Sur LinkedIn, on trouve de tout. Surtout des entreprises qui tentent de faire passer des aberrations techniques pour des révolutions numériques. La dernière trouvaille nous vient de Poste Maroc (Barid Al-Maghrib), qui s'est fendue d'une publication triomphante pour annoncer son nouveau "jouet" :

"L’horodatage qualifié garantit l’intégrité de vos documents et leur valeur juridique dans le temps. Barid Al-Maghrib, premier acteur au Maroc à proposer ce service agréé par la DGSSI, poursuit son engagement pour une confiance numérique renforcée."

Sous l'avalanche de hashtags (#ConfianceNumérique, #TransformationDigitale), se cache une réalité technique beaucoup moins glorieuse. Décryptage d'un tour de passe-passe qui ferait sourire n'importe quel expert en cybersécurité, s'il n'engageait pas la sécurité juridique de tout un pays.

1. Le non-sens absolu : un horodatage qualifié pour un certificat qui l'est déjà

Commençons par l'éléphant dans la pièce. Barid Al-Maghrib nous vend l'horodatage qualifié comme l'ultime rempart de l'intégrité. Mais d'un point de vue purement technique et cryptographique, vendre un horodatage qualifié pour l'apposer sur un certificat qui est déjà qualifié relève du non-sens absolu. C'est l'équivalent numérique de porter une ceinture et des bretelles par-dessus une combinaison de plongée. Le certificat qualifié porte déjà en lui-même les garanties cryptographiques requises. Ajouter une couche d'horodatage qualifié isolée, c'est générer de la complexité (et de la facturation) pour un bénéfice sécuritaire illusoire. C'est du "n'importe quoi" technologique habillé en innovation.

2. Le comble de l'ironie : une solution de signature... sans horodatage

Mais le cynisme de cette communication va plus loin. Poste Maroc se gargarise d'offrir ce service d'horodatage agréé par la DGSSI. Très bien. Mais posons la vraie question : où est cet horodatage dans leur propre solution de signature ?

La réponse est accablante : ils n'en ont pas sur la solution de signature elle-même.

On se retrouve face à une aberration architecturale où l'opérateur historique clame l'importance vitale de "l'intégrité dans le temps" sur LinkedIn, tout en fournissant une solution de signature incapable de l'intégrer nativement à la source. C'est l'histoire d'un cordonnier non seulement mal chaussé, mais qui vendrait des lacets à ceux qui n'ont pas de chaussures.

3. L'arnaque intellectuelle : confondre authentification et signature électronique

C'est ici que l'amateurisme frôle la faute grave. Pour compenser le fait qu'ils ne possèdent pas de véritable solution de signature à la source, Barid Al-Maghrib s'adonne à un dangereux bricolage.

Leur méthode ? Faire passer une simple authentification par certificat pour une véritable signature électronique. Rappelons les bases à ceux qui semblent les avoir oubliées :

• L'authentification prouve qui vous êtes à l'instant T (pour ouvrir une session, accéder à un portail).

• La signature électronique scelle le consentement d'une personne sur un document précis, en garantissant la non-répudiation et l'intégrité du fichier.

Utiliser les mécanismes d'authentification pour simuler une signature est un raccourci technique désastreux. Cela ne tient pas la route face à un audit sérieux et cela fragilise la valeur probante des actes numériques au Maroc.

La confiance numérique ne se décrète pas sur LinkedIn

La "Transformation Digitale" n'est pas un concept qu'on valide à coups de posts LinkedIn et d'agréments brandis comme des trophées pour cacher la misère technologique.

Tant que Poste Maroc continuera de confondre authentification et signature, et tentera de masquer l'absence d'horodatage natif dans ses outils par des services gadgets redondants, la "confiance numérique" marocaine restera ce qu'elle est dans ce post : un simple hashtag.