Accueil / Dématérialisation et Sécurité des Systèmes / LA DEMATERIALISATION DES PROCEDURES D'ABONNEMENT : CAS DE CAMTEL / Analyse des signatures électroniques : quelles solutions innovantes pour la sécurité ?

Analyse des signatures électroniques : quelles solutions innovantes pour la sécurité ?

Dématérialisation et Sécurité des Systèmes
Pour citer ce mémoire et accéder à toutes ses pages
LA DEMATERIALISATION DES PROCEDURES D'ABONNEMENT : CAS DE CAMTEL
🏫 ECOLE NATIONALE SUPERIEURE DES POSTES ET TELECOMMUNICATIONS - DIVISION TECHNIQUE DES TELECOMMUNICATIONS
📅 Mémoire de fin de cycle en vue de l'obtention du diplôme de Ingénieur - 2015-2016
🎓 Auteur·trice·s
TZORNEU NGANSOP Patrick
TZORNEU NGANSOP Patrick

L’analyse des signatures électroniques révèle un retour sur investissement de sécurité impressionnant de 108,7% pour CAMTEL. Cette étude met en lumière les défis de la dématérialisation des procédures d’abonnement, tout en proposant des solutions innovantes intégrant géolocalisation et authentification sécurisée.

Signature électronique et la certification électronique

        1. Signature électronique et horodatage
          1. Algorithmes asymétriques

Un couple de clefs numériques (couple de grands entiers) est construit de manière à ce que le cryptogramme (texte chiffré) généré à partir d’un texte en clair et l’une des clefs ne puisse être aisément retrouvé qu’avec l’autre clef [14]. En pratique, l’une des clefs est conservée secrètement (clef privée), tandis que l’autre est diffusée publiquement (clef publique) dans un annuaire. Seul le propriétaire d’une clef privée (Bob dans notre exemple) peut déchiffrer un texte chiffré avec la clef publique associée (figure 2.2).

Comme exemple nous avons les algorithmes RSA et ELGAMAL.

[5_analyse-des-signatures-electroniques-enjeux-et-solutions_3]

Figure 2.2 : principe des algorithmes de chiffrement asymétriques [14]
          1. Les fonctions de hachages

Comme illustrée à la figure 2.3, une fonction de hachage est une application qui transforme une chaîne de taille quelconque en une chaîne de taille fixe [14]. L’empreinte de taille fixe obtenue après hachage s’appelle « Hash » ou « scelle », « condensat », ou encore « digest ». Une fonction de hachage doit satisfaire les conditions suivantes [14] : la résistance à la pré-image (étant donné une empreinte, il est difficile de trouver en temps raisonnable le message original), la résistance à la

seconde pré-image (étant donné un message, il doit être difficile de trouver en temps raisonnable, un autre message différent tel que leurs empreintes soient identiques) et la résistance aux collisions (il doit être difficile de trouver en temps raisonnable deux messages différents ayant les mêmes empreintes). Par ces trois critères, on parvient à donner la fonction de hachage, le rôle de vérificateur d’intégrité de message puisqu’une fois les données modifiées, leurs empreintes sont immédiatement affectées.

Analyse des signatures électroniques : enjeux et solutions

[5_analyse-des-signatures-electroniques-enjeux-et-solutions_4]

Figure 2.3 : Principe d’une fonction de hachage [15]

Comme exemple de fonctions de hachages, nous distinguons : MD5 (Message Digest version 5) qui manipule des blocs de 512 bits et génère une empreinte de 128 bits ; SHA2 (Secure Hash Algorithme version 2) développée conjointement par la NSA et le NIST. Il travaille sur des blocs de 512 bits et produit des empreintes de 160 bits. SHA est basé sur MD4 et est réputé plus sûr que MD5 [15].

          1. Principe de la signature électronique et exemples

[5_analyse-des-signatures-electroniques-enjeux-et-solutions_5]La norme ISO 7498-2 définit la signature électronique comme des « données ajoutées à une unité de données, ou transformation cryptographique d’une unité de données, permettant à un destinataire de prouver la source et l’intégrité de l’unité de données et protégeant contre la contrefaçon. La signature électronique est possible par la combinaison de fonctions de hachages et des algorithmes de chiffrement asymétrique. La signature de la donnée (figure 2.4) se fait d’une part par le calcul de l’empreinte via une fonction de hachage, et d’autre part, le hash obtenu est chiffré avec la clé privée du signataire suivant un algorithme asymétrique. Le cryptogramme obtenue est la signature de la donnée ;

Figure 2.4 : génération d’une signature électronique [16]

Pour vérifier une signature (Figure 2.5), il faut avoir la donnée originale ainsi que sa signature. La signature est déchiffrée en utilisant l’algorithme inverse du chiffrement muni de la clé publique du signataire ; puis le hash de la donnée est à nouveau calculé et comparé à la valeur de la signature déchiffrée. Si les deux valeurs sont égales, la signature est valide sinon soit la donnée a été modifiée, soit son signataire n’est pas celui qu’il prétend être.

[5_analyse-des-signatures-electroniques-enjeux-et-solutions_6]

Figure 2.5 : Vérification de la signature [16]

La signature électronique d’une donnée, n’étant pas liées au temps, peut être réutilisée par des malintentionnés. A cet effet, comment lier une signature à une date ?

          1. Horodatage

L’horodatage est un mécanisme qui consiste à lier une signature à une date dans le but d’empêcher la réutilisation de la signature à une autre date. Elle donne alors la possibilité d’effectuer des contrats dans le monde numérique. Tout comme la signature électronique, elle possède deux phases ; la seule différence est qu’après le calcul du hash de la donnée originale, on y ajoute la date de signature avant le chiffrement par la clé privée du signataire.

A cet effet, la vérification d’une signature horodatée nécessite le paramètre date de signature. Avec l’horodatage et la signature électronique on parvient à prouver alors qu’une donnée a été signée par une clé privée donnée à une date donnée. Mais comment garantir que la clé publique que nous possédons pour vérifier la signature est bien celle du signataire ?

        1. Certification électronique
          1. Définitions

La certification électronique est un mécanisme qui vise via l’utilisation des certificats l’authentification d’une clé publique. Elle permet aux entités d’une transaction de s’authentifier mutuellement. Un Certificat est structure de donnée permettant de lier une clé publique à différents éléments au moyen de la signature d’une autorité de certification (Certificate Authority – CA). Il possède au moins les informations suivantes : le nom du propriétaire de la clé, la date de validité, le type d’utilisation autorisée. La norme couramment utilisée pour représenter et décrire le contenu d’un certificat est la recommandation ITU X.509 [14]. Aujourd’hui cette norme est à sa

version 3 après avoir commencé à la version 1 et transiter vers la version 2. Le nombre de clés publiques est souvent très important à gérer pour un utilisateur. C’est pourquoi l’on fait appel à une infrastructure à clef publique.

          1. Infrastructure à clef publique

Une Infrastructure à clef publique (Public Key Infrastructure, PKI) ou encore un tiers de confiance est un système de gestion des clefs publiques prévus pour une utilisation à grande échelle. Les entités fonctionnelles d’une PKI sont [16]:

  • l’autorité de certification est chargée de signer les certificats, à la demande de l’autorité d’enregistrement, et de publier les certificats dans un annuaire ;
  • l’autorité d’enregistrement contrôle les demandes de certificats et les accorde ou non suivant une politique de certification précisée par l’organisme qui la gère. L’autorité d’enregistrement peut annuler des certificats qu’elle a créées ;
  • le demandeur est la personne désirant faire certifier ses données d’identité et sa clé publique auprès de l’autorité d’enregistrement ;
  • l’annuaire est une base de données servant à contenir notamment les certificats générés par l’autorité de certification ainsi que des listes d’annulation ;
  • le vérificateur de certificats est une fonction chargée de valider un certificat qui lui est présenté, en vérifiant notamment la signature de l’autorité émettrice et le fichage possible du certificat dans une liste noire (CRL, Certificate Revocation List) ;

Les clefs de cryptographie, les signatures électroniques et les certificats électroniques ont besoin de représentations simples; pour ce faire, des formats et codes sont proposés.

        1. Les PKCS, Les Codes QR et MRZ
          1. Les PKCS

Les PKCS (Public Key Cryptographic Standards), ou standards de cryptographie à clé publique, sont un ensemble de spécifications conçues par les laboratoires RSA en Californie [15]. Deux PKCS retiennent notre attention. Il s’agit notamment du PKCS#7 et du PKCS#12. Le PCKCS#7 (Cf. RFC 2315) est utilisé pour signer et/ou chiffrer des messages dans le cadre d’une infrastructure à clé publique [15]. Il sert également à la transmission de certificats. Le PKCS#12 quant à lui définit un format de fichier généralement utilisé pour stocker la clé privée et le certificat de clé publique correspondant en les protégeant par un mot de passe.

        1. Les codes QR et MRZ

Un code QR (Quick Response) est une image en 2 dimensions qui permet de coder un texte sur une très petite surface. Pour décoder la chaine de caractère encodée, il suffit d’un scanner de code QR. Le scanner prend en paramètre l’image du code QR et renvoie en retour le texte correspondant. Ce scanner peut être embarqué dans un Smartphone ou être disponible sous forme de e-services. La figure 2.6 présente la structure d’un code QR.

[5_analyse-des-signatures-electroniques-enjeux-et-solutions_7]

Figure 2.6 : Structure d’un code QR [17]

Il existe 40 versions de code QR en fonction de leurs résolutions, de la version 1 (21×21) à la version 40 (177×177). Les scanneurs embarqués des smartphones ne peuvent supporter des versions au-delà de la version 10. Ceci est dû à la faible résolution des caméras embarquées.

        1. MRZ

[5_analyse-des-signatures-electroniques-enjeux-et-solutions_8]Une zone de lecture automatique, ou zone de lecture optique (en anglais Machine- Readable Zone, MRZ) est une zone sur un document officiel, réservée à la lecture, à l’identification et à la validation de ce document [18]. Généralement, il s’agit d’une chaine de caractères alphanumériques s’étalant sur deux à trois lignes et contenant des champs séparés par une suite de symbole « < ». La figure 2.7 présente un exemple de MRZ sur une carte d’identité.

Figure 2.7 : Aperçu de MRZ [18]

Il se dégage alors que la signature et la certification électronique renforcent le lien de confiance entre deux entités effectuant des échanges dans le monde numérique. Mais le plus

souvent, les clients préfèrent se rendre physiquement chez leurs fournisseurs et ont alors besoin d’un guide pour leurs renseigner de la situation géographique de ce fournisseur.

Les Systèmes d’Informations géographiques

2.1.4.1 Définition

Un SIG (Système d’Information Géographique) est un système informatique permettant à partir de diverses sources de rassembler, d’organiser, de gérer, d’analyser, de combiner, d’élaborer et de présenter des structures de l’information géographique. Les domaines d’applications des SIG sont aussi nombreux que variés. Il permet entre autre : d’établir les cartographies rapides ; fournir des itinéraires, des plans adoptés ; de gérer unes multiplicités d’informations attributaires sur des objets ; etc. La figure 2.8 est un aperçu d’un SIG [19].

[5_analyse-des-signatures-electroniques-enjeux-et-solutions_9]

Figure 2.8 : aperçu d’un SIG [19]

Il existe deux modes de représentation graphique de données dans un SIG : le mode Raster et le mode Vectoriel. Les Rasters sont de simples photographies composées d’unité élémentaires appelées pixels tandis que les images vectorielles sont composées d’un ensemble de points composés chacun de coordonnées géographiques qui servent à les repérer à la surface de la Terre.

Une coordonnée géographique est caractérisée par sa latitude (mesure de l’arc du méridien passant par ce point, compris entre l’équateur et la Parallèle de ce point), sa longitude (mesure de l’arc de l’équateur entre le méridien qui traverse ce point et le méridien d’origine) et son altitude qui est la hauteur entre ce point et le niveau de la mer.

Une Carte géographique est la représentation d’un espace géographique qui met en valeur l’étendu de cet espace, sa localisation relative par rapport aux espaces voisins, ainsi que la localisation des éléments qu’il contient. Pour élaborer, un SIG nous avons besoin de sources de données fiables. Les différentes sources de données sont : les prises d’images satellitaires, les missions aériennes, les images prises par des drones, les levées topographiques, les cartes (donnée Raster), l’utilisation du GPS, etc.

2.1.4.2 Le GPS [19]

GPS (GLOBAL POSITIONNING SYSTEM) est un système qui donne les informations sur le temps, la position et la vitesse de n’ importe quel objet disposant d’un récepteur approprié, n’ importe où et n’importe quand sur la surface de la terre. Le système GPS comprend au moins 24 satellites évoluant dans l’orbite terrestre à une altitude de 20000 kilomètres environ.

Ils fonctionnent par triangulation et permettent de déterminer facilement une localisation. Trois satellites envoyant simultanément des signaux au récepteur. Le récepteur déduit sa position à partir des signaux tout en corrigeant l’erreur grâce à un quatrième satellite. Au sol, les appareils de géolocalisation GPS comme on trouve dans les automobiles ou les Smartphones ont des antennes qui captent des signaux, un récepteur GPS note l’heure à laquelle le signal a été émis et en déduit le temps mis pour accomplir ce trajet.

Les ondes radio se propagent à la vitesse de la lumière, on peut donc en déduire la distance au satellite.

________________________

14 Wikipédia, dernière modification le 15 septembre 2021.

15 Wikipédia, dernière modification le 15 septembre 2021.

16 Wikipédia, dernière modification le 15 septembre 2021.

17 Wikipédia, dernière modification le 15 septembre 2021.

18 Wikipédia, dernière modification le 15 septembre 2021.

19 Wikipédia, dernière modification le 15 septembre 2021.

Questions Fréquemment Posées

Qu’est-ce qu’une signature électronique ?

La signature électronique est définie comme des données ajoutées à une unité de données, permettant à un destinataire de prouver la source et l’intégrité de l’unité de données et protégeant contre la contrefaçon.

Comment fonctionne l’horodatage dans la signature électronique ?

L’horodatage est un mécanisme qui consiste à lier une signature à une date dans le but d’empêcher la réutilisation de la signature à une autre.

Quels sont les algorithmes utilisés pour la signature électronique ?

Les algorithmes utilisés pour la signature électronique incluent RSA et ELGAMAL, qui sont des algorithmes de chiffrement asymétrique.

Rechercher
Télécharger ce mémoire en ligne PDF (gratuit)
Lire aussi :
  1. Comment la méthodologie transforme la dématérialisation des abonnements chez CAMTEL ?
  2. Comment optimiser les abonnements chez CAMTEL ? Analyse des résultats
  3. Comment le cadre théorique révolutionne la dématérialisation chez CAMTEL ?
  4. Quelles applications pratiques des e-services améliorent la sécurité ?
  5. TZORNEU NGANSOP PATRICK

Si le bouton de téléchargement ne répond pas, vous pouvez télécharger ce mémoire en PDF à partir cette formule ici.

Laisser un commentaire

Votre adresse courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Scroll to Top