Besson
Conseil Supérieur du Notariat, 28 octobre 2008

Seul le prononcé fait foi

Madame le Ministre, Chère Rachida, Mesdames et Messieurs les Parlementaires, Monsieur le Président Reynis, Mesdames et Messieurs les magistrats, Mesdames et Messieurs les notaires, Mesdames et Messieurs,
La technologie au service de la confiance

Comme vient de l’exposer la Garde des Sceaux, l’administration de la Justice connaît aujourd’hui un jour historique.

L’acte authentique électronique dont nous célébrons la naissance officielle, va révolutionner la pratique du droit et instaurer un degré supérieur de confiance sur les nouveaux réseaux.

Cette transposition de l’acte authentique dans sa version numérique n’a rien d’anodin, car un jeu de contraintes très rigoureux donne à cet acte toute sa puissance : une date certaine, sa force probante qui donne un caractère incontestable à son contenu, et sa force exécutoire qui permet son application immédiate sans procédure judiciaire.

Le Conseil Supérieur du Notariat a mené en ce sens un travail exemplaire, et je voudrais saluer son président, Me Bernard Reynis, qui a fait de ce projet l’un des engagements de ce mandat. La technologie semble avancer toute seule : rien n’est plus trompeur, elle repose toujours sur l’engagement et la détermination des hommes pour ne pas remettre le progrès à plus tard.

J’ai eu l’occasion de présenter le 20 octobre dernier le Plan France Numérique 2012, issu de la collaboration interministérielle.

Ce Plan, dont l’ambition se décline en quatre priorités, va :
- permettre à tous les Français d’accéder aux réseaux et aux services numériques ;
- développer la production et l’offre de contenus numériques ;
- accroître et diversifier les usages et les services numériques dans les entreprises, les administrations, et chez les particuliers ;
- moderniser notre gouvernance de l’économie numérique.

Le plan a permis de formaliser plusieurs objectifs pour notre administration en matière de numérique :
- poursuivre et amplifier la numérisation des procédures, avec l’objectif de dématérialiser les échanges ;
- aller vers plus de simplicité et d’efficacité au service des administrés ;
- doter l’administration des structures d’accompagnement sur le numérique qui lui permettront de pousser plus loin ses ambitions.

Nous avons aussi voulu, par les mesures prises au sein de l’administration, augmenter sensiblement chez nos administrés la confiance dans les outils numériques.

Ainsi, l’authentification sur Internet et la carte nationale d’identité électronique, dont la généralisation doit fortement renforcer la sécurité des échanges entre citoyens et administration, devraient servir de tête de pont à une nouvelle politique de confiance sur les nouveaux réseaux.
Authentification sur Internet

L’Etat doit être pilote dans la définition des standards de sécurité utilisés par l’ensemble des acteurs publics et privés. La signature électronique, qui a vocation à se généraliser, doit être portée par un mouvement collectif que seul l’Etat peut coordonner.

Aussi, le plan France numérique 2012 propose que l’envoi d’accusés de réception soit généralisé pour les services en ligne. A partir de 2009, les services publics de l’administration mettront à la disposition des usagers des solutions de signature électronique simples et gratuites pour l’ensemble des services qui le nécessitent.

Le mouvement ne s’arrête pas là. Dans un souci d’homogénéité, l’Etat pourra également faire reconnaître par certains secteurs exigeant une signature manuscrite, comme par exemple dans celui de la banque et de l’assurance en ligne, des standards accordés avec ceux de l’administration. A ce titre, l’ensemble des règles édictées par le référentiel général de sécurité (RGS) devra dans un souci de transparence et de confiance faire l’objet d’une publication.
La Carte nationale d’identité électronique (CNIE)

La Carte nationale d’identité électronique, dont le projet est porté par le ministère de l’Intérieur, doit devenir un « exhausteur de démocratie ». L’ambition est de lancer la première carte européenne, c’est-à-dire interopérable selon la norme européenne.

Au printemps 2009, un projet de loi « identité » devra être adopté pour la mise en place des bases de fonctionnement de la carte, notamment pour autoriser la création d’un fichier biométrique, la CNIL ayant rendu son avis et ses recommandations : cette carte, comparable à celles qui existent aujourd’hui sur les réseaux de transports, munies de deux puces dont une puce dite « sans contact », transportera plusieurs informations d’identité (une photo, des empreintes posées, et plusieurs informations d’état civil).

4000 mairies seront bientôt équipées d’un dispositif pour créer et numériser les justificatifs d’identité des citoyens, comme les extraits d’acte de naissance, avant généralisation. La carte servira dans un premier temps à décliner son identité et à payer ses impôts. Mais elle ouvre la voie à de nombreuses applications au service du citoyen et de la démocratie, comme la consultation en ligne des citoyens.

La technologie nous permet aujourd’hui d’aller plus loin dans l’efficacité de nos procédures. Toutefois, ce progrès ne nous servirait de rien s’il ne se doublait pas d’une vigilance accrue en termes de protection des données personnelles. Aussi, les actions portées par le plan se doublent d’un effort soutenu pour garantir la protection des données individuelles et des libertés publiques. Nous avons, dans l’élaboration et la rédaction du plan, manifesté tout l’attachement du Gouvernement à cette question essentielle.

Ainsi, dans le plan France numérique 2012, j’ai souhaité à ce titre que la CNIL soit renforcée dans ses missions.

La question de la protection des données personnelles repose sur une approche globale : nous allons promouvoir une convention internationale de la protection des données personnelles, qui devra établir les standards partagés par tous. En parallèle, tous nos efforts en matière d’élaboration de standards internationaux de sécurité et d’identité numérique se doubleront d’un traitement spécifique des questions de protection des données personnelles.

Comme vous le voyez, la question posée de la confiance et de la sécurisation, incarnée aujourd’hui dans votre profession par l’acte authentique numérique, est bien transverse à notre administration.

Aussi, je souhaite que la mise en place de l’acte authentique numérique puisse profiter à toutes les autres démarches analogues entreprises par l’Etat. Votre exemple pourra éclairer très utilement les initiatives en cours de lancement, et je propose que les éléments de suivi dans la mise en oeuvre de ce projet puissent être partagés, avec le ministère de la Justice et mon Secrétariat d’Etat.

Je vous remercie de votre attention.

Pas une semaine ne se passe sans qu’une alerte de type « Phishing » ne soit relayée par la presse. Tous les jours, des centaines d’informations privées et identités numériques sont dérobées par des individus peu scrupuleux qui s’empressent de les revendre à de véritables malfaiteurs. Qu’en est-il de cette menace grandissante et des contre-mesures possibles ‘
Le vol d’identité numérique est sans conteste le grand champion des menaces s’étant développées ces dernières années. Les constatations sont éloquentes : l’APWG recense un doublement des sites de phishing entre mi 2005 et mi 2006, les malware dédiés au vol d’identité sont de plus en plus répandus de même que les sites qui hébergent ces programmes malicieux dixit Websense, Gartner compte les points et comptabilise les pertes américaines liées au phishing en 2006… L’estimation est de 2,8 milliards de dollars.

En effet, entre le vol d’identité numérique et la fraude en ligne, il n’y a qu’un pas – que les « pirates » ne se privent pas de faire. À une époque où les systèmes d’exploitation grand public n’ont jamais inclus autant de fonctionnalités sécurité, comment ce phénomène peut-il s’expliquer ‘ Par un manque de réactivité des éditeurs ‘ par le laxisme des utilisateurs ‘ par des erreurs d’implémentation dans les applications en ligne ou bien encore par une trop grande difficulté à lutter contre cette fraude invisible mais bien réelle ‘

Comme souvent, la réponse est nuancée. Tous les facteurs énoncés peuvent en effet tenir une part de responsabilité dans le développement du vol d’identités et du cyber-crime. Mais de fait, la faute n’est réellement imputable à personne.

Ainsi pour reprendre les points énoncés, jamais les éditeurs n’ont été aussi rapides à sortir leurs correctifs et à communiquer (même s’il reste encore du chemin pour certains). Les utilisateurs, quant à eux, essayent autant qu’il le peuvent de répondre au mieux aux problématiques de sécurité qui se posent à eux. Antivirus installé et pare-feu activé, ils se croient parés pour affronter Internet en toute sécurité. Au niveau des entreprises, les portails en ligne et plus particulièrement les portails bancaires s’équipent de moyens pour assurer l’authentification mutuelle entre le client et le site. Pour finir, même si la complexité du droit international et le manque de coopération de certains états rendent les investigations et les poursuites contre les réseaux de fraude particulièrement complexes, des initiatives existent néanmoins.

Les menaces liées au vol d’identité numérique sont nombreuses, tachons de détailler les principales :

Le phishing simple
Technique maintenant parfaitement connue, le phishing a acquis ses lettres de « noblesse » courant 2004. Le principe est simple : un site reproduit un contenu légitime (le plus souvent une institution financière) dans le but de capturer les identifiants du client. Pour faire en sorte que la victime parvienne sur le site contrefait, la technique la plus répandue consiste à diffuser massivement des mails via une campagne de spam. Ces mails utilisent une raison quelconque pour prétexter que l’utilisateur doit se connecter au plus tôt sur le portail de sa banque. Bien évidemment, un lien corrompu est proposé se présentant sous la forme de l’URL légitime de la banque mais menant réellement sur le site contrefait. Certains sites de phishing prennent grand soin à paraître légitime. Pour ce faire, des techniques de typosquatting sont utilisées. Plus traitres encore, des phishing simples peuvent utiliser des vulnérabilités de Cross Site Scripting (XSS) pour laisser croire à l’utilisateur qu’il se trouve sur le site de sa banque alors qu’il est en réalité sur une page affichée en superposition du site légitime. Lorsque le site en question met en place une identification du client en utilisant un couple login / mot de passe, le site de phishing n’a aucune difficulté à récupérer ces informations.

Le phishing en Man in the Middle
Voici une évolution particulièrement intéressante du phishing puisqu’elle met en place une rupture protocolaire pour parvenir à son objectif. Dans ce cas, la victime est redirigée sur un faux site qui se chargera de faire le mandataire entre elle et le portail bancaire. Les données qui sont alors transmises par la victime sont immédiatement re-transférées sur le site réel. Dans cette attaque, le contenu affiché est toujours légitime puisqu’il provient du vrai site. Le pirate aura alors la possibilité de reprendre l’initiative de l’échange dès lors que le client se sera authentifié ou qu’un cookie de session sans restriction aura été échangé. Le premier cas de phishing MITM est apparu courant 2006, réduisant à néant les efforts d’une banque dans l’implémentation d’une solution d’authentification à deux facteurs.

Le pharming
Entendons nous bien, pharming est un mot récent et à la mode, mais les concepts n’ont rien de nouveaux. Le pharming consiste à détourner une résolution de nom. Par ce biais, un utilisateur croyant se connecter sur un site avec l’URL www.site.com sera en réalité renvoyé vers un autre endroit. Cela peut s’opérer classiquement en deux endroits distincts : localement sur le poste d’une victime (on préférera alors parler de trojan redirecteur) ou sur un serveur DNS. C’est ce dernier cas qui va nous intéresser ici. En toute logique, les serveurs cibles du pharming sont des serveurs DNS à haute fréquentation comme un serveur DNS cache d’un fournisseur d’accès Internet. La plupart du temps, le pharming se concrétise par un empoisonnement du cache DNS. Cependant, cette technique est de moins en moins utilisable dans la mesure où seuls les vieux serveurs DNS sont vulnérables à cette attaque (due à une entropie trop faible dans la génération des identifiants des requêtes DNS). D’autres variantes existent permettant de jouer avec des effets de statistiques pour corrompre un cache DNS.

Le trojan
De plus en plus complexe, les trojan s’installent souvent via la consultation d’une page web malicieuse. Bien souvent, l’utilisateur n’y voit que du feu, et pourtant… Généralement, un premier trojan (appelé downloader) va être exécuté pour récupérer un ensemble d’autres composants qui seront activés dans la foulée. Ces composants vont venir s’installer au sein d’Internet Explorer (ce seront les Browser Helper Object) ou directement au cœur du système (ce seront alors des trojan résidents avec des fonctionnalités de rootkit). Les fonctionnalités de ces codes sont impressionnantes. Les plus simples se contentent de capturer les touches tapées lorsque l’utilisateur se situe sur un site web ciblé (portail bancaire dans plus de 90% des cas). Les plus complexes peuvent supprimer la fenêtre de présentation de danger SSL (via l’utilisation de hooking d’API), modifier les résolutions DNS (pharming local), capturer les formulaires émis (formgrabbing) même géolocaliser les victimes. Autant dire que l’utilisateur lambda ne peut pas grand-chose contre ces « merveilles » de sophistication.

Toutes ces techniques ne sont motivées que par un seul objectif : retirer du profit en accédant au compte bancaire d’une victime.

Plusieurs pistes de réflexion se dessinent lorsque l’on essaye de dresser le panorama des solutions permettant de répondre aux enjeux de sécurité. Ce dossier met en relation des propositions techniques et les protections couvertes par celles-ci. Le site dresse un panorama relativement exhaustif des briques logicielles pouvant être utilisées gratuitement. Au programme, on y retrouve des mesures permettant de détecter l’apparition d’un site de phishing, des moyens pour une utilisation simple de l’authentification deux facteurs via l’utilisation d’un second canal de communication, etc. Les équipes techniques y trouveront probablement des éléments d’inspiration et les RSSI pourront orienter leurs réflexions sur des solutions adaptées. Toutes les protections sont mesurées suivant la robustesse face aux menaces liées au vol d’identité numérique et la facilité que l’utilisateur en aura.
Source : Par David Bizeul pour Vulnerabilite.com

On entend généralement par dématérialisation le fait de transformer un flux de documents, ainsi que les traitements qui lui sont appliqués, en flux et traitements numériques. En vue d’atteindre cet objectif, la dématérialisation cherche à traduire électroniquement la valeur juridique des documents.
Exemples :
• dématérialisation des factures (invoice processing) ;
• dématérialisation des flux monétaires (exemple pour les chèques dont la formule papier ne circule entre les banques mais seulement l’image chèque (image numérique). la dématérialisation est intervenue en 2002 avec la mise en place de l’EIC (Echange d’Image Chèque)) ;
• dématérialisation des marchés publics ;
• dématérialisation des valeurs mobilières (compte titres).
Les étapes de la transformation
1. Numérisation des documents,
2. Archivage des documents numérisés,
3. Intégration des étapes de l’évolution du document,
4. Notarisation : certification des étapes de l’évolution du document.
Le vocabulaire courant
• un certificat d’identité numérique permet d’identifier les intervenants au cours du processus (cf. signature numérique),
• un horodatage, timestamp, garantit l’heure et la date à chaque étape du traitement.
Dématérialisation
• L’espace de confiance distant : les documents et les étapes de leur traitement sont centralisés sur un serveur tiers
• L’enveloppe numérique : l’utilisateur conserve ses documents au sein d’une enveloppe numérique qui intègre une fiche de suivi dont chaque étape est certifiée par un tiers.
Qu’est-ce qu’une facture fiscale dématérialisée ?
La facture est un document établi par le vendeur et adressé au client à la suite d’une vente. Elle est obligatoire dans le cas d’une vente entre entreprises et déclenche le règlement des biens et des services objets de la transaction.
Quelle que soit sa forme, la facture doit au moins comprendre les informations suivantes relatives aux acteurs et à la nature de la transaction:
• Nom, adresse et numéro de TVA de l’émetteur et du client
• La date de délivrance
• Un numéro unique, séquentiel et continu
• La quantité, la dénomination et le prix unitaire hors taxe des biens livrés ou des services rendus, ainsi que le taux de TVA correspondant
• Les rabais, remises, ristournes ou escomptes acquis et directement liés à l’opération
• Les montants totaux hors taxe, TTC et de TVA
Pour l’administration, la facture sert de preuve à la transaction et permet de contrôler le montant de la TVA à acquitter et les prix pratiqués. D’un point de vue juridique, elle constitue une preuve de la transaction commerciale. C’est pourquoi elle doit être conservée 6 ans (contrôle fiscal) et 10 ans (litiges commerciaux).
Dans les secteurs habitués à utiliser les échanges de données informatisés (EDI), tels que l’automobile, la banque ou la grande distribution, il est courant, en parallèle du flux papier, d’envoyer une facture électronique. Toutefois, seul le flux papier a ici valeur probante aux yeux de l’administration et de la justice.
Depuis juillet 2003, l’admission d’un écrit sous forme électronique au même titre qu’un écrit classique est consacré à la double condition que son auteur puisse être identifié et que l’intégralité de son contenu soit garantie lors de sa rédaction et pérennisée dans sa conservation. Cette facture électronique fiscale peut être un document non structuré, tel qu’un PDF signé, ou un message structuré.
Dans le cas de transactions intra-communautaires, c’est la législation du pays d’origine du fournisseur qui s’applique. Un fournisseur de fleurs des Pays-Bas peut donc dématérialiser la facture selon la législation néerlandaise, alors que son confrère niçois doit le faire selon la législation française. À cela s’ajoute la négociation commerciale entre les parties qui peut aboutir à définir un flux basé sur la législation la plus contraignante des deux, sous réserve qu’elle reste compatible avec celle du fournisseur.
Comportement des fournisseurs vis-à-vis de la dématérialisation de factures fiscales
En tant qu’émetteurs de factures, les fournisseurs sont l’élément clé du processus de dématérialisation de factures dans le cadre déterminé par la législation. Or, en 2007, MARKESS International constate que dans la majorité des cas, le principal élément qui pousse les fournisseurs à dématérialiser fiscalement leurs factures est lié aux demandes formulées par les clients dans ce sens, voire aux pressions exercées par eux. Pourtant, d’autres catalyseurs pourraient favoriser une adoption plus massive de la dématérialisation fiscale par les fournisseurs, comme le citent les principaux intéressés :
• Une plus grande clarté des législations en vigueur, au niveau français, mais également dans le cadre de factures sortantes ou émises vers des clients basés en Europe, voire dans d’autres pays du Monde. Les fournisseurs demandent à mieux connaître les règles définies par l’administration fiscale (en matière de formats, d’archivage, etc.) afin d’être sûrs de les respecter ;
• Une véritable standardisation des formats de dématérialisation de factures, étendue au niveau européen, voire la mise en place d’un format universel de factures reconnu par tous ;
• Des solutions moins coûteuses, notamment dans leur mise en oeuvre.
De leur côté, les entreprises en position de clients rejoignent leurs fournisseurs sur la standardisation des formats et le coût des solutions. Elles estiment également que d’autres facteurs pourraient pousser les fournisseurs à dématérialiser fiscalement leurs factures sortantes :
• La mise en place d’une incitation fiscale, voire d’une législation obligeant les entreprises à dématérialiser fiscalement les factures ;
• Une plus grande simplicité tant en amont dans les règles, les procédures à suivre que lors de l’installation et l’utilisation des solutions de dématérialisation ;
• La fourniture de contreparties aux fournisseurs par les clients eux mêmes, telles que le respect ou le raccourcissement des délais contractuels de paiement.
Dans son étude sur le sujet datant de 2007, MARKESS International remarque qu’aucun fournisseur n’a spontanément cité l’accompagnement et la formation comme des éléments accélérateurs d’un projet de dématérialisation fiscale de factures. Pourtant, en fonction du comportement adopté par les fournisseurs vis-à vis de la dématérialisation fiscale de factures, la mise en place d’actions favorisant leur adhésion à de tels projets s’avère fréquemment indispensable. Ainsi, près d’un tiers des entreprises interrogées précisent en effet avoir mis en place ou bénéficié, selon qu’elles sont en situation de clients ou de fournisseurs, de telles actions. L’accompagnement au projet de dématérialisation, la formation des fournisseurs, le conseil, l’aide à la mise en place de la dématérialisation arrivent en bonne place de ces actions. Il n’en reste pas moins que certains clients ont recours à des moyens plus coercitifs tels que l’inscription de la dématérialisation fiscale dans les conditions générales associées aux processus achats, la dématérialisation devenant une condition sine qua non pour travailler avec certains clients, voire les garder en tant que clients.

Depuis toujours, la confiance ne se décrète pas, elle s’acquière. Le problème auquel nous sommes aujourd’hui de plus en plus confronté réside dans le fait que nous échangeons, communiquons et commerçons de plus en plus de façon dématérialisée, c’est-à-dire dans un monde virtuel.

La confiance dans le monde réel.
Dans le monde des ” échanges physiques”, bons nombres de mécanismes et de procédures, nous permettent de pouvoir accorder notre confiance à un document, une information ou toute autre support et, il faut bien l’admettre, dans le monde virtuel nous ne pouvons que très rarement compter sur ces repères.
Dans le monde « physique » la confiance est très souvent liée à des notions comme la proximité, la réputation, la fréquentation, l’expérience, la connaissance, voire l’amitié, la recommandation, le parrainage ou nos différents sens. La confiance peut également être portée par l’intermédiaire d’un tiers de confiance et même, parfois, à la suite d’un rapport de force …
En tout état de cause, quelques soient les repères utilisées, vous ne pouvez construire un véritable environnement de confiance qu’en passant par des étapes successives.
C’est ainsi qu’avec l’habitude et l’expérience, dans le monde physique, on peut accorder de plus en plus sa confiance à un environnement, une méthode, une technique, des hommes, …

Passer du monde réel au monde virtuel.
La confiance est indispensable dans le cadre des échanges commerciaux ou comportant un engagement de l’une ou l’autre des parties.
Dans le monde réel, de nombreux critères objectifs et subjectifs nous permettent, par exemple, de nous assurer de l’identité de notre correspondant, de son lieu de travail, de son appartenance à une entreprise ou une administration.
Le problème auquel nous sommes maintenant tous confronté est que, très souvent, ces critères ne sont pas utilisables « en l’état » dans le cadre des échanges dématérialisés.
C’est ainsi qu’il est tout à fait possible, pour un pirate informatique, d’usurper une identité, la votre peut-être, d’intercepter des communications de type mail, voire de modifier le contenu de l’un de vos courriers électroniques à votre insu ou à l’insu de votre interlocuteur.
Bien sûr, et heureusement pour le développement d’Internet, de nombreux services et applications dématérialisés, ne nécessitant pas une confiance particulière de l’utilisateur, se sont développés en quelques années comme, par exemple, la consultation d’informations commerciales en ligne ou différents types de téléchargements de données, d’informations ou d’applications.

Actuellement, et ce sont les statistiques qui le montrent, dans le cadre des échanges sur Internet, nous accordons plus facilement notre confiance à une « image de marque », à la réputation d’un produit, à une ligne de produits connue, à la réputation du vendeur ou à celle du concepteur.
C’est pour cette raison que le développement de la dématérialisation des échanges dans le cadre « commercial » ou « confidentiel » a nécessité la mise en place de véritables « espaces de confiance ».

Le recours à des « tiers de confiance »
Pour établir une relation de confiance entre acteurs qui ne se connaissent pas, le recours à des « tiers de confiance » a toujours été la solution privilégiée.
C’est ainsi qu’au Moyen Âge, les banquiers lombards se portaient garants des billets à ordre qu’ils émettaient et qui étaient négociables dans toute l’Europe. L’intermédiation, grâce à des « tiers de confiance », a ainsi permis les échanges de valeurs en tout point de l’Europe, même durant les nombreuses périodes troubles.
Cet aspect est important car, en général, les mécanismes informatiques liés aux échanges dématérialisés ne sont pas du tout connus et très rarement transparents.
Les utilisateurs, qui, par définition, ne sont pas des spécialistes, ne savent pas « comment ça marche » et, de ce fait, ont pris l’habitude d’agir et d’utiliser essentiellement en fonction de leurs degrés de satisfaction ou de confiance, que ce soit « a priori » ou « a posteriori ».
Pour rationaliser tout cela, et afin que les services de dématérialisation puissent se développer et devenir opérationnels, en plus d’un cadre légal ou contractuel, en plus d’une technologie, il a fallu que les opérateurs assurant les transactions apportent des garanties en ayant recours à de véritables « tiers de confiance » dans le cadre des échanges électroniques.
C’est ainsi que le principe séculaire du « tiers de confiance » s’applique désormais aux échanges sur Internet permettant ainsi le déploiement de solutions dématérialisées à l’usage des entreprises, des personnes publiques et des particuliers.

Les « tiers de confiance » du monde réel au secours d’Internet.
Mais, avoir confiance dans les échanges électroniques ne se résume pas à accorder sa confiance à des technologies. Bien sûr, l’utilisation de techniques fiables est nécessaire, mais cela ne suffit pas car la confiance dans des informations dématérialisées, c’est également une question de droit, d’identification du correspondant, de psychologie, …
C’est pour cette raison que le positionnement et l’implication d’institutionnels traditionnels de la confiance du monde physique ont été indispensables au développement des services de confiance dans la sphère numérique. C’est l’association de tous ces « tiers de confiance » référents qui apporte au monde électronique une caution et une stabilité dans le cadre des échanges dématérialisés.
Le recours à des « tiers de confiance » permet à chacun de bénéficier d’un environnement juridique, fiscal et technique fiable, pertinent et pérenne. Aujourd’hui dans l’univers de la dématérialisation, comme hier dans le monde du papier, pour être neutre, le « tiers de confiance » doit avoir une fonction et un rôle sans aucun intérêt direct avec les clients et partenaires pour lesquels il est opérateur. Pour assurer la pérennité du service, il doit pouvoir conserver les preuves des échanges et savoir les restituer à qui de droit lorsque cela est juridiquement utile, ce qui en terme de preuves peut aller jusqu’à plusieurs dizaines d’années. Enfin la légitimité d’un « tiers de confiance » est issue d’une reconnaissance publique sous diverses formes comme, par exemple, la conformité à des critères juridiques et techniques forts.
Devant la forte implication que représentent ces impératifs, vous comprenez aisément qu’il n’est pas possible de se proclamer « tiers de confiance » du jour au lendemain …

Organiser l’avenir.
Les nouvelles technologies de l’information et de la communication représentent un formidable potentiel d’amélioration, de simplification et de rationalisation des procédures d’échanges tant pour le secteur privé que pour le secteur public.
Les usages qui peuvent en être faits sont immenses et il serait dommageable, pour notre avenir et pour notre compétitivité, de s’en priver.
C’est pour cette raison que l’existence et l’émergence de « tiers de confiance » référents est au cœur du développement des échanges dématérialisés. C’est l’une des conditions nécessaires au développement de relations solides et fiables entre tous les acteurs comme cela a été clairement démontré lorsque le E-commerce a véritablement pris son envol.
En fait, depuis toujours, la confiance est le fondement de l’économie et de ce fait, comme hier et quelle que soient les technologies de demain, elle sera à la base des échanges commerciaux et administratifs du monde internet.

Les “chaînes de confiance” dans un monde virtuel.
Il faut bien l’admettre, l’information dématérialisée porte en elle-même des notions totalement contradictoires.
En effet, l’information numérique est par nature vulnérable car elle est immatérielle. Elle peut donc être détruite, amputée, falsifiée, plagiée ou modifiée à l’infini. De plus, un document numérique n’a pas, par nature, de « véritable original ».
Et, enfin, ce n’est presque toujours qu’une « copie » que reçoit le destinataire. On comprend donc pourquoi, dans l’univers de la dématérialisation et d’Internet, il est indispensable de trouver des intermédiaires de confiance, indépendants de l’émetteur et du destinataire, qui assureront les contrôles et les services nécessaires pour établir et garantir la confiance.
Ainsi, les échanges s’appuyant sur plusieurs « tiers de confiance » parfaitement identifiés et indépendants les uns des autres, les utilisateurs pourront bénéficier de véritables « chaînes de confiance » qui assureront la sécurité et la confidentialité de leurs échanges dématérialisés. Bien sûr, chaque « tiers de confiance » se doit d’être neutre par rapport au service qu’il apporte et donc, de ce fait, avoir une fonction et un rôle sans aucun lien direct avec les échanges pour lesquels il est opérateur ainsi qu’avec les autres « tiers de confiance » de la chaîne globale qui va de l’émetteur au bénéficiaire.
Ainsi, dans un monde où la protection technique et juridique des données est de plus en plus nécessaire voire indispensable, le recours à des «tiers de confiance» identifiés permet de bénéficier d’un environnement juridique, fiscal et technique fiable pertinent et, surtout, pérenne.

Qu’est ce qu’un « tiers de confiance » ?
Dans le monde de la dématérialisation, le « tiers horodateur » est un « tiers de confiance » qui remplace, dans le monde numérique, l’ancien « cachet de La Poste faisant foi » du monde papier. De même, le « tiers archiveur » joue le même rôle que celui du coffre à la banque dans le monde réel.
Et voici maintenant un exemple assez simple de mise en œuvre d’une « chaîne de co nfiance » dans le monde virtuel. Dans le cadre de la facture électronique, on passe par un « opérateur de dématérialisation » qui va transformer la facture en une donnée électronique, un « tiers de correspondance » qui va assurer le transport du document électronique vers le client, un « tiers horodateur » qui va enregistrer les dates et heures de chacune des opérations et enfin, un « tiers archiveur » qui va conserver dans le temps la facture dématérialisée ainsi que toutes les informations qui lui sont associées.

La confiance, clé de voûte du développement des échanges sur Internet, est maintenant traitée comme il se doit grâce à l’existence de « tiers de confiance » permettant ainsi à tous, entreprises, administrations et particuliers, de pouvoir bénéficier sur Internet de véritables espaces de confiance utilisables au quotidien.

POUR RESUMER
La confiance ne se décrète pas, elle s’acquiert.
Les trois éléments qui caractérisent un véritable « tiers de confiance » sont sa neutralité, sa pérennité et enfin sa légitimité.
La validité d’une chaîne de confiance repose sur l’indépendance des différents « tiers de confiance » qui la compose.