Thawte défend sa carte d’identité numérique

Pour qu’un commerçant ou un prestataire de service soit sûr de l’identité de l’internaute qui signera son contrat, l’une des solutions repose sur les certificats. Or ce cheval de bataille de la société Thawte, filiale depuis peu du géant Verisign, reste encore méconnu. En France, on ne compterait que quelques centaines de porteurs de certificats, autrement dit d’une signature électronique authentique. D’où l’intérêt de l’initiative du partenaire français TBS, qui présente un service inédit, apparemment plus « fluide » que de coutume.Son site fournit la démonstration de l’une des premières offres mondiales qui lance automatiquement une procédure d’identification par courrier électronique, après que l’internaute a cliqué pour accepter un contrat d’achat, d’assurance, etc. L’application, finalisée il y a peu, n’a pas encore de nom et son prix n’est pas défini. Alors que d’autres logiciels impliquent une confirmation active en communiquant par e-mail, l’application se charge de l’affichage des contrats, de l’obtention et du contrôle automatique des certificats des internautes, chiffrés à l’aide de la technologie PGP ou S/MIME. L’opération fournit au marchand un recours en cas de litige et le consommateur obtient un document qui justifiera sa commande. Un point utile pour réclamer un achat en cas de retard de livraison…Un tel système reste soumis au succès des certificats. Pour obtenir ce passeport électronique, les internautes ont plusieurs solutions. La première est de remplir une fiche d’identité via Internet (disponible sur le site de Verisign), mais elle ne constituera pas une signature valable tant qu’une vérification physique n’a pas lieu. L’étape suivante et obligatoire est de se présenter muni d’une pièce d’identité au guichet d’un organisme certifié. En France, Verisign donne sa confiance à un réseau d’environ 70 centres accréditeurs, majoritairement en région parisienne. L’autre solution consiste à consulter un avocat ou un notaire, mais ce choix de proximité est payant. Bref, la confrontation physique avec la photo permet de garantir une authentification maximale et sert à valider le certificat.Sur le site de Thawte, la simulation de la signature d’un contrat passe par la création d’un certificat sur le service gratuit Freemail. Il faut fournir son nom, sa date de naissance, l’adresse de son domicile, etc. Il faut surtout donner le numéro à 12 chiffres de la carte d’identité en plastique (délivrée gratuitement par les préfectures) Ce numéro n’existe ne figure pas sur les cartes en papier. Pour donner un minimum de validité au certificat, Verisign confrontera ensuite à la main les données avec celles du ministère de l’Intérieur, qui refuse (heureusement) l’accès automatisé à ses fichiers. On valide ensuite une transaction ou un contrat en fournissant un mot de passe entre 6 et 20 caractères. Mieux vaut ne pas l’oublier, car il faut payer 20 dollars (environ 140 francs) pour le retrouver.Alors que Cyber-Comm s’apprête à lancer une solution concurrente à partir de lecteur de carte à puce (voir édition du 25 janvier 2000), les modalités d’utilisation des certificats devraient évoluer. Depuis l’adoption de la loi sur la signature électronique (voir édition du 2 mars 2000), on attend les décrets qui préciseront comment obtenir son certificat et auprès de qui. La confiance sera à terme un point crucial, car le risque existe d’une exploitation commerciale des fichiers constitués à partir des demandes de certificat. Pour en savoir plus : L’offre Thawte de TBS