Le certificat, une clé de l’achat sûr

Rares sont, parmi le grand public, les internautes qui connaissent le rôle d’un certificat. De l’aveu des professionnels concernés, personne ou presque n’utilise aujourd’hui (à titre privé) cette sorte de carte d’identité électronique en France. Pourtant, elle occupera une place de choix dans les technologies de commerce électronique « sécurisé » qui se préparent. Le certificat permet au moins aux marchands en ligne d’être sûr de l’identité d’un client, d’où moins de risque de fraude. Ce document électronique pourrait aussi devenir une pièce incontournable pour prouver l’acte d’achat en cas de contestation.

Déjà, quelques entreprises de l’Hexagone ont franchi le pas. Chez le spécialiste français CertPlus, on compte parmi les clients plus d’une trentaine de PME et quelques grands comptes qui ont recours aux certificats pour valider des commandes en interne ou sécuriser l’échange de courrier électronique. En effet, le certificat est systématiquement associé au cryptage, rendant les données et l’identité d’un interlocuteur confidentiels.

A partir de la semaine prochaine, La Poste et Sagem devraient frapper fort dans le domaine des certificats avec une offre ficelée par leur récente société commune Certinomis. Pour les particuliers, c’est le certificat « Personae » de Certinomis qui deviendra l’équivalent d’une carte d’identité sur Internet. La formule est payante : avant de l’obtenir, il faudra débourser 150 francs et envoyer par courrier la photocopie d’une facture EdF ou d’une quittance de loyer, ainsi que celle de sa carte d’identité habituelle. Si l’on souhaite renforcer le degré de sécurité du certificat, on pourra aussi se rendre directement dans un bureau de poste pour un contrôle effectué par un guichetier. Mais il faudra payer un supplément… En contrepartie, on peut se tourner vers un certificat 100 % gratuit (voir édition du 30 mars 2000), mais son authenticité ne pèsera pas lourd lors d’un achat en ligne.

Les données du certificat peuvent être stockées sur le disque dur de l’internaute. Un choix critiquable par manque de sûreté. « Dès l’été, le certificat pourra être stocké sur une carte à puce », précise Inès Sen, présidente de Certinomis. Le recours à la carte à puce limite la possibilité de voir un hacker s’emparer des informations personnelles rangées dans le certificat, après une intrusion dans l’ordinateur. La solution de Certinomis sera compatible avec le lecteur de cartes de Cyber-Comm et l’on retrouve le même point faible, à savoir que le lecteur de carte à puce sera payant (environ 400 francs). Enfin, pour les travailleurs nomades, on prévoit l’arrivée d’une version stockée sur une carte PC Card (PCMCIA).

Des banques ou même certains services de l’Etat ne manqueront pas de proposer leurs propres formules de certificats, pour des opérations bancaires ou même, à terme, payer ses impôts. On trouvera même quelques polices d’assurance à la clé. Ainsi, Certinomis garantit à l’internaute, grâce à un partenariat avec Axa (également partenaire de Fia-Net, voir notre édition du 16 mai 2000), qu’il sera remboursé si un pirate réalise un achat frauduleux en détournant son certificat. Le métier de la société CertPlus est d’ailleurs de fournir aux entreprises la possibilité de délivrer des certificats estampillés à leur nom. Ainsi, le lecteur de carte Cyber-Comm fait appel aux services de CertPlus.

Pour l’instant, les marchands du Web ne sont guère nombreux à exiger un certificat pour connaître leur client. Simplement parce que personne ou presque n’en possède. Peut-être deviendront-ils un jour incontournables pour les achats importants (voiture, bijoux), au-delà d’un certain montant. Quoi qu’il en soit, sur le plan officiel, le véritable feu vert officiel pour le grand public aura lieu avec la publication des décrets d’application de la loi sur la signature électronique (voir édition du 2 mars 2000). D’ici là, les techniques de paiement sécurisé continueront d’alimenter leur lot de nouveautés.

Pour en savoir plus :

* CertPlus

* Certinomis, à partir du 22 mai 2000