« What You See Is What You Sign » - mode d’emploi

BLOG INVITÉ – What You See Is What You Sign (WYSIWYS) se réfère à la phase du processus de signature dans laquelle le signataire prend connaissance du document à signer, s’assure de sa validité, et en accepte les termes, explique Jan Kjærsgaard, responsable en chef de la cryptographie chez Cryptomathic, société leader en signature électronique sécurisée.

Lorsque vous lisez un texte en ligne, comment vous assurer de son authenticité et de la fiabilité de sa source ? Dans le monde dématérialisé, l’expérience WYSIWYS est une phase du processus de signature global impliquant plusieurs étapes :

  1. Préparation du document (ou de la transaction)
  2. Lecture du document par le signataire
  3. Approbation du document par le signataire
  4. Création de la signature
  5. Effectivité des termes du document (ou de la transaction)

Téléchargez la checklist : «6 points essentiels à prendre en compte lors du choix d’une solution d’e-signature »


Un canal d’authentification mutuelle

Les étapes 1 et 5 concernent le document proprement dit, dont les termes nécessitent d’être approuvés afin d’être effectifs. N’importe quel type de document ou de transaction peut être concerné, qu’il s’agisse d’une simple déclaration fiscale ou d’un important contrat commercial. Une fois les termes lus et approuvés, le processus nécessitant la signature du document peut se poursuivre, qu’il s’agisse de l’ouverture d’un compte bancaire, de l’achat d’un bien immobilier, du contrôle d’une déclaration, d’un transfert d’argent, etc.

L’étape 2 concerne la présentation au signataire, via son navigateur web, du document requérant sa signature. Avant d’approuver le document, le signataire doit s’assurer de son authenticité en vérifiant que la source du document est valide et que la connexion est bien sécurisée (affichage d’un symbole en forme de verrou, ou autre symbole équivalent selon le navigateur, au niveau de l’URL de la page). De la même façon, le système ne permettra pas au signataire d’accéder au document avant que celui-ci ne se soit authentifié de façon sécurisée. Afin que le système distant et l’utilisateur puissent avoir confiance l’un en l’autre, les échanges peuvent transiter par un canal d’authentification mutuelle.

La facilité d’utilisation est essentielle

Lorsque la signature doit s’effectuer en ligne, l’interface utilisateur doit être pratique à utiliser, et accessible depuis tout type de périphérique. Dès lors qu’il est nécessaire de disposer de tel équipement spécifique, ou d’installer tel logiciel dédié, et que le signataire ne peut accéder au document à l’aide de l’appareil qu’il utilise habituellement, l’utilisateur peut être tenté de se tourner vers une solution plus conviviale.

La facilité d’utilisation concerne également les clés de chiffrement ainsi que les processus mis en œuvre, tout comme l’obligation pour le signataire d’accepter les conditions d’utilisation du service de signature. Si le contenu du document doit être compris et approuvé par le signataire, ce dernier n’a pas pour autant à se préoccuper de l’infrastructure à clés publiques impliquée dans le processus. Dans le monde dématérialisé, l’utilisateur ne visualise pas les données réelles qu’il valide par sa signature. En effet, le système d’e-signature décrypte et affiche ces données, via un navigateur web, sous une forme lisible par un humain.

Création d’une interface de confiance dans le navigateur

Le concept WYSIWYS implique que soit établie la confiance dans les transactions électroniques, afin que les utilisateurs puissent être certains de l’authenticité des informations qui leur sont présentées et qu’ils doivent valider. Par conséquent, WYSIWYS nécessite la protection des processus de signature contre les actes de malveillance, tels que des tentatives d’interception des échanges.

Une approche de mise en pratique de WYSIWYS consiste à décrypter les données sur un serveur distant, avant de présenter les données décryptées à l’utilisateur via son navigateur web. Dans cette approche, il s’agit de créer une interface de confiance, aussi simple d’utilisation que possible pour l’utilisateur, permettant à ce dernier de lire et de signer tout type de document sur PC, tablette ou smartphone, sans avoir à installer quelque logiciel que ce soit.

Aucun logiciel spécifique n’est requis

Cette approche présente plusieurs avantages. Dans la mesure où le document à signer (qu’il soit au format PDF ou XML) est stocké sur un serveur distant et n’est jamais transféré intégralement au navigateur client, l’authenticité du document signé peut être certifiée. L’affichage de données décryptées dans un navigateur est un processus basique, qui ne nécessite pas l’installation d’un logiciel spécifique.

Mais l’activation, au sein du navigateur, des outils sophistiqués nécessaires à la production de signatures électroniques dites « qualifiées » (QES, pour Qualified Electronic Signatures), est une tâche beaucoup plus délicate. Ce type de signatures nécessite en effet la collecte et le traitement de données relatives, entre autres, aux certificats, à la révocation de ceux-ci, ainsi qu’à l’horodatage. C’est la raison pour laquelle il est recommandé de confier ces tâches à une infrastructure dédiée.

Le plus haut niveau de sécurité

Une fois que le signataire a pris connaissance du contenu du document et l’a approuvé (étape 3), la signature électronique peut être créée (étape 4). Via un protocole sécurisé, le signataire devra typiquement présenter, depuis le client web vers le composant du système distant qui a accès à la clé de signature, un ou deux facteurs d’authentification afin d’activer cette clé. Le protocole sécurisé utilisé ainsi que le processus d’authentification du signataire garantissent la validité de la signature.

Convenablement implémenté, le concept WYSIWYS offre les plus hauts niveaux de sécurité, de non-répudiation et de facilité d’utilisation.

Checklist : 6 points essentiels à prendre en compte lors du choix d’une solution d’e-signature