Une signature virtuelle par e-mail et SMS
Le 19 novembre dernier, Magicaxess a ouvert son service d'e-mail signé sur
la Toile. C'est la réponse de Gilles Kremer et de Martin Lafon, les deux
fondateurs de Magicaxess, à la délicate problématique de la signature
électronique sécurisée. Leur application répond en effet à la définition de la
signature électronique précisée dans le cadre de la loi du 13 mars 2000. Ses
exigences ? Que cette méthode d'identification soit liée uniquement au
signataire, qu'elle soit créée par des moyens que le signataire garde sous son
contrôle exclusif et qu'elle garantisse à l'acte auquel elle se rapporte un
lien, de telle sorte que toute modification ultérieure des données soit
détectable. D'où l'idée des concepteurs de Magicaxess, d'associer les deux
moyens de transmissions d'information les plus usuels dans l'univers
professionnel : l'ordinateur, avec le courrier électronique, et le téléphone
mobile GSM, avec les SMS. Une restriction toutefois : pour l'environnement Mac,
ce service ne sera accessible qu'à partir de février 2002.
AUTORITÉ D'ENREGISTREMENT ET DE CERTIFICATION
Pour
l'heure, Magicaxess s'adresse aux PME/PMI qui pourront ainsi gérer leurs
relations fournisseurs ou clients via le Net. Mais la jeune société lorgne déjà
vers les grands comptes qui, dans ce cas, devraient se voir offrir du sur
mesure. D'autant que, pour eux comme pour les PME/PMI, l'abonnement entre dans
les frais de fonctionnement généraux. Contrats et autres bons de commande
seront donc authentifiés et auront valeur de preuve en cas de litige. Car si
Magicaxess ne conserve pas au-delà d'une quinzaine de jours les documents
stockés sur son interface, la société garde, en revanche, la trace des
transactions effectuées. La technologie développée pour sécuriser l'ensemble
des transactions, en particulier l'hébergement assuré par Thales Secure
Solutions, repose sur des exigences semblables à celles du milieu bancaire.
Au-delà des habituels logs-in et mots de passe, les ingénieurs ont en effet
créé une salle blanche où se concentrent la plate-forme PKI et les clefs
privées des utilisateurs. Magicaxess, parce qu'il répond ainsi aux critères de
sécurité définis par la loi, fonctionne à la fois comme autorité
d'enregistrement et de certification. Une double casquette qui devrait lui
permettre de se positionner parmi le peloton de tête des acteurs du marché de
la certification.
Le fonctionnement du service
L'abonné (23 euros HT pour un an et 31 euros pour l'achat d'un carnet de 20 signatures) dépose sur le site Magicaxess les documents qu'il souhaite envoyer et fournit l'adresse e-mail et son numéro de portable. Il reçoit alors un SMS lui indiquant une suite de chiffres, son sceau unique pour ladite transaction. Il n'a plus alors, pour valider l'acte et la signature, qu'à saisir ce sceau sur l'interface web. Côté réceptionnaire qui, lui, n'a nul besoin de figurer parmi les abonnés, un e-mail l'avertit, à son tour, qu'un document signé lui a été adressé. Figure dans cet e-mail une adresse URL unique à cliquer. Il reçoit, en même temps, un SMS sur son portable lui précisant son sceau qu'il n'a plus ensuite qu'à inscrire sur la plate-forme web pour s'authentifier et accéder enfin au document.