Pourquoi la Vérification de Signature est Importante

Avant de plonger dans le comment, comprenons pourquoi la vérification QES change la donne par rapport aux signatures traditionnelles.

Le Problème avec les Signatures Manuscrites

Lorsque vous recevez un document avec une signature manuscrite, la vérification est difficile et coûteuse :

• Pas d’authentification intégrée : N’importe qui peut falsifier une signature
• Analyse subjective : Les experts en graphologie peuvent être en désaccord sur l’authenticité
• Processus coûteux : L’analyse médico-légale peut coûter des milliers
• Chronophage : L’authentification prend des jours ou des semaines
• Pas de détection de falsification : Les modifications du document sont difficiles à détecter
• Preuve limitée : Seule la signature elle-même fournit une preuve

L’Avantage de la Vérification QES

Les qualified electronic signatures résolvent tous ces problèmes :

• Vérification instantanée : Résultats en secondes, pas en semaines
• Certitude mathématique : Preuve cryptographique, pas opinion subjective
• Outils gratuits : N’importe qui peut vérifier en utilisant des lecteurs PDF standard
• Détection automatique de falsification : Toute modification invalide la signature
• Piste d’audit complète : Identité, horodatage, chaîne de certificats, fournisseur de services de confiance
• Certitude juridique : La vérification confirme la conformité eIDAS et l’équivalence juridique

Ce que la Vérification QES Contrôle

Lorsque vous vérifiez une qualified electronic signature, plusieurs couches de sécurité sont validées simultanément :

1. Authenticité de la Signature

Ce qu’elle vérifie : Cette signature a-t-elle été créée en utilisant la clé privée associée au certificat ?

Comment cela fonctionne : Le logiciel de vérification utilise la clé publique du certificat pour déchiffrer la signature et la comparer à un nouveau calcul du hash du document.

Ce que cela prouve : La signature a été créée par quiconque contrôle la clé privée—personne d’autre n’aurait pu créer cette signature exacte.

2. Identité du Signataire

Ce qu’elle vérifie : Qui est la personne derrière cette signature ?

Comment cela fonctionne : Extrait les informations d’identité du certificat qualifié (nom, parfois email, pays, numéro de série).

Ce que cela prouve : L’identité a été vérifiée par un Qualified Trust Service Provider (QTSP) réglementé avant l’émission du certificat.

3. Intégrité du Document

Ce qu’elle vérifie : Le document a-t-il été modifié depuis la signature ?

Comment cela fonctionne : Recalcule le hash cryptographique du document actuel et le compare au hash intégré dans la signature.

Ce que cela prouve : Même un changement d’un seul caractère produirait un hash complètement différent, révélant instantanément la falsification.

4. Validité du Certificat

Ce qu’elle vérifie : Le certificat était-il valide lorsque la signature a été créée ?

Comment cela fonctionne : Vérifie que le certificat n’était pas expiré ou révoqué au moment de la signature.

Ce que cela prouve : La signature a été créée pendant la période de validité du certificat.

5. Validation de la Chaîne de Confiance

Ce qu’elle vérifie : Le certificat est-il émis par un QTSP légitime ?

Comment cela fonctionne : Trace le certificat à travers la chaîne de certificats jusqu’à une autorité racine listée sur la EU Trusted List.

Ce que cela prouve : La signature provient d’un fournisseur de services de confiance réglementé et supervisé répondant aux exigences eIDAS.

6. Vérification de l’Horodatage

Ce qu’elle vérifie : Quand la signature a-t-elle été créée ?

Comment cela fonctionne : Valide l’horodatage de confiance d’une autorité d’horodatage indépendante.

Ce que cela prouve : La date et l’heure exactes de la signature, qui ne peuvent être antidatées ou manipulées.

Méthode 1 : Vérifier avec Adobe Acrobat Reader (Recommandé)

Adobe Acrobat Reader est la méthode la plus largement utilisée et de confiance pour vérifier les signatures QES. C’est gratuit, gère toutes les étapes de vérification automatiquement et fonctionne sur Windows, Mac et appareils mobiles.

Processus de Vérification Étape par Étape

1Télécharger et Installer Adobe Acrobat Reader

Si vous ne l’avez pas déjà :

• Visitez get.adobe.com/reader
• Téléchargez la version gratuite pour votre système d’exploitation
• Installez en suivant les invites standard
• Pas besoin d’abonnement premium—la version gratuite gère la vérification QES

2Ouvrir le PDF Signé

Ouvrez votre document PDF signé dans Adobe Acrobat Reader. Vous verrez immédiatement des indicateurs visuels de la signature :

• Bannière bleue en haut : « Signé et toutes les signatures sont valides »
• Panneau de signature : Barre latérale gauche montrant les détails de la signature
• Champ de signature : Boîte de signature visuelle dans le document

3Cliquer sur la Signature

Cliquez directement sur le champ de signature dans le document ou sur la signature dans le panneau de gauche. Une fenêtre contextuelle apparaît montrant :

• État de validité de la signature
• Nom du signataire
• Date et heure de signature
• Détails du certificat

4Afficher les Propriétés de la Signature

Cliquez sur « Propriétés de la Signature » dans la fenêtre contextuelle pour voir les informations détaillées :

• Onglet Signataire : Informations complètes d’identité du certificat
• Onglet Date/Heure : Détails de l’horodatage
• Onglet Juridique : Validité de la signature et statut du document
• Onglet Avancé : Détails techniques du certificat et chaîne de confiance

5Vérifier les Détails du Certificat

Dans l’onglet Avancé, cliquez sur « Afficher le Certificat » pour examiner :

• Sujet : Identité vérifiée du signataire
• Émetteur : QTSP qui a émis le certificat
• Période de validité : Dates de début et d’expiration du certificat
• Chaîne de certificats : Chemin de confiance vers l’autorité racine
• Extensions : Indicateurs de certificat qualifié

Mises à Jour Automatiques de la Liste de Confiance

Adobe Acrobat Reader vérifie automatiquement la EU Trusted List et met à jour ses certificats de confiance. Pour vous assurer d’avoir les dernières informations de confiance :

• Allez dans Édition → Préférences → Signatures → Vérification
• Activez « Vérifier les signatures lors de l’ouverture du document »
• Activez « Exiger la vérification de révocation des certificats »
• Adobe téléchargera automatiquement les mises à jour depuis la EU Trusted List

Méthode 2 : Utiliser les Services de Validation en Ligne

Les services de validation en ligne fournissent une vérification indépendante, utile lorsque vous avez besoin d’un deuxième avis ou travaillez avec des documents signés par des QTSPs moins courants.

Comprendre les Rapports de Validation en Ligne

Les validateurs en ligne fournissent généralement des rapports détaillés incluant :

• Conclusion de validation : TOTAL-PASSED, TOTAL-FAILED ou INDETERMINATE
• Format de signature : Identification PAdES, XAdES, CAdES
• Niveau de signature : Détermination QES, AES ou SES
• Chaîne de certificats : Visualisation complète du chemin de confiance
• Statut de révocation : Résultats de vérification OCSP ou CRL
• Analyse d’horodatage : Validation de l’horodatage de confiance
• Intégrité du document : Résultats de comparaison de hash

Méthode 3 : Lecteurs PDF Alternatifs

Plusieurs lecteurs PDF alternatifs supportent également la vérification QES, bien qu’avec des niveaux variables d’intégration de la EU Trusted List.

Foxit PDF Reader

Vérification de signature : Oui, avec support de la EU Trusted List

Comment vérifier :

1. Ouvrez le PDF signé dans Foxit Reader
2. Cliquez sur le champ de signature
3. Affichez les détails de la signature et l’état de validation
4. Vérifiez la chaîne de certificats dans les propriétés

Avantages : Plus léger qu’Adobe, temps de chargement plus rapides

Limitations : Les mises à jour de la liste de confiance peuvent être moins fréquentes qu’Adobe

PDF-XChange Editor

Vérification de signature : Oui, supporte les signatures qualifiées

Fonctionnalités :

• Panneau de signature détaillé avec résultats de validation
• Visualisation de la chaîne de certificats
• Vérification de l’horodatage
• Paramètres de confiance personnalisables

Visionneuses PDF Basées sur Navigateur

Chrome, Edge, Firefox visionneuses intégrées :

Vérification de signature : Limitée ou inexistante

Recommandation : Ne comptez pas sur les visionneuses de navigateur pour la vérification QES. Elles peuvent afficher les champs de signature mais manquent de capacités de validation appropriées.

Comprendre les Résultats de Validation

Savoir interpréter les résultats de validation est crucial pour prendre des décisions éclairées sur les documents signés.

Succès de Validation Complet

Indicateurs :

• Coche verte ou statut « Valide »
• Bannière bleue : « Signé et toutes les signatures sont valides »
• Tous les éléments de la chaîne de certificats sont de confiance
• Intégrité du document confirmée
• Horodatage validé

Signification : La signature est cryptographiquement valide, créée par l’individu nommé, le document n’a pas été modifié, le certificat était valide au moment de la signature et le QTSP est légitime.

Action : Vous pouvez accepter ce document en toute confiance comme juridiquement contraignant.

Avertissements de Validation

Indicateurs :

• Icône d’avertissement jaune
• Message : « Au moins une signature a des problèmes »
• Statut : « Inconnu » ou « Ne peut être vérifié »

Causes courantes :

• Liste de confiance non mise à jour : QTSP pas dans la liste de confiance de votre logiciel
• Vérification hors ligne : Le logiciel ne peut atteindre les serveurs de révocation
• Certificat expiré : Certificat expiré après signature (mais la signature peut toujours être valide via LTV)
• Autorité d’horodatage inconnue : Source d’horodatage non reconnue

Action : Utilisez un validateur en ligne comme DSS Validator pour une vérification indépendante. Vérifiez si votre logiciel PDF a besoin de mises à jour de liste de confiance.

Échecs de Validation

Indicateurs :

• X rouge ou statut « Invalide »
• Message : « Le document a été altéré ou corrompu »
• Certificat révoqué ou non valide

Causes courantes :

• Document modifié : Contenu changé après signature
• Certificat révoqué : Certificat a été révoqué après signature
• Signature falsifiée : La signature ne correspond pas au hash du document
• Fichier corrompu : Fichier PDF endommagé pendant la transmission

Action : N’acceptez pas le document. Contactez l’expéditeur pour vérifier l’authenticité et demandez une nouvelle copie signée si légitime.

Vérifier des Signatures Multiples

Les documents peuvent contenir plusieurs signatures de différents signataires—contrats avec plusieurs parties, workflows d’approbation, contre-signatures.

Comment Fonctionnent les Signatures Multiples

Chaque signature est indépendante et autonome :

• Chaque signataire crée sa propre signature avec son propre certificat
• Les signatures sont ajoutées séquentiellement ou en parallèle
• Chaque signature référence l’état du document au moment de la signature
• Les signatures ultérieures couvrent les signatures antérieures (fournissant une protection d’intégrité supplémentaire)

Vérifier les Documents à Signatures Multiples

Dans Adobe Acrobat Reader :

1. Ouvrez le document—toutes les signatures apparaissent dans le panneau de signature
2. Adobe valide toutes les signatures automatiquement
3. La coche verte n’apparaît que si toutes les signatures sont valides
4. Cliquez sur chaque signature individuellement pour consulter les détails
5. Vérifiez que tous les signataires ont des certificats qualifiés

Ordre de Signature et Horodatages

Lors de la vérification de documents à signatures multiples, vérifiez :

• Séquence de signature : Qui a signé en premier, deuxième, troisième, etc.
• Précision de l’horodatage : Assurez-vous que l’ordre de signature correspond au workflow attendu
• Fenêtres de validité des certificats : Tous les certificats valides à leurs moments de signature respectifs
• Versions du document : Pas de changements de contenu entre les signatures (sauf si attendu)

Explication de la Long-Term Validation (LTV)

Une des fonctionnalités les plus puissantes des QES est la Long-Term Validation—la capacité de vérifier les signatures même des décennies après leur création.

Le Problème de la Validation à Long Terme

Les signatures numériques font face à des défis uniques liés au temps :

• Les certificats expirent : Généralement valides 1-3 ans
• Les algorithmes deviennent obsolètes : Les méthodes cryptographiques s’affaiblissent avec le temps
• Les données de révocation disparaissent : Les serveurs OCSP/CRL peuvent ne pas maintenir les enregistrements historiques
• Les services de confiance évoluent : Les QTSPs peuvent changer ou cesser leurs opérations

Sans LTV, une signature pourrait devenir invérifiable après quelques années—même si elle était valide lors de sa création.

Comment LTV Résout Ce Problème

La Long-Term Validation intègre toutes les données de validation directement dans le document signé :

• Chaîne de certificats complète : Du signataire à l’autorité racine
• Informations de révocation : Réponses OCSP ou CRLs au moment de la signature
• Horodatages de confiance : Prouvent le moment de création de la signature
• Informations d’ancrage de confiance : Lien vers la EU Trusted List

Vérifier les Signatures avec LTV Activé

La vérification fonctionne même des années plus tard car :

1. Toutes les données de validation sont intégrées dans le PDF
2. Les horodatages prouvent que la signature a été créée quand le certificat était valide
3. Les données de révocation montrent que le certificat n’était pas révoqué au moment de la signature
4. Pas besoin de connexion Internet pour la vérification

Problèmes de Vérification Courants et Solutions

Problème : Avertissement « Impossible de Vérifier le Certificat »

Cause : Votre lecteur PDF n’a pas le certificat racine du QTSP dans sa liste de confiance.

Solution :

• Mettez à jour Adobe Acrobat Reader vers la dernière version
• Activez les mises à jour automatiques de la liste de confiance dans les préférences
• Utilisez le EU DSS Validator pour une vérification indépendante
• Importez manuellement le certificat racine du QTSP (avancé)

Problème : « Statut de Révocation Inconnu »

Cause : Votre ordinateur ne peut atteindre les serveurs de vérification de révocation (OCSP/CRL).

Solution :

• Vérifiez votre connexion Internet
• Vérifiez que le pare-feu ne bloque pas les requêtes OCSP/CRL
• Pour les signatures avec LTV activé, les données de révocation sont intégrées—pas besoin d’Internet
• Utilisez des validateurs en ligne qui gèrent la vérification de révocation côté serveur

Problème : « Validité de Signature Inconnue »

Cause : Plusieurs causes possibles incluant format de signature non supporté ou données de validation manquantes.

Solution :

• Essayez d’ouvrir dans un lecteur PDF différent
• Téléchargez vers DSS Validator pour une analyse complète
• Contactez le signataire pour vérifier la méthode de création de signature
• Vérifiez si la signature est réellement une signature qualifiée (QES) ou un niveau inférieur

Problème : Certificat Expiré mais Signature Valide

Cause : Le certificat a expiré après que le document ait été signé (c’est normal).

Solution :

• C’est en fait le comportement correct—pas une erreur
• Vérifiez que l’horodatage de la signature est avant la date d’expiration du certificat
• Si l’horodatage est dans la période de validité, la signature reste valide
• Les données LTV préservent cette validité de façon permanente

Problème : « Le Document a été Modifié »

Cause : Le contenu du document a changé après la signature.

Solution :

• Contactez l’expéditeur immédiatement—cela pourrait indiquer une falsification
• Demandez un original non modifié
• Vérifiez si les modifications étaient intentionnelles (par ex., ajout d’une contre-signature)
• Certaines opérations PDF (compression, OCR) peuvent invalider les signatures

Tableau Comparatif de Vérification

Points Clés à Retenir

• Vérification instantanée avec certitude mathématique : Contrairement aux signatures manuscrites nécessitant une analyse médico-légale coûteuse, les QES peuvent être vérifiées en secondes par n’importe qui en utilisant des outils gratuits comme Adobe Acrobat Reader, avec une preuve cryptographique plutôt qu’une opinion subjective.
• Six contrôles de sécurité critiques effectués automatiquement : La vérification confirme l’authenticité de la signature, l’identité du signataire, l’intégrité du document, la validité du certificat, la chaîne de confiance vers la EU Trusted List et la précision de l’horodatage—les six doivent réussir pour une signature valide.
• Adobe Acrobat Reader est la méthode recommandée : Gratuit, universellement disponible, met automatiquement à jour la EU Trusted List et fournit des résultats de validation instantanés avec des informations détaillées sur les certificats—ouvrez le PDF et la vérification se fait automatiquement.
• Plusieurs méthodes de vérification offrent de la flexibilité : Au-delà d’Adobe, utilisez le EU DSS Validator pour des rapports officiels, les portails de validation nationaux pour les QTSPs locaux ou des lecteurs PDF alternatifs—chaque méthode valide la même preuve cryptographique.
• La Long-Term Validation garantit la vérifiabilité permanente : LTV intègre toutes les données de validation directement dans les PDFs signés, rendant les signatures vérifiables des décennies plus tard même après l’expiration des certificats, le changement de systèmes des QTSPs ou la disparition des serveurs de révocation—validité juridique préservée pour toujours.