Vous venez de recevoir un document signé électroniquement et vous souhaitez vérifier la validité de la signature qui y a été apposée ? Comment vérifier une signature électronique sur un fichier PDF ? Comment s’assurer qu’elle soit bien valide ? Et comment interpréter les différents messages affichés dans Adobe Acrobat Reader ?
Alors que la vérification d’une signature manuelle peut être difficile à réaliser, dans le cas d’une signature numérique, elle peut être prouvée rapidement. Adobe propose à travers son logiciel Acrobat Reader de vérifier la validité d’une signature sur un document PDF. Encore reste-t-il à comprendre et déchiffrer les différents messages que le logiciel peut afficher. En lisant cet article, vous allez pouvoir comprendre comment interpréter ces messages et comment s’assurer de la conformité d’une signature électronique.
Adobe Acrobat : qu’est-ce que c’est ?
Adobe Acrobat Reader est un logiciel gratuit spécialisé dans le traitement des fichiers PDF. L’éditeur du logiciel a lancé un programme privé baptisé “AATL” (Adobe Approved Trust List) qui a pour objectif de permettre aux utilisateurs de vérifier simplement des signatures électroniques. La firme américaine a alors établi un référentiel d’exigences techniques à respecter pour faire partie de cette liste. Chaque Autorités de Certification (AC) peut demander à rejoindre le programme AATL en soumettant sa candidature. Cette certification a pour ambition d’apporter de la confiance auprès des utilisateurs qui utilisent et partagent des documents signés. Elle a aussi pour but de faciliter la compréhension de la validité d’une signature.
Les 3 différents codes couleurs
Lorsque vous ouvrez dans le logiciel un PDF signé, un bandeau apparaît directement en haut du document. Il présente des éléments concernant la validité de la signature. Il existe 3 codes couleurs différents qui distinguent les différents états de la signature :
- Une coche verte accompagnée du message “Signé au moyen de signatures valables”
- Un triangle orange avec la mention “Une signature au moins présente un problème”
- Une croix rouge accompagnée du message “Au moins une signature n’est pas valable”
L’algorithme analyse les données du fichier selon plusieurs critères :
- Il va s’assurer de l’intégrité du document, c’est-à-dire que le contenu du document n’ait pas été modifié depuis sa signature.
- Il va vérifier que le certificat n’est pas expiré ou révoqué au moment de la consultation
A l’issue de cette vérification, il va afficher l’un des 3 messages suivants.
Désacraliser la coche verte
Le logiciel affiche une coche verte si l’un des critères suivants est respecté :
- L’Autorité de Certification (AC) est référencée sur la liste de confiance européenne EUTL, régie par le règlement eIDAS. Il s’agit uniquement de services qualifiés, soit le plus haut niveau européen.
- L’AC fait partie de l’AATL et respecte les exigences techniques imposées par Adobe.
- Le document est signé à l’aide d’un certificat personne morale (cachet serveur) délivré sur la base d’un face-à-face physique ou équivalent : il s’agit d’une signature simple selon eIDAS.
Nuancer les coches rouges et oranges
Dans le cas de signatures électroniques avancées, ce niveau présente plusieurs subdivisions selon des niveaux de certificats. Parmi eux, le niveau LCP et NCP+ :
- Le LCP (Lightweight Certificate Policy) requiert une authentification avec une preuve d’une vérification d’identité du signataire via une pièce d’identité.
- Le NCP+ (Extended Normalized Certificate Policy) correspond au niveau LCP en complétant l’authentification grâce à un face-à-face physique ou équivalent, et d’un dispositif HSM.
Ces différents niveaux de signatures avancées sont certifiés et respectent donc la réglementation eIDAS. Pourtant, une signature avancée LCP peut déclencher une coche rouge ou orange, bien que strictement conforme au règlement européen qui l’encadre. Dans le cas où l’OID (l’identifiant de la politique de signature) du certificat utilisé n’est pas recensé dans l’AATL, le logiciel affiche la croix rouge. Cette dernière ne signifie pas forcément qu’il existe un problème dans l’intégrité de la signature ; elle peut être tout à fait valide cryptographiquement.
C’est également le cas lors d’une signature simple, qui peut être valide et reconnue comme telle par un tribunal français, et disposer d’une coche rouge dans Acrobat.
Si le certificat est expiré et que la signature n’a pas été effectuée pour une validation long terme (c’est à dire qu’elle ne contient pas les données de révocation du certificat), alors dans ce cas le logiciel affiche un triangle orange. Le document a pu afficher une coche verte antérieurement, mais de manière temporaire : on parle de coche verte éphémère.
Les coches rouges et oranges sont donc à nuancer et peuvent concerner des signatures parfaitement valides. Mais les messages rouges peuvent aussi concerner des certificats qui contiennent des erreurs : lorsque le document a été modifié depuis l’apposition de la signature, où lorsque l’horodatage n’est pas présent.
Pour décrypter les raisons de l’apparition d’un message rouge ou orange, il faut regarder plus en détails les données du document.
Vérifier les propriétés de la signature électronique
Pour vérifier la signature électronique et les informations du certificat utilisé :
1. Première étape, ouvrez votre fichier PDF
2. Sur le panneau de gauche, sélectionnez sur l’icône plume, puis dépliez les informations et cliquez sur la flèche.
3. Dernière étape, cliquez sur “détails du certificat”
4. Une fenêtre apparaît avec le contenu des informations du certificat du signataire.
Vous pouvez aussi obtenir des informations en faisant un clique droit sur la signature puis « Afficher les propriétés de la signature ». Dans le cas d’une croix rouge, il peut sembler important de vérifier les informations détaillées des certificats. On peut s’assurer que le document n’a pas été modifié depuis sa signature ou qu’il contient un horodatage. Il est aussi possible de valider manuellement la signature dans l’onglet Approbation. La croix rouge se transforme alors instantanément en coche verte.
Pour vérifier la configuration du logiciel et s’assurer que la liste de confiance est à jour :
- Dans le panneau Édition, sélectionnez Préférences
- Sélectionnez la catégorie “Gestionnaire des approbations”
- Mettez à jour l’AATL.
Dans certains cas, le logiciel demande une approbation manuelle de la signature et affiche le message suivant : “Au moins une signature doit être validée, remplissez le formulaire suivant.”.
Les limites du programme AATL
Malgré l’ambition du programme et sa volonté de rendre plus lisible et simple la vérification de l’état d’une signature électronique, ce programme démontre quelques limites qu’il convient d’être conscient.
Rappelons que ce programme est porté par une entreprise privée, qui ne garantit pas la validité juridique d’une signature numérique. Deux signatures apportant un dossier de preuve identique, dont seulement l’une est référencée dans l’AATL, auront la même valeur juridique mais démontreront potentiellement des différences dans Adobe Acrobat.
Le code couleur affiché n’est donc pas gage de sécurité. Il démocratise seulement la lisibilité d’une signature électronique qui peut parfois s’avérer complexe. La valeur juridique d’une signature ne peut pas être remise en cause par cette seule interprétation.
Les messages rouges et oranges ne démontrent pas forcément qu’il existe un problème dans l’intégrité de la signature. Enfin, détenir une marque verte est une bonne chose, et démontre une signature valide, mais peut être l’héritage de règles moins restrictives sur lesquelles il n’est pas possible de revenir (AATL V1).
Tiers de confiance qualifié et reconnu Autorité d’Enregistrement et de Certification, Namirial propose des solutions de signature électronique conformes au RGS (Référentiel Général de Sécurité), aux exigences du règlement eIDAS, et validés par la Liste de confiance d’Adobe.