Rappelons que la signature électronique est un procédé qui permet, à partir d’un certificat au nom du signataire, de produire une empreinte des données (le hash) au moment de la signature et d’associer cette empreinte au document. Un peu comme si vous preniez une photo du contenu pour pouvoir vérifier, a posteriori, qu’il n’a pas été modifié. Mais comment faire cette vérification ? Et quels sont les éléments vérifiés ?
La validité technique en question
La question de la validité d’une signature doit être abordée sous deux angles : la validité technique et la validité métier. Ces deux aspects doivent être au vert pour attester du niveau de validité de la signature.
La validité technique de la signature
En ce qui concerne la validité technique, une signature électronique doit, avant tout, utiliser un certificat valide, autrement dit respecter les standards techniques, non révoqués, etc. Les certificats peuvent être fournis par des prestataires de certification électronique et sont adossés à deux référentiels : le RGS (Référentiel Général de Sécurité) pour la France et le règlement eIDAS (Electronic IDentification Authentication and trust Services) pour l’Europe. L’application “signante”, c’est-à-dire l’interface visible par le signataire pour consulter et signer le document, doit donc contrôler l’utilisabilité du certificat de signature.
Identité, standards ETSI et profils incrémentaux
Il convient ensuite de vérifier que l’identité du signataire est bien celle attendue. Cela semble être une évidence, mais ce n’est pas toujours le cas. La signature doit également respecter les standards ETSI (Xades, Pades et Cades selon qu’il s’agisse d’un fichier xml, pdf ou autre), ou bien, pour la signature avancée au sens du règlement eIDAS, respecter l’acte d'exécution 2015/1506 de la Commission du 8 septembre 2015.
Puis, pour garantir que le certificat utilisé était valide au moment de la signature, même après la fin de sa validité (un certificat a généralement une durée de vie de 2 à 3 ans), la signature électronique peut intégrer des informations complémentaires, des jetons d’horodatage, facilitant la vérification. C’est ce que nous appelons les profils incrémentaux.
Vérification : deux cas de figure
Reste ensuite à vérifier la validité technique de la signature. Quand il s’agit d’un document au format PDF généré par le logiciel Adobe, la signature est généralement intégrée au document. Il suffit donc de regarder le panneau de signature d’Adobe. Si une “coche” verte apparaît, c’est que tout va bien. En revanche, si la “coche” est orange ou rouge, c’est qu’une anomalie a été détectée par Adobe (cela peut être uniquement le fait qu’Adobe ne connaît pas le certificat par exemple).
Pour les autres formats de documents, la signature étant détachée des données (les données d’un côté, le hash de l’autre), il est nécessaire d’utiliser une application qui compare les deux et fournit des informations sur le certificat utilisé (ses attributs, le prestataire, etc.). Des informations qu’il convient bien entendu de contrôler.
La validité métier de la signature
Une fois la validité « technique » de la signature confirmée, vient la question de sa validité métier, ce qui revient à savoir si le niveau de la signature correspond bel et bien au cas d'usage concerné et à la réglementation en vigueur en fonction du type de document signé. La signature électronique d’un acte notarié, par exemple, ne peut pas se faire avec une signature simple.
Légalement, une signature manuscrite est requise, ou son équivalent juridique, à savoir une signature électronique qualifiée. Ainsi, selon la législation et en fonction du risque, il est nécessaire de s’assurer que le niveau de signature d’un document correspond au besoin « métier ».
Les 3 piliers de la confiance
Il est donc nécessaire de replonger dans les certificats et de s’appuyer sur le triptyque de la confiance :
- garantir l’identité du signataire (éviter les oppositions telles que : “ce n’est pas moi qui ait signé ce document”),
- garantir la donnée (et éviter les : “ce n’est pas ce que j’ai signé”),
- garantir le temps (et éviter les : “je n’ai pas pu signer ce document à ce moment-là”) et dans le temps (conserver le document opposable et toutes les preuves de la conformité de la signature pendant plusieurs années).
Selon le niveau du certificat, plus ou moins de preuves peuvent être obtenues sur ces éléments. La vérification d’identité pour la génération de ce certificat est-elle équivalente à un face-à-face physique, ou bien basée uniquement sur une photocopie de la pièce d’identité par exemple ? La sécurité encadrant le certificat (gestion, hébergement, révocation, etc..) est-elle faible ou forte ? La signature inclut-elle un jeton d’horodatage qualifié (opposable) ? Est-il possible de garantir que le signataire a bel et bien le contrôle exclusif du certificat, ou bien a-t-il délégué la signature au prestataire de signature ?
Différents services de vérification
Il faut donc pouvoir répondre à ces questions et récupérer l’ensemble des éléments nécessaires. Rappelons qu’à partir des attributs du certificat, il est possible de remonter à la politique de ce certificat, à son niveau, à son usage. Mais l’opération n’est pas forcément évidente. Pour remédier au problème, différents services de vérification sont proposés, allant de la simple attestation à la validation complète (technique et métiers) de l’acte concerné.
