ENTREPRISES & STRATÉGIES — Technologies

Signature électronique

YumiSign pour signer sur son smartphone



Après un an de développement, Gérard Kounkou et Charly Rohart s’apprêtent à lancer YumiSign, une solution qui permet de signer un document dans les mêmes conditions que chez un notaire.  (Photo: Maison Moderne)

Après un an de développement, Gérard Kounkou et Charly Rohart s’apprêtent à lancer YumiSign, une solution qui permet de signer un document dans les mêmes conditions que chez un notaire.  (Photo: Maison Moderne)

Après 8 années de développement et 800 clients, dont Oracle, Orange ou Verizon, la start-up eschoise RCDevs lance sa solution de signature augmentée (et qualifiée), YumiSign, à destination des entreprises et des particuliers. Ou comment signer n’importe quel contrat depuis son smartphone.

Ils sont un modèle du genre de recommandation souvent adressée aux start-up et pas si souvent entendue: «Focus business». Quatre ans après avoir quitté le Technoport et sept ans après avoir été élue Start-up de l’année, RCDevs a changé de braquet: ses 25 collaborateurs locaux, installés presque en face de l’incubateur eschois, et ses antennes dans la Silicon Valley et en France, servent 800 clients de l’industrie, du pharmaceutique, en passant par l’assurance, l’IT ou le jeu vidéo… de 50 à 70.000 salariés. Des sociétés qui sont dans le Fortune 100, comme Oracle, ou comme la Banque européenne d’investissement, Orange, Hyundai, Verizon ou Vinci, par exemple. 

Autant de prestigieux clients qui ont adopté Open OTP, sa solution de gestion des identités, physiques ou virtuelles. «Il y a deux facteurs, en 2020, qui ont dopé l’adoption de nos solutions, le Covid et la hausse des cyberattaques. La hausse des attaques avait commencé avant le Covid, mais tout le monde en parle maintenant. En mars, nous avons contracté 180 clients! C’est quand même exceptionnel, ça a été le rush pour ceux qui ont basculé en télétravail», explique ainsi son fondateur, Charly Rohart.

«Au départ, nous faisions une solution assez simple d’authentification multifacteur, plus qu’un mot de passe. L’authentification par envoi de push notification, biométrie, SMS, token physique ou logiciel. Aujourd’hui, notre offre ‘Open OTP’ n’est plus seulement un produit multifacteur, mais un IAM pour la gestion des identités, des politiques d’accès et de l’audit. C’est la sécurité au niveau logistique pour une entreprise. Ça peut être sécuriser un VPN, des infrastructures cloud réparties, l’accès au PC, la messagerie, même les wifi ou les réseaux filaires, tout ce qui peut être sécurisé avec plus qu’un mot de passe», explique-t-il.

En gros, ajoute le directeur de YumiSign, Gérard Kounkou, «l’IAM, c’est gérer des identités pour donner accès aux ressources de l’entreprise au sens large».

Aujourd’hui, la société de cybersécurité s’apprête à commercialiser YumiSign, sa plateforme de signature augmentée et qualifiée . «Ça a commencé par un projet que j’ai monté en 2011 alors que je travaillais dans une société. J’ai fait un produit gratuit, en open source», explique M. Rohart. «Un jour, des sociétés ont demandé si je vendais du support ou une version professionnelle. Je n’étais pas parti pour vendre cela!»

Il y a deux ans, l’équipe, dont la moitié est uniquement affectée à de la recherche et au développement, décide de profiter de la directive sur les services financiers pour développer des solutions de confirmation pour le monde bancaire. Pourquoi ne pas imaginer envoyer un document à la personne qui doit le valider, le signataire, et obtenir sa signature? C’est ce qu’ils se demandent.

L’idée de YumiSign est née avec l’idée de monter une plateforme de signature électronique pour téléphone mobile. Il y a six mois, à la signature «avancée», la start-up décide d’ajouter la signature «qualifiée».

«La signature avancée est l’utilisation de procédés comme l’authentification forte et des scellements électroniques pour fabriquer des documents à valeur légale, signés par une personne et scellés cryptographiquement», explique le CEO de RCDevs. «La plupart des systèmes de signature avancée vont vous envoyer un mail ou vous demander de valider avec un code par SMS pour vous authentifier et pour valider le fait que vous êtes en train de signer un document. Derrière, ce n’est pas vous qui signez, c’est une plateforme qui prépare la signature de votre document en y attachant des données qu’elle a déjà sauvegardées sur vous, comme une copie de votre signature. Nous avons choisi de reproduire au mieux ce que nous faisons dans la vie courante en termes de signature légale.»

Une signature reconnaissable

Un document demande à être signé. Il est envoyé de manière chiffrée entre la plateforme et l’appareil. L’utilisateur va examiner le document sur son smartphone. S’il faut signer, il va signer sur son téléphone, et s’il faut mettre des paraphes à toutes les pages, il va le faire depuis son téléphone. Le téléphone donnera la géolocalisation et la date. «La façon de signer, la vitesse du doigt et la pression du doigt sur le téléphone vont être enregistrées», explique l’expert. «La plateforme va produire le document, et une fois que tous les signataires auront ajouté leur signature grâce à leurs mobiles, la plateforme scellera l’ensemble sur sa clé contenue dans un HSM (des boîtes noires transactionnelles, dispositifs réputés inviolables qui génèrent, protègent et stockent des clés cryptographiques, ndlr). Avec cela, nous pouvons témoigner à tout moment que le document signé n’a pas été altéré. Nous n’allons pas, comme d’autres, copier une image. La signature est unique, comme lorsque l’on signe de façon manuscrite. La signature qui y figure lui donne une valeur légale supérieure à un document signé uniquement électroniquement, ou signé avec une copie de la signature.»

«Si l’expérience n’est pas identique au fait de signer un document papier», explique M. Kounkou, «le smartphone ou la tablette propose souvent plus d’espace pour le faire que le petit carré qu’on vous désigne sur une feuille et qui n’est jamais vraiment respecté par le signataire! Tout le monde déborde du cadre dans le petit carré d’une feuille A4!» Et les expériences de signature, quand on reçoit un colis ou face à un facteur, ne sont pas différentes. «Et quand bien même il y aurait un problème avec votre signature, un expert vous ferait signer dans le même contexte!», ajoute M. Rohart.

La norme eIDAS comme standard

«Il y a une sorte d’amalgame concernant la signature électronique. Déjà, nous pouvons la contracter avec la plateforme de notre choix, qu’elle soit bien faite ou pas. Là où c’est plus compliqué est si nous devons aller devant un tribunal un jour et montrer cette preuve. Un simple mail ou SMS pour faire signer un document, solution choisie par pas mal de plateformes, est autorisé mais aura le niveau de fiabilité le plus faible!», assure M. Rohart.

«Une signature est dite qualifiée quand elle a été effectuée par un certificat électronique et que ce certificat a été délivré à une personne morale ou physique par un organisme accrédité qui a vérifié son identité. Ça, c’est eIDAS (pour Electronic Identification, Authentification and Trust Services, ndlr). Vous n’avez plus aucun moyen de dire que ce que vous signez n’a pas été signé par vous. Il faut faire sacrément confiance à la plateforme qui procède cette signature électronique.»

RCDevs a décidé de coller au «Sign what you see», de rapprocher le document à signer de l’utilisateur. Ce n’est pas la plateforme qui va signer! C’est le mobile qui calcule la signature, le résultat numérique de cet acte. «L’utilisateur doit juste faire confiance à deux choses qu’il porte sur lui, sa carte d’identité et son smartphone!»

«eIDAS dit: ‘On va qualifier et certifier des devices. Lorsque vous signez avec ce device, votre signature est qualifiée. Nous utilisons les devices de la liste qualifiée d’eIDAS pour mettre en place la signature qualifiée dans notre plateforme, et du coup, nous respectons cette norme de fait’», ajoute M. Kounkou. «Nous ajouterons le KYC bientôt pour démarrer des processus qui demanderont une vérification KYC forte de mes signataires!»

Un pas à venir vers l’internet des objets

«Notre but est de démocratiser la signature qualifiée, de sorte que la plateforme entreprise et SaaS puisse faire des signatures avec n’importe qui en Europe, peu importe l’autorité de certification, et bientôt avec les cartes d’identité», dit M. Rohart. «Tout le monde a tenté de le faire sur des smartphones, mais personne n’a réussi! Jusqu’à nous! Il est aussi possible d’imprimer un contrat qui contient un QR code. Le signataire le reçoit, scanne le QR code via l’app mobile, et le signe électroniquement. Il est aussi possible de l’envoyer par mail. C’est détaché de l’ordinateur! Il est même possible chez nous d’utiliser notre API pour embarquer notre solution dans une entreprise avec simplicité, y compris par exemple pour demander à quelqu’un que vous êtes sur le point de recruter de signer son contrat, alors même qu’il est encore externe à votre société.»

La particularité de YumiSign est d’offrir une solution d’entreprise, et pas seulement en logiciel comme un service. «Les sociétés ont plusieurs problématiques majeures à gérer en même temps, comme l’IAM, mais la signature électronique, aujourd’hui, prend une nouvelle ampleur. Tout le monde est parti sur des systèmes de signature décentralisée. Nous répondons aux deux problématiques en même temps. Le cœur, ce sont les identités d’une entreprise. Nous irons plus loin en fabricant des appareils physiques qui seront liés à l’application des gens et qui pourront piloter les portes ou les ascenseurs de l’entreprise pour donner accès aux salariés!»

Jusqu’à permettre, par exemple, dans le cadre d’une location, d’ouvrir les portes grâce à son téléphone. Imaginez louer une maison de vacances via un service américain bien connu: dans le contrat signé sur smartphone, se trouvera, du coup, la possibilité d’ouvrir la porte avec son smartphone et pour la durée choisie. Ou une voiture de location ou un vélo.