La validation de signatures répond avant tout à des enjeux de sécurité et de conformité bien connus des entreprises. Pour rappel, pour être retenue comme preuve, la signature électronique doit permettre de démontrer :
- l’identité du signataire ;
- le consentement du ou des signataires au contenu du document (ou aux engagements qui y figurent, s’il s’agit d’un contrat) ;
- le lien entre le document signé et le(s) signataire(s) ;
- l’intégrité du document.
“En cas de besoin, il sera nécessaire d’apporter la preuve que toutes ces exigences ont bien été satisfaites. Pour ce faire, il peut être judicieux de faire appel à un service de validation de signature”, souligne Anne Reuland.
Un processus rigoureux au service de la sécurité
La validation d’une signature électronique est avant tout réalisée pour répondre aux risques liés à la validité des certificats (dont la durée de vie est limitée et qui peuvent, de fait, être révoqués), à l’obsolescence cryptographique ainsi qu’au niveau de confiance des Autorités de Certification. Aussi, pour être valide aux yeux de la réglementation française (arrêté du 22 mars 2019), la procédure de vérification doit au moins tenir compte de :
- l’identité du signataire ;
- l’appartenance du certificat du signataire à l’une des catégories reconnues par l’arrêté du 22 mars 2019 (délivré par un prestataire de service de confiance qualifié ou par une autorité de certification, française ou étrangère, qui répond aux exigences équivalentes) ;
- le respect du format de signature (XAdES, CAdES ou PAdES) ;
- le caractère non échu et non révoqué du certificat à la date de la signature ;
- l’intégrité du document signé.
Bien que ce processus soit déjà très complet, LuxTrust, qui fournit un service de validation certifié au plus haut niveau (qualifié), va au-delà de ce cadre en proposant une validation aussi stricte que simple à mettre en place.
“Nous vérifions l’intégrité des documents, la validité des certificats et le niveau de confiance. Ce service est totalement automatique. L’utilisateur n’a qu’à télécharger un document, l’envoyer pour signature, recevoir le document signé, puis cliquer sur un bouton de validation intégré à la plateforme pour lancer le processus”, indique Anne Reuland.
La signature électronique passée au crible
Dans le détail, la validation réalise un ensemble de vérifications à la fois techniques et relevant de la confiance. Pour réaliser l’ensemble des contrôles nécessaires, LuxTrust s’appuie principalement sur les informations présentes dans le certificat électronique embarqué avec le document signé. Le validateur aura ainsi accès à de multiples données :
- les algorithmes utilisés pour le calcul d’empreinte et le chiffrement ;
- l’OID (numéro unique) de la Politique de Certification et le nom de l’Autorité de Certification dont elle dépend ;
- les dates de validité du certificat ;
- la signature de l’Autorité de Certification ;
- la clé publique correspondant à la clé privée ayant servi à signer le document ;
- l’usage (ou les usages) prévu(s) pour le certificat (Authentification, Signature ou Confidentialité).
“Plusieurs éléments techniques, tels que l’intégrité et la validité du certificat, sont systématiquement contrôlés : le calcul de l’empreinte du document, le déchiffrage de la signature grâce à la clé publique, ce qui fournit l’empreinte du document d’origine, calculée au moment de la signature, et la comparaison des deux empreintes qui doivent être identiques.
Vient ensuite la vérification de la validité du certificat qui se déroule en deux étapes. La première étape consiste à vérifier que la date de la signature (vérifiable grâce à l’horodatage) se situe bien dans la période de validité du certificat, et la seconde garantit que le certificat n’était pas révoqué au moment de la signature, en général au travers d’une requête OCSP (Online Certificate Status Protocol) auprès de l’Autorité de Certification ayant délivré ce certificat”, explique la directrice juridique et réglementaire de LuxTrust.
Une plateforme unique et simple d’utilisation
Automatique et totalement transparente, la validation de signature électronique est un service LuxTrust directement intégré dans COSI, leur plateforme de services de confiance certifiés eIDAS. Respectant les standards de validation européens ETSI, ce service de validation qualifié génère un fichier XML contenant les résultats de la vérification.
Cacheté en Qualifié par LuxTrust, ce dernier est ainsi opposable en cas de litige auprès d’un tribunal. COSI génère également un rapport de validation simplifié au format PDF sur lequel figurent à la fois le résultat final de la validation et le détail des résultats des éléments vérifiés avec un code couleur (vert, orange ou rouge) selon le résultat de validation obtenue. Une manière rapide et compréhensible de visualiser le résultat de cette validation.
Choisir un service aux nombreux avantages
Ce service de validation présente de nombreux autres avantages, à commencer par son accessibilité via une application web (l’utilisateur n’a qu’à téléverser un document pour obtenir le résultat de la validation de signature) ou par appel API (la validation est alors intégrée de manière automatisée dans un workflow). Des certificats et autorités de certification spécifiques ne figurant pas dans les référentiels de confiance européen peuvent également être prises en compte par le service de validation pour signaler à un groupe d’utilisateurs que les signatures, cachets et horodatages concernés sont dignes de confiance.
“En synthèse, LuxTrust fournit un service de validation complet qui permet aux utilisateurs et aux entreprises d’obtenir, à travers une expérience simple, intuitive et automatisée et au moyen de rapports conformes et intelligibles, la validation des signatures électroniques produites dans toute l’Europe”, conclut Anne Reuland.
Contact
Luxtrust
info@luxtrust.com