Rien ne s'oppose plus, ou presque, à ce que la signature électronique fasse, au Luxembourg, son entrée dans le monde des affaires et dans la vie de tous les jours. Adopté le 10 juin dernier dans la plus grande discrétion, un règlement grand-ducal relatif « aux signatures électroniques, au paiement électronique et à la création du comité 'commerce électronique' » instaure une présomption de fiabilité en faveur des signatures électroniques sécurisées. Le texte définit les règles du jeu pour les autorités de certification, chargées de la gestion des clefs publiques. Pour les définir très schématiquement, ces prestataires de services sont les garants de l'authenticité et de l'intégrité d'un document transmis par voie électronique et de l'identité de la personne, morale ou physique, qui les envoie ou les reçoit.
La reconnaissance de la signature digitale ouvre le marché de la certification qui donnera ses vraies possibilités à Internet et fera de la signature numérique un outil de la vie des affaires et de la vie tout court avec, par exemple, la possibilité de voter sur Internet ou de remplir sa déclaration d'impôt en ligne.
Embryonnaire aujourd'hui, la certification électronique devrait peser 4,6 milliards de dollars en 2006 selon une analyse de la firme Datamonitor. Au Luxembourg, l'activité de certification est encore réduite à sa plus simple expression : une poignée de prestataires, dont la Chambre de Commerce, vendent à quelques banques, entreprises de télécommunication ou sociétés d'assurances des certificats dont les degrés de sécurité varient. Les applications sont souvent limitées à la sécurisation du courrier électronique, bien que la jeune société Eusign, qui travaille surtout avec des clients étrangers, propose depuis le début de l'année des solutions d'application pour l'Internet sécurisé très élaborées. Eusign devrait proposer, d'ici quelques semaines, un logiciel baptisé Bridge CA, qui permettra de rendre interopérables entre eux les différents prestataires de certification électroniques en Europe, ce qui est loin d'être le cas aujourd'hui. Il existe par exemple trois infrastructures à clefs publiques en France (les PKI dans le jargon informatique) qui ne sont pas compatibles entre elles, alors qu'elles émanent toutes d'initiatives du secteur public.
Alliée depuis janvier 1999 à Globalsign, la Chambre de Commerce a vendu péniblement l'année dernière une petite centaine de certificats dont une trentaine de certificats dits serveurs représentant le plus haut degré de sécurité.
Attirés par les grands desseins de la communauté financière luxembourgeoise, les opérateurs d'application informatiques pour la signature numérique sécurisée s'impatientent devant les tergiversations sans fin des banquiers.
La société Eurosigncard s'est séparée fin juin de son directeur technique, l'Américain David Sweigert, présenté comme l'un des plus grands spécialistes mondiaux de la signature digitale. Sweigert avait été embauché pour travailler sur le projet d'infrastructure PKI interbancaire Lux-Trust. Mais comme cette initiative a du plomb dans l'aile, l'expert est rentré chez lui aux États-Unis. « La maturation du marché luxembourgeois interviendra en 2002, » explique, un brin optimiste, Vincenzo Rau, l'un des patrons de Eusign.
Le gouvernement, qui rêve tout haut de faire du Grand-Duché un centre d'excellence européen de la cryptographie, a engagé, dans le cadre du programme e-Luxembourg, des projets qui permettront aux citoyens d'effectuer certaines démarches administratives par téléprocédures. Mais le Luxembourg accumule un très grand retard par rapport à des pays qui ont les mêmes ambitions internationales. La mise en ligne des déclarations de TVA, qui est le projet le plus avancé, n'interviendra pas avant deux ans à l'Administration de l'enregistrement et des domaines. Or, en France, le ministère des Finances oblige depuis le début de l'année les entreprises qui réalisent un chiffre d'affaires de plus de 100 millions de francs français, à remplir leurs déclaration de TVA par Internet.
Pour l'heure les start-up ne se poussent pas au portillon et l'État luxembourgeois hésite à lancer une ou plusieurs plate(s)-forme (s) PKI qui représentent des investissements extrêmement lourds à l'échelle d'un pays de moins de 450 000 habitants.
La place financière de Luxembourg a vu, elle aussi, dans l'e-business, une seconde vie et la possibilité de renouveler, à l'échelle internationale, le même succès qu'elle a rencontré dans l'activité de gestion de fortune et dans celle des fonds d'investissement. Les enjeux sont donc vitaux pour les banques qui veulent conserver la maîtrise des transactions financières dans le monde numérique.
Mais là encore, les choses ne sont pas faciles et entre les intentions et la réalité, il y a comme un fossé numérique. Le projet de plate-forme de certification de signatures électroniques Lux-Trust, réunissant un consortium des plus grandes banques de la Place, est au point mort depuis quelques mois.
L'Association des banques et banquiers Luxembourg (ABBL) avait demandé l'année dernière au consultant PricewaterhouseCoopers d'étudier le potentiel de la certification électronique bancaire au Luxembourg. Les consultants avaient conclu que seul un trust center interbancaire à vocation internationale, et offrant donc l'interopérabilité, pouvait être rentable à l'échelle du pays. Au mois de décembre dernier, le consortium a chargé Cetrel, qui pourrait techniquement accueillir une grosse infrastructure à clefs publiques, de coordonner le projet et de sélectionner les meilleures solutions du marché. Il faut dire qu'il n'y a pas, à l'heure actuelle, de standards PKI à cent pour cent interopérables permettant, par exemple, au client de la banque X de faire des transactions électroniques sûres avec le client de la banque Y qui travaille avec d'autres normes. Or, la place financière étant internationale, il est indispensable de mettre en place une infrastructure de certification compatible avec les normes internationales qui s'imposeront demain. Autant dire que le choix ressemble à une partie de poker.
« Le secteur bancaire a perdu trop de temps en études avec des résultats médiocres, » déplore néanmoins un opérateur. Aujourd'hui, Lux-Trust est laissé en déshérence même si ses promoteurs refusent de parler d'échec. Le rêve d'un Clearstream de la signature électronique a tout l'aspect d'un soufflet retombé.
« L'ABBL a dû changer son fusil d'épaule et s'est maintenant tournée vers l'État pour voir dans quelle mesure il serait possible de mettre en commun une infrastructure PKI commune à toute l'économie luxembourgeoise et au secteur public, » explique un autre opérateur plutôt dubitatif sur les chances de voir cette initiative aboutir.
Le gouvernement luxembourgeois n'a pas encore pris de décision à ce sujet, mais il est clair que les responsables politiques sont déçus par la timidité, et c'est un euphémisme, avec laquelle le secteur privé s'engage dans l'e-business. « Les banques attendent le gouvernement et le gouvernement attend les banques pour investir et l'avantage compétitif que nous avions pris en étant parmi les premiers en Europe à adopter une loi sur le commerce électronique est en train de disparaître, » se plaint un opérateur.
Le ministre responsable de e-Luxembourg, François Biltgen a chargé le centre de recherche public Henri Tudor de réaliser une nouvelle étude pour déterminer les besoins exacts du marché de la certification électronique au Luxembourg. Cette énième étude sera prête à la fin du mois d'octobre. Il ne faut donc pas s'attendre à un déblocage de la situation avant cette date.
Peu d'initiatives de trust center interbancaire à l'échelle d'une nation ont été plus loin que le stade des cartons. Swiss Key, par exemple, équivalent suisse de Lux-Trust, a récemment déclaré forfait. Il est clair aussi que la situation des banques établies au Grand-Duché est un peu atypique : les centres décisionnels sont rarement sur le territoire et la plupart des maisons mères des établissements de crédit, notamment en Allemagne et en France, sont déjà parties prenantes dans des grands projets de réseaux de certification de signatures électroniques.
Certaines banques luxembourgeoises regardent donc avec des yeux de Chimène le réseau mondial Identrus pour l'authentification des signatures électroniques. Société américaine constituée en entreprise commune entre huit banques au départ, Identrus fédère aujourd'hui une vingtaine d'instituts financiers et sans doute beaucoup plus demain. La Commission européenne considère que la mise en place à l'échelle mondiale de services de certification sur des réseaux ouverts est indispensable au succès du commerce électronique en Europe. Bruxelles ne peut donc qu'encourager une initiative de type Identrus. Aussi, la tentation est-elle importante pour les banques luxembourgeoises de s'orienter, à titre individuel, vers d'autres trust center européens plutôt que d'investir dans une plate-forme qui ne pourra pas être opérationnelle avant deux ans et dont il n'est pas certain d'ailleurs qu'elle réponde aux standards internationaux du futur.
Reste enfin que la solution de plate-forme PKI commune aux secteurs public et privé n'est pas la panacée: « Il existe une forte sous-estimation de la gestion de PKI en terme de sécurité au Luxembourg, » déplore Daniel Hagen, président du Clussil, le club de sécurité informatique du Luxembourg.