Infrastucture à clé publiques de la profession notariale

Qu'est-ce qu’une Infrastructure à clés publiques (ICP) ?

La popularité grandissante d'Internet et l'avènement des transactions électroniques sur des réseaux ouverts suscitent de nombreuses inquiétudes. Les transactions sont-elles
confidentielles ? Comment s'assurer de l'identité et de la qualité de l'expéditeur et du destinataire ? Comment se protéger contre l'altération et la falsification des transactions ?

La réponse à ces inquiétudes est l'Infrastructure à clés publiques (ICP), qui est constituée de politiques, d'une autorité de certification, de services de gestion, de logiciels cryptographiques utilisant une cryptographie à clés publiques et des signatures numériques. Les mécanismes d'une ICP offrent, tant sur le plan technique que juridique, les garanties suivantes :

  • la confidentialité des transactions électroniques;
  • l'intégrité et l'intégralité des transactions électroniques;
  • la vérification de l'identité de l'expéditeur et du destinataire.

Qu'est-ce qu'une autorité de certification ?

Une autorité de certification est une composante principale de l'Infrastructure à clés publiques (ICP). Il s'agit d'un tiers de confiance qui est chargé d'émettre des certificats numériques et de les gérer tout au long de leur période de validité. Les certificats numériques sont des dossiers électroniques contenant la clé publique de l'utilisateur et de l'information précise permettant d'identifier l'utilisateur. Ils sont à l'abri de la manipulation et ne peuvent pas être contrefaits. L'autorité de certification certifie que la personne à qui on accorde le certificat numérique est bien qui elle prétend être.

L'Infrastructure à clés publiques de la profession notariale
(ICP notariale)

La Chambre des notaires du Québec s'est dotée d'une Infrastructure à clés publiques (ICP) basée sur la cryptographie symétrique et asymétrique s'alliant à un processus formel de certification. Le choix retenu par la Chambre des notaires repose sur des mécanismes robustes permettant de s'assurer d'un niveau de sécurité équivalent, sinon supérieur, aux processus actuels basés sur le papier.

L'ICP notariale permet notamment de s'assurer :

  • de la confidentialité de la transaction : la transaction est encodée de telle sorte que seul le destinataire peut la décoder avec sa clé privée
  • de l'intégrité et l'intégralité de la transaction : le destinataire est assuré que la transaction n'a pas été altérée et qu'elle est reçue en entier.
  • de l'identité de l'expéditeur : le destinataire peut vérifier l'identité de l'expéditeur et la validité de son certificat en consultant le répertoire et les listes de certificats révoqués du Centre de certification maintenu par Notarius. Ce répertoire permet de vérifier si le certificat d'identité de l'expéditeur est toujours valide ou s'il a été révoqué ou suspendu. Ce qui permet au destinataire de s'assurer que les conditions nécessaires à la validité de la transaction sont rencontrées ou non.

Sécurité technique et sécurité juridique

Le système de clés asymétriques et symétriques permet de chiffrer l'information transmise de façon à ce que seuls les destinataires choisis puissent en prendre connaissance, ce qui assure la confidentialité de l'information. De même, ce procédé fait en sorte que la moindre altération du document lors de sa transmission est immédiatement détectée, puisqu'une modification du document, même la plus légère, entraîne l'impossibilité de le déchiffrer. Avec cette garantie, il est certain qu'il y aura conformité entre l'information transmise par l'utilisateur et celle reçue par le destinataire. Ce procédé repose sur des normes reconnues mondialement, tant au niveau des algorithmes permettant de générer les clés, que des répertoires et des certificats basés sur les normes X.500 et X.509.

Au point de vue juridique, la certification de l'identité d'un signataire d'un document et de sa qualité en tant que membre de l'Ordre est assurée par le prestataire de services de certification (PSC), en l'occurrence la Chambre des notaires du Québec. Le PSC inscrit les informations vérifiées dans les certificats attachés aux clés privées et publiques du détenteur.

Rôles et responsabilités du prestataire de services de certification (PSC)

La Chambre des notaires du Québec, prestataire de services de certification, est l'entité reconnue pour assurer la gestion globale de l'ICP notariale. L'émission et la gestion des clés et des certificats de l'ICP notariale sont assumées par Notarius.

Le fonctionnement de la signature numérique en détails

Les clés publiques et les clés privées

Chaque détenteur se voit attribuer une paire de clés publiques et une paire de clés privées. Les clés publiques sont disponibles pour les autres détenteurs dans la base de données du répertoire X.500. Elles servent à protéger la confidentialité d'un document et à vérifier la signature d'un autre détenteur.

Les clés privées sont détenues uniquement par le détenteur. L'une sert à signer un document électronique et l'autre à le déchiffrer pour en vérifier l'intégrité.

Afin de s'assurer de la validité d'une signature, le destinataire doit consulter la liste de certificats révoqués publiée par l'ICP notariale. La consultation de la liste de révocation se fait automatiquement avec le logiciel Entrust, technologie privilégiée par la Chambre des notaires, à chaque fois que le détenteur effectue une vérification en ligne.

Les clés et les certificats émis par l'ICP notariale sont valides pour une période de deux ans. Ils sont renouvelables automatiquement, environ deux mois avant la date d'échéance, lors de l'utilisation en ligne du logiciel client fourni par le prestataire de services de certification (PSC).

Par ailleurs, les certificats des utilisateurs sont signés par l'autorité de certification (Chambre des notaires) à l'aide de sa clé privée de signature. Un utilisateur peut ainsi vérifier la validité et l'intégrité du certificat émis par l'autorité de certification en utilisant sa clé publique de vérification et en consultant les listes de révocation propres aux autorités de certification.

Les certificats

Les certificats sont émis conformément à la norme X.509 et sont signés par l'ICP notariale pour en assurer l'intégrité. Ils contiennent notamment les éléments de base suivants:

  • le nom du détenteur;
  • le nom de l'autorité de certification;
  • la date d'émission et d'expiration du certificat;
  • un numéro de série unique attribué au certificat;
  • la signature de l'autorité de certification;
  • la clé de vérification de signature ou la clé publique d'encodage, selon le cas;
  • la version de la norme X.509 utilisée;
  • le nom distinctif de la liste de révocation correspondante;
  • l'identifiant de politiques.

Les listes de certificats révoqués

Les listes de certificats révoqués publiées par l'ICP notariale contiennent les numéros de série des certificats révoqués. Elles indiquent également la date et l'heure de la révocation et sont signées à l'aide de la signature numérique de l'autorité de certification pour en assurer l'intégrité. Elles sont mises à jour au minimum à toutes les quatre heures par l'autorité de certification.

La Certification croisée ou réciproque

L'interconnexion des systèmes rend inévitable le besoin de communication entre utilisateurs d'ICP différentes. La certification réciproque permet aux usagers de deux autorités de certification indépendantes de transiger en confiance. Puisque les normes de certification peuvent varier d'une ICP à l'autre, avant d'établir une certification croisée, les deux ICP doivent comparer leurs politiques pour assumer l'équivalence du niveau de confiance entre les deux ICP. La certification croisée s'effectue sur la base d'ententes de réciprocité entre les autorités détenant des ICP, lesquelles doivent s'assurer que la chaîne de validité et de sécurité ne soit compromise.