Les emails recommandés
Tweet |
Une récente affaire amenée devant le conseil d’état fait ressortir le spectre du mail recommandé.
De quoi s’agit-il ? De l’article 1369-8 (qui existe depuis 5 ans déjà) qui dit qu’un courrier recommandé doit avoir la possibilité d’être envoyé par courrier électronique s’il offre les mêmes garanties qu’un courrier recommandé classique. L’article en question dit qu’un décret en conseil d’état doit préciser les modalités d’application. Comme souvent, ce décret n’a jamais existé.
Sauf que maintenant, il devra être pris dans les 6 mois, les grands sages l’ayant décidé, à la demande d’une boite qui prétend devenir intermédiaire de référence en la matière.
Reprenons. En théorie, le courrier recommandé, c’est quoi ? Le facteur se pointe chez vous, vérifie votre identité, vous fait signer un papier et vous donne votre enveloppe. Dans la vraie vie, même quand le facteur ne vous connait pas, une simple croix sur la feuille suffit pour considérer que le destinataire a reçu son courrier. C’est idiot, mais c’est comme ça.
Dans la vrai vie, je n’ai pas souvenir de gens qui se soient manifesté en prétendant qu’un courrier recommandé n’avait pas été reçu alors que l’expéditeur en avait la preuve. En tout cas pas pour des cas graves.
En matière de numérique, c’est un poil plus compliqué. Comment s’assurer qu’un destinataire donné ai bien reçu un email ? Deux solutions :
- Imprimer le courrier et le faire circuler par le réseau postal classique (ça se fait déjà et c’est bien pratique)
- Partager une clé de chiffrement asymétrique avec le destinataire (et encore, cette clé asymétrique pourrait être volée, corrompue ou perdue en cours de route)
En l’occurrence, le service proposé par la société en question (evelop-service.com) ne permet absolument pas de s’assurer de l’identité de la personne qui a reçu le courrier, le système entier reposant sur le fait que l’intéressé est le titulaire du compte email, incluant donc toute personne ayant potentiellement accès à ce compte (le fournisseur d’accès ou l’hébergeur, les membres du foyer qui ont accès à l’ordinateur, n’importe quel Jean-Kévin un minimum doué en informatique ou en ingénierie sociale, …). Ils vendent quand même pas loin de 1,50 € les 60 Mo de stockage sur leur serveur, c’est bien joué comme business plan !
La seule méthode qui puisse être mise en place sans être trop casse bonbon serait l’inscription volontaire sur un site délivrant, après vérification d’identité, un certificat numérique permettant de signer des documents et de déchiffrer ceux adressés par d’autres utilisateurs du service. Ce qui obligerai donc que le destinataire soit préalablement inscrit au service. Ça obligerai aussi à former les gens à ce qu’est une signature numérique. Pas gagné tout de suite, en somme.
En bref, on attends avec impatience le décret qui nous expliquera comment faire pour que l’envoi numérique de documents puisse avoir la même porté juridique que la lettre recommandée papier. Je parie une mousse que ce sera encore un décret en carton (ou bien un carton que ce sera un décret en mousse, au choix).
Il convient quand même de relativiser, l’article en question ne portant que sur les relations contractuelles. Ouf ! HADOPI ne pourra pas (encore) envoyer de mail recommandés !
Il serait pourtant de bon goût que les mails soient recommandés (sans remplacer la lettre). D’ailleurs j’attends toujours la réponse de M. Walter à ce sujet (suite au chat de pp).
Tu ne te mouille pas trop, quand on voit les décrets pondu par des lobys puissants, ce n’est pas une boite qui n’est pas capable de rediriger la racine de son nom de domaine vers le répertoire www qui va apprendre les bases de GPG et SSL à nos politiques…
Dommage que ça va être mal géré, l’idée n’est pas mal: chaque citoyen aurait sa paire de clefs GPG, dont il pourrait faire valider la clef publique au commissariat moyennant une solide vérification de son identité.
Ensuite, il reçoit un email chiffré avec sa clef publique, et accuse réception en signant avec sa clef privée. Le mail est alors au moins aussi fiable qu’un papier délivré par le facteur contre une croix.
@Grunt : Rien ne t’empêche de proposer cela aux personnes en charge du décret, si ?
CaCert propose de signer (sans trop vous casser les bonbons) votre certificat utilisateur valable pour l’authentification d’une adresse mail.
Moyennant des papiers officiel émanant d’un commissariat, d’un notaire ou d’un banquier, CaCert étends la certification à la personne (détentrice de l’adresse mail).
Si çà vous intéresse, bien sur :)
« Dans la vrai vie, je n’ai pas souvenir de gens qui se soient manifesté en prétendant qu’un courrier recommandé n’avait pas été reçu alors que l’expéditeur en avait la preuve. En tout cas pas pour des cas graves. »
Cela m’est arrivé, j’ai eu à montrer qu’une lettre recommandée papier ne m’avait pas été remise, et cela a été facile avec les signatures.
Et concrètement, à qui incombe la vérification des signatures ? Au facteur j’imagine ?
le système entier reposant sur le fait que l’intéressé est le titulaire du compte email, incluant donc toute personne ayant potentiellement accès à ce compte (le fournisseur d’accès ou l’hébergeur, les membres du foyer qui ont accès à l’ordinateur, n’importe quel Jean-Kévin un minimum doué en informatique ou en ingénierie sociale, …).
En quoi cela est-il différent du système de La Poste? N’importe qui présent à l’adresse indiquée peut récupérer le courrier (j’ai déjà signé pour des colis remis contre signature adressés à ma compagne, le facteur ne regarde pas votre identité, le seul moment où elle est requise, c’est au guichet…).
Notons d’ailleurs que certaines sociétés travaillent déjà sur un service postal numérique basé sur les certificats.
La différence c’est que le facteur livre (en principe) à une adresse définie et que sauf cas relativement rare, Jean-Kévin n’est pas derrière la porte de chez toi pour voler ton recommandé, le refuser ou autre. En bref, la zone de confiance est limitée au domicile ou, au pire, à l’immeuble. Sur internet, la zone de confiance, elle existe pas.
Et pour les certificat, oui, y’en a qui y bossent, mais ils sont loin d’avoir inventé la poudre …
Oui, et d’ailleurs si tu vas à la poste chercher une lettre recommandée, ils sont tenus de vérifier une pièce d’identité.
Pour les personnes morales, la poste gère un fichier des personnes habilitées à recevoir les lettres recommandées.
Pour Tom : cela signifie seulement que souvent les facteurs font confiance dans leur tournée. Ce qui pose d’ailleurs pas mal de problèmes dans des situations de divorce.
C’est aussi pourquoi dans le cas des procès, ce sont des huissiers qui remettent les courriers légaux en main propre.
J’ai lu ce soir qu’il existe une société « qui propose de transmettre, par voie postale ou électronique sécurisée, tout document (courrier, facture, fax, mail) en gardant les traces de toutes les formes de communications (vocales, ou fax/courriel, courrier physique ou télégramme) pendant dix ans sous forme cryptée et en garantissant l’opposabilité juridique des documents. » (Wikipedia)
[Message légèrement modifié, mon blog n’est pas un espace publicitaire gratuit. Quant aux solutions fournies par cette société, elles ne garantissent pas l’identité du récepteur]
Leave your response!
Dossiers
Derniers articles
Licence
Les contenus de ce blog sont, hors citations et images, sous licence Creative Common BY
Identité Ğ1
Catégories
Archives
Tags
Les autres
Mon bordel à moi
Recherches
Commentaires
Articles les plus commentés