Publicité

Comment prouver la validité de la signature électronique ? 

  • preuve_signature.png

    Loupe et clavier
    La question de la validité d’une signature doit être abordée sous deux angles : la validité technique et la validité métier.
  • La signature électronique est le plus souvent abordée par le prisme du « parcours signataire » et des « niveaux de signature » (simple, avancé, qualifié), mais la question de la validité de la signature électronique, elle, n’est que très rarement abordée. Et pourtant il s’agit d’un sujet majeur. Comment savoir si la signature d’un contrat est opposable, par exemple ?

    Rappelons que la signature électronique est un procédé qui permet, à partir d’un certificat au nom du signataire, de produire une empreinte des données (le hash) au moment de la signature et d’associer cette empreinte au document. Un peu comme si vous preniez une photo du contenu pour pouvoir vérifier, a posteriori, qu’il n’a pas été modifié. Mais comment faire cette vérification ? Et quels sont les éléments vérifiés ?

    La validité technique en question

    La question de la validité d’une signature doit être abordée sous deux angles : la validité technique et la validité métier. Ces deux aspects doivent être au vert pour attester du niveau de validité de la signature.

    La validité technique de la signature

    En ce qui concerne la validité technique, une signature électronique doit, avant tout, utiliser un certificat valide, autrement dit respecter les standards techniques, non révoqués, etc. Les certificats peuvent être fournis par des prestataires de certification électronique et sont adossés à deux référentiels : le RGS (Règlement Général de Sécurité) pour la France et le règlement eIDAS (Electronic IDentification Authentication and trust Services) pour l’Europe. L’application “signante”, c’est-à-dire l’interface visible par le signataire pour consulter et signer le document, doit donc contrôler l’utilisabilité du certificat de signature.

    Identité, standards ETSI et profils incrémentaux

    Il convient ensuite de vérifier que l’identité du signataire est bien celle attendue. Cela semble être une évidence, mais ce n’est pas toujours le cas. La signature doit également respecter les standards ETSI (Xades, Pades et Cades selon qu’il s’agisse d’un fichier xml, pdf ou autre), ou bien, pour la signature avancée au sens du règlement eIDAS, respecter l’acte d'exécution 2015/1506 de la Commission du 8 septembre 2015.

    Puis, pour garantir que le certificat utilisé était valide au moment de la signature, même après la fin de sa validité (un certificat a généralement une durée de vie de 2 à 3 ans), la signature électronique peut  intégrer des informations complémentaires, des jetons d’horodatage, facilitant la vérification. C’est ce que nous appelons les profils incrémentaux.

    Vérification : deux cas de figure

    Reste ensuite à vérifier la validité technique de la signature. Quand il s’agit d’un document au format PDF généré par le logiciel Adobe, la signature est généralement intégrée au document. Il suffit donc de regarder le panneau de signature d’Adobe. Si une “coche” verte apparaît, c’est que tout va bien. En revanche, si la “coche” est orange ou rouge, c’est qu’une anomalie a été détectée par Adobe (cela peut être uniquement le fait qu’Adobe ne connaît pas le certificat par exemple).

    Pour les autres formats de documents, la signature étant détachée des données (les données d’un côté, le hash de l’autre), il est nécessaire d’utiliser une application qui compare les deux et fournit des informations sur le certificat utilisé (ses attributs, le prestataire, etc.). Des informations qu’il convient bien entendu de contrôler.

    La validité métier de la signature

    Une fois la validité « technique » de la signature confirmée, vient la question de sa validité métier, ce qui revient à savoir si le niveau de la signature correspond bel et bien au cas d'usage concerné et à la réglementation en vigueur en fonction du type de document signé. La signature électronique d’un acte notarié, par exemple, ne peut pas se faire avec une signature simple.

    Légalement, une signature manuscrite est requise, ou son équivalent juridique, à savoir une signature électronique qualifiée. Ainsi, selon la législation et en fonction du risque, il est nécessaire de s’assurer que le niveau de signature d’un document correspond au besoin « métier ».

    Les 3 piliers de la confiance

    Il est donc nécessaire de replonger dans les certificats et de s’appuyer sur le triptyque de la confiance :

    • garantir l’identité du signataire (éviter les oppositions telles que : “ce n’est pas moi qui ait signé ce document”), 
    • garantir la donnée (et éviter les : “ce n’est pas ce que j’ai signé”), 
    • garantir le temps (et éviter les : “je n’ai pas pu signer ce document à ce moment-là”) et dans le temps (conserver le document opposable et toutes les preuves de la conformité de la signature pendant plusieurs années). 

    Selon le niveau du certificat, plus ou moins de preuves peuvent être obtenues sur ces éléments. La vérification d’identité pour la génération de ce certificat est-elle équivalente à un face-à-face physique, ou bien basée uniquement sur une photocopie de la pièce d’identité par exemple ? La sécurité encadrant le certificat (gestion, hébergement, révocation, etc..) est-elle faible ou forte ? La signature inclut-elle un jeton d’horodatage qualifié (opposable) ? Est-il possible de garantir que le signataire a bel et bien le contrôle exclusif du certificat, ou bien a-t-il délégué la signature au prestataire de signature ?

    Différents services de vérification

    Il faut donc pouvoir répondre à ces questions et récupérer l’ensemble des éléments nécessaires. Rappelons qu’à partir des attributs du certificat, il est possible de remonter à la politique de ce certificat, à son niveau, à son usage. Mais l’opération n’est pas forcément évidente. Pour remédier au problème, différents services de vérification sont proposés, allant de la simple attestation à la validation complète (technique et métiers) de l’acte concerné.
     

    logo_docaposte.png

     

     

     

     

     

     

    À lire sur Archimag
    Le chiffre du jour
    1
    est en moyenne signalée toutes les semaines dans les établissements de santé depuis janvier 2021. Les hôpitaux ont subi 27 cyberattaques majeures - qui ont effectué tout ou partie de leurs systèmes d'information - en 2020.
    Publicité

    supplement-confiance-numerique-270500.png