Dans le cadre du Plan de Transformation Numérique de la Commande Publique (PTNCP), l’AIFE met à la disposition des entités publiques et privées une solution de signature électronique. Cette solution, accessible soit par API, soit par un utilitaire dédié, permet à chacun de vérifier ou de créer des signatures électroniques. L'utilisation de la solution est gratuite. Toutefois, pour créer une signature, il est nécessaire de disposer au préalable d'un certificat électronique de niveau qualifié au titre du règlement iDAS, qui est payant.

Cet outil facilite ainsi l’accès du plus grand nombre à la commande publique, qui a été dématérialisée depuis le 1er octobre 2018. Depuis cette date, il est obligatoire de répondre de façon dématérialisée (c’est-à-dire de façon numérique) aux marchés publics de plus de 40 000 €. Cela suppose de pouvoir signer électroniquement plutôt que de façon manuscrite un certain nombre de pièces de marché.

 

 

 

 

A l’instar d’une signature sur un document manuscrit, une signature électronique avancée sert à identifier l’auteur d’un document électronique ainsi qu’à garantir que le document n'a pas été altéré entre l'instant où l'auteur l'a signé et le moment où le lecteur le consulte.

 

Pour répondre à ces objectifs d’identification et d’intégrité en contexte numérique, la signature électronique qualifiée s’appuie sur une technologie spécifique reposant sur les principes de la cryptographie asymétrique. Une signature manuscrite scannée ne saurait en aucun cas s’y substituer. En effet, il est toujours possible de modifier un document scanné ou bien d’usurper la signature manuscrite figurant sur un document numérique en pratiquant des copier/coller.

 

Pour un utilisateur donné, la signature électronique d’un document se traduit par l’intégration à ce document d’un code chiffré par la « clef privée » de l’émetteur ainsi que d’un « Certificat » de niveau qualifié (contenant une « clef publique » de déchiffrage) qui identifie le signataire tout en permettant de déchiffrer le code (signature) du document transmis. Toute modification ultérieure du document entraine l’incapacité du Certificat à le décoder correctement. Le système de signature électronique permet donc bien d’assurer l’intégrité de ce dernier.

 

Chaque « certificat » électronique est nominal (il est propre à une seule personne physique ou morale). Il n’est considéré « de confiance » que s’il a été émis par une « autorité de confiance » qualifiée au sens du règlement eIDAS. En outre, il a une durée de validité limitée. L’enjeu d’un service de vérification de signature électronique est donc aussi de vérifier si la signature a été émise pendant la période de validité du certificat et pendant que l’autorité de confiance émettrice était reconnue par les organes de contrôle nationaux.

 

 

Ce chapitre explique comment signer électroniquement un document avec l’utilitaire de signature électronique du portail de Services Chorus Pro

 

2.1        Pré-requis pour la signature électronique de documents

 

2.1.1       Certificat de signature

 

Pour signer un document, c’est-à-dire créer une signature électronique, il est nécessaire de disposer au préalable d’un certificat électronique, de niveau qualifié au titre du règlement européen eIDAS. Ce certificat est associé à votre identité et à une clef privée, sous votre contrôle exclusif, activée typiquement par la saisie d’un code PIN. Un certificat possède une durée de validité limitée dans le temps, trois ans par exemple. Il est fourni sur un support matériel comme une clef USB ou une carte à puce, ou alors accessible uniquement en ligne.

 

Un certificat qualifié de signature électronique s’acquiert auprès d’un « prestataire de service de confiance » qui a passé des audits de conformité au règlement eIDAS. Ces prestataires facturent en général la fourniture d’un certificat.

 

Pour en savoir plus au sujet des prestataires de services de confiance, vous pouvez vous référer au site de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) :

 

• Introduction aux services de confiance
• Liste des prestataires de services de confiance qualifiés par l’ANSSI

 

La Commission Européenne publie de son côté un outil de consultation de la liste de tous les services de confiance qualifiés en Europe.  

 

2.1.2       Outil de signature

 

La création d’une signature électronique nécessite un outil qui va générer la signature dans un format standardisé à partir des données du document à signer et d’un certificat de signature. Cet outil utilise la clef privée associée à ce certificat et demande donc au signataire de saisir le code PIN permettant de l’activer.

 

Les outils de signature peuvent différer par :

• Leur fonctionnement local ou en ligne ;
• Le support de certificat utilisable : support matériel (USB, NFC…), logiciel, en ligne ;
• Le niveau de sécurité du certificat : qualifié eIDAS, qualifié RGS, certifié ETSI, … ;
• Le type de document qu’ils prennent en charge : PDF, XML, données brutes… ;
• Le format de signature qu’ils sont capables de générer : PAdES, XAdES, CAdES…

 

Attention :

• L’outil de signature Chorus PRO en ligne ne permet d’utiliser que les certificats qualifiés au titre du règlement eIDAS et fournis sur un support matériel (clef USB, carte à puce, …).
• L’outil de signature IDOPTE permet d’utiliser des certificats qualifiés ou non, fournis sur un support matériel ou logiciel. La possibilité de créer une signature avec ce logiciel ne signifie pas que la signature générée est conforme aux attentes des processus règlementaires proposés par Chorus PRO. Une vérification de validité de la signature par le service en ligne Chorus PRO est indispensable en cas de doute.

 

2.1.3       Middleware

 

L’utilisation d’un support matériel de certificat impose d’installer sur le poste un logiciel supplémentaire, qualifié de « middleware » qui agit comme une interface vers les fonctions de sécurité du support matériel (lecture, saisie ou changement de code PIN, etc.).

 

Le fournisseur du certificat sur un support matériel fournit en règle générale un middleware pour les fonctions de base associées au support.

 

Cependant, l’utilisation d’un support matériel de certificat dans l’outil de signature en ligne Chorus PRO nécessite un middleware spécifique qui est téléchargeable en début de processus de signature. Il s’agit du logiciel « IDOPTE » nommé aussi  « Smart Card Middleware Chorus PRO ». Ce logiciel intègre de plus des fonctions locales (indépendamment du site Chorus PRO) de signature et de vérification de signature.

 

Le logiciel IDOPTE se nomme aussi « Smart Card Middleware Chorus PRO » et apparaît en tant que « Smart Card Manager » dans le dossier « Chorus PRO » du menu « Démarrer » de Windows.

 

Ce logiciel est un middleware permettant de mettre à la disposition du navigateur les fonctions cryptographiques disponibles sur les supports de certificats électroniques, en particulier pour d’authentifier sur un site Internet et créer une signature électronique en ligne.

 

Le logiciel IDOPTE est disponible sur les trois principaux OS : Windows, MacOS et Linux.

 

Le middleware dispose également d'un outil : le Smart Card Manager, permettant de réaliser :

• Une inspection des certificats présents sur la carte ;
• Des opérations basiques d'administration du support : changement de code PIN ;
• Des signatures électroniques avec un certificat présent sur la carte ;
• Des vérifications de signatures électroniques ;
• Des opérations de chiffrement et de déchiffrement de fichiers ;
• Des opérations de diagnostic du poste et de la carte.

 

Attention :

L’outil de signature IDOPTE permet d’utiliser des certificats qualifiés ou non, fournis sur un support matériel ou logiciel. La possibilité de créer une signature avec ce logiciel ne signifie pas que la signature générée est conforme aux attentes des processus règlementaires proposés par Chorus PRO. Une vérification de validité de la signature par le service en ligne Chorus PRO est indispensable en cas de doute.

 

Le produit propose des pages d’aide accessibles localement ou en ligne.

 

Pour accéder à l’aide locale, ouvrez l’application et cliquez sur le bouton ? du bandeau vertical de menu, puis sur la commande « Guide utilisateur ».

 

Vous pouvez aussi accéder à l’aide en ligne, rendez-vous sur le site IDOPTE .

 

2.1.4       Pré-requis à la signature sur le portail de services Chorus Pro :

 

Pour signer en ligne sur le site Chorus PRO, vous devez disposer :

 

• D’un certificat qualifié de signature sur support matériel (cf. Certificat de signature) ;
• D’un navigateur sur PC (Windows 10 et ultérieur) / Mac / téléphone / tablette accédant à Internet (Edge (minimum version 125.0.2535.51) et Firefox (minimum version 115.9.1esr (64 bits)), Chrome (version non précisée)) ;

 

2.2       Pas à pas : comment créer une signature sur Chorus Pro

 

Pensez à brancher votre clef sur votre ordinateur avant de lancer l’outil de signature, de sorte que l’utilitaire puisse accéder au certificat depuis le navigateur. Vous pouvez tenter de rafraîchir la page

 

2.2.1      Accéder au service de e-signature

 

Le service de signature électronique Chorus PRO est mis à disposition gratuitement sur le Portail de Services.

 

 

2.2.2      Vue d’ensemble du processus

 

Pour signer un document avec notre utilitaire, rendez-vous sur cette page web avec votre navigateur et suivez les étapes successives de signature :

Pour signer un document avec notre utilitaire, rendez-vous sur cette page web avec votre navigateur et suivez les étapes successives de signature :

 

• Prérequis
• Charger le document
• Générer la signature
• Choix du certificat
• Code PIN

 

2.2.3      Etape 1 : Prérequis

 

L’étape 1 présente l’écran suivant :

 

Le service de signature en ligne a besoin d’un logiciel intermédiaire pour que votre navigateur puisse accéder à votre support matériel de certificat. C’est la fonction du logiciel IDOPTE « Smart Card Manager » de Chorus PRO.

 

Une fois ce logiciel téléchargé, installé et exécuté, ce logiciel demeure sur le terminal. Son installation n’est donc nécessaire que lors de la première utilisation de la fonction de signature sur un terminal, ou bien lorsqu’une mise à jour du logiciel est nécessaire.

 

Lorsque le logiciel IDOPTE est déjà installé et à jour sur votre terminal, la page affiche le message suivant : "Bienvenue sur votre espace de signature électronique. Le logiciel iDOPTE, qui permet d'interagir entre l'application et votre support de signature, est à jour, vous pouvez procéder à la suite du processus de signature électronique en cliquant sur "passer à l'étape suivante".

 

 

Dans ce cas, vous pouvez directement cliquer sur le bouton « Passer à l’étape suivante ».

 

Lorsque la page web vous demande d’installer le logiciel IDOPTE :

• Téléchargez le logiciel IDOPTE en cliquant sur le lien présenté « IDOPTE (.exe)
• Ouvrez le dossier où le fichier a été enregistré
• Faites analyser le fichier par votre anti-virus si cela n’a pas été fait automatiquement
• Exécutez le logiciel IDOPTE.exe pour l’installer
• Validez les étapes de l’installation jusqu’à la notification de fin d’installation
• Cliquez sur le bouton « Etape suivante » de la page web

 

Sous Windows, le logiciel IDOPTE apparaît sous le nom « Smart Card Manager » dans le dossier « Chorus PRO » du menu « Démarrer ».

 

2.2.4      Etape 2 : Charger le document à signer

 

L’étape 2 présente l’écran suivant :

 

Vous pouvez désormais charger le document que vous souhaitez signer sur l’utilitaire. Pour ce faire, vous avez deux options :

• Option 1 : Cliquez avec le bouton gauche de la souris sur votre document puis le faites glisser jusque sur l’icône « Glisser votre document » (en maintenant le bouton de la souris pressé)
• Option 2 : Cliquez sur « Rechercher votre document sur votre ordinateur », ce qui vous permet de rechercher et désigner le fichier à signer dans les différents dossiers de votre terminal.

 

Un message d’information vous informe du succès du chargement du document :

 

 

Une ligne contenant le nom de votre document apparait de plus sous les icônes des options de chargement du document :

 

 

Le document à signer ne doit pas peser plus de 20 Mo. Dans le cas contraire, un message d’erreur s’affiche au-dessus du cadre de l’étape :

 

 

En cas d’erreur, vous pouvez toujours supprimer ce choix de document en cliquant sur la petite icône en forme de poubelle, de sorte à pouvoir choisir un autre document.

 

Attention, vous ne pouvez signer qu’un seul document à la fois avec ce processus. Pour signer plusieurs documents, il vous faut reprendre le parcours depuis l’étape 1 pour chaque document.

 

Lorsque le document à signer est chargé et vous convient, cliquez sur le bouton « Passer à l’étape suivante ».

 

2.2.5      Etape 3 : Générer la signature

 

L’étape 3 vous propose de choisir le format de signature que vous souhaitez utiliser :

 

L’outil est capable de générer des signatures selon les formats suivants :

• PDF : ce format est destiné aux documents PDF et permet d’intégrer la signature dans le document lui-même. Il s’agit du format le plus commun pour la signature de documents.
• XML détachée : ce format convient pour tout type de document et crée un nouveau fichier au format XML et contenant la signature des données.
• CADES détachée : ce format convient pour tout type de document et crée un nouveau fichier au format CAdES et contenant la signature des données.

 

Par défaut, il est recommandé de signer des documents au format PDF (après conversion si nécessaire), et de n’utiliser les autres formats que lorsque celui-ci est spécifiquement requis pour un processus donné.

 

Après avoir sélectionné le format de signature, cliquez sur le bouton « Passer à l’étape suivante ».

 

2.2.6      Etape 4 : choix du certificat

 

L’étape 4 vous permet de sélectionner le certificat de signature parmi ceux que vous possédez et qui sont valides et détectés par le logiciel IDOPTE sur votre poste :

 

Si le logiciel IDOPTE n’a retrouvé aucun certificat valide sur votre poste, aucun certificat ne vous sera proposé à cette étape et vous ne pourrez pas signer votre document. Vous devez vérifier la connexion de votre support à votre poste et vous devez retourner à l’étape précédente pour rafraîchir la liste en revenant dans cet écran.

 

Un certificat de signature détecté est décrit par le nom du sujet du certificat (attribut CommonName ou CN du titulaire du certificat) et les dates de début et de fin de validité.

 

Lorsque plusieurs certificats sont proposés, vous pouvez choisir celui utilisé en cliquant sur la ligne correspondante dans la colonne Action.

 

Une fois que vous avez choisi le certificat à utiliser, cliquez sur le bouton « Passer à l’étape suivante ».

 

2.2.7      Etape 5 : Code PIN

 

L’étape 5 constitue l’étape finale de création de la signature, après saisie du code PIN du support du certificat :

 

Entrez le code PIN de votre support (ou le code PIN de votre certificat s’il existe plusieurs codes PIN sur votre support), puis cliquer sur le bouton « Valider » pour générer votre signature.

 

Si le code PIN est correct, la signature est générée par l’outil avec le certificat sélectionné à l’étape 4 et selon le format choisi à l’étape 3. Le document PDF signé ou la signature détachée XML ou CADES peut être téléchargé sur votre poste.

 

 

Cliquez sur le texte « Télécharger votre document » pour récupérer le document signé.

 

Si le code PIN est incorrect, un message d’erreur s’affiche. La signature ne peut pas être générée et vous devez recommencer cette étape de saisie. Attention, chaque support dispose d’un nombre limité d’essais au-delà duquel le code PIN est bloqué. Merci de vous rapprocher de l’Autorité de Certification qui vous a remis votre support afin de connaître le nombre d’essais autorisés (le plus souvent 3 ou 5) et, le cas échéant, les modalités de déblocage.

 

Il vous est possible de vérifier la signature générée avec un outil de vérification de signature, comme par exemple celui proposé par Chorus PRO. Lorsque le document signé est au format PDF, la signature peut aussi être validée par certains outils de lecture tels que Acrobat Reader.

 

2.3      Signer en local avec le logiciel IDOPTE

 

2.3.1      Accéder à la fonction de signature de documents

 

Le logiciel IDOPTE permet de signer localement, en une seule opération, un ou plusieurs fichiers de son choix.

 

Pour accéder à la fonction de signature, cliquer sur le bouton  du bandeau vertical de menu, puis sur la commande « Signature de fichier(s) ».

 

L’écran de sélection des documents à signer et de déclenchement de la signature s’affiche :

 

2.3.2      Sélectionner les documents à signer

 

Vous pouvez ajouter des fichiers à signer en cliquant sur l'icône .

 

Pour chaque fichier, le format du fichier de sortie peut être choisi. Trois formats sont disponibles :

 

• PDF : Disponible seulement pour les fichiers PDF, et l'option par défaut pour ces fichiers. La signature est contenue dans le fichier PDF de sortie.
• XAdES détachée : seule la signature est écrite dans le fichier de sortie, au format XAdES (basé sur XML). L'opération de vérification nécessitera le fichier original et le fichier de signature.
• CAdES détachée ou attachée.
• CAdES attachée : le fichier original et la signature sont tous les deux contenus dans le fichier de sortie, et le fichier de sortie utilise le format CAdES (basé sur CMS/PKCS#7). Ceci est l'option par défaut, sauf pour les fichiers PDF.
• CAdES détachée : seule la signature est écrite dans le fichier de sortie, au format CAdES (basé sur CMS/PKCS#7). L'opération de vérification nécessitera le fichier original et le fichier de signature.

 

 

2.3.3      Sélectionner le dossier de destination

 

Le fichier de destination, qui contient les fichiers résultants de l'opération, peut être choisi en cliquant sur l'icône.

 

Par défaut, le dossier de destination est le dossier du premier fichier d'entrée choisi.

 

2.3.4      Sélectionner le certificat de signature

 

Vous déclenchez la signature en cliquant sur le bouton "Signer". L'étape suivante est la sélection du certificat de signature :

 

 

L'onglet "Carte à puce" permet de choisir un certificat de votre support matériel (clef USB, carte à puce, …), tandis que l'onglet "Magasin système" permet de choisir un certificat logiciel contenu dans le magasin de certificats ou le trousseau de clefs du système d’exploitation de votre poste.

 

Seuls les certificats valides sont affichés. Un certificat valide apparaît avec une coche verte lorsque vous visualisez le contenu de votre carte à puce dans le logiciel Idopte.

 

 

Un certificat invalide apparaît avec une croix rouge. Votre certificat peut être invalide si :

• Le certificat a expiré (la date de fin de validité est dépassée) ;
• Le certificat a été révoqué ;
• Le certificat est émis par une Autorité de Certification qui n’est pas considérée comme de confiance sur votre poste.

 

Dans ce dernier cas, un message de ce type est visible dans le logiciel Idopte lorsque vous affichez le contenu de votre carte à puce :

 

Si vous êtes certain de la conformité de votre certificat (l’Autorité de Certification doit être une Autorité de Certification qualifiée au titre du règlement eIDAS), vous devez ajouter le certificat de cette Autorité de Certification et sa chaine jusqu’à l’Autorité de Certification Racine dans le magasin de confiance de votre poste.

 

2.3.5      Signature

 

Cliquez sur le certificat à utiliser, puis cliquez sur le bouton "OK" pour déclencher la signature.

 

Le logiciel vous demande de saisir votre code PIN (sauf si le certificat vient du magasin de certificats du système) :

 

Les signatures sont alors générées, et le résultat de l'opération est affiché :

 

Les fichiers signés (ou les signatures détachées) sont créés dans le répertoire de destination configuré au préalable et rappelé dans l’écran présenté.

 

2.4       Signer avec d’autres outils

 

Les signatures générées et attendues sur Chorus PRO respectent les formats du règlement européen eIDAS. Il est ainsi possible de générer des signatures conformes avec des outils tiers qui sont conformes aux mêmes standards.

 

En particulier :

• la signature de documents peut être un outil ou un service proposé par le fournisseur du certificat électronique de signature, tel qu’un service de signature en ligne lorsque votre clef privée de signature est conservée à distance et non sur un support physique ;
• la signature de documents PDF est possible dans certains outils de lecture ou d’édition de documents PDF, tel que Acrobat Reader.

 

Lorsque vous utilisez un outil tiers, il vous revient de vous assurer que votre certificat électronique de signature est conforme aux prérequis, c’est-à-dire qu’il s’agit d’un certificat qualifié de signature électronique.

 

Il vous est fortement recommandé de vérifier la signature électronique sur le site Web Chorus PRO afin de vous assurer que la signature générée est bien recevable.

 

 

3.1        Introduction

 

Le service de vérification de signature a pour objet de fournir à ses clients un rapport de validité technique de la signature électronique présente dans le document qui lui est soumis. Ce rapport est à interpréter par le client du service afin de déterminer si la signature du document est valide ou non dans son contexte d’utilisation.

 

Le service vérifie les signatures de type XAdES (document XML ou tout autre document) ou PAdES (document PDF). Pour tous les cas où la signature est de type XAdES et où la signature est détachée du document, un second bloc intitulé "Signature(s) complémentaire(s)" est fourni pour permettre de charger le fichier de signature.

 

3.2       Vérifier une signature

3.2.1      Pré-requis

 

Pour vérifier une signature en ligne sur le site web Chorus PRO, vous devez disposer d’un navigateur sur PC (Windows 10 et ultérieur) / Mac / téléphone / tablette accédant à Internet (Edge (minimum version 125.0.2535.51) et Firefox (minimum version 115.9.1esr (64 bits)), Chrome (version non précisée))

 

3.2.2      Accéder au service

 

Le service de vérification de signature électronique Chorus PRO est mis à disposition gratuitement sur la page web suivante : https://esignature.chorus-pro.gouv.fr/#/verifier/process

 

Pour vérifier la signature d’un document avec ce service, rendez-vous sur cette page web avec votre navigateur.

 

3.2.3      Politique de vérification de signature

 

Vous pouvez télécharger la politique de vérification de signature appliquée à l’aide d’un lien en bas à droite de la fenêtre de vérification.

 

Passez la souris sur le texte « NOTRE POLITIQUE » puis cliquez sur la flèche noire descendante pour télécharger le document décrivant la politique de vérification de signature.

 

3.2.4      Sélectionner la signature à vérifier et lancer l’analyse

 

A l’ouverture de la page, le service vous demande de désigner le document dont la signature est à vérifier :

 

 

Cliquez sur une zone « Choisissez un fichier » pour sélectionner un fichier sur votre poste :

• Contrat : Sélectionnez ici le document signé (typiquement un contrat)
• Signature(s) complémentaire(s) : Uniquement lorsque la signature à vérifier est au format XAdES détachée ou CAdES détachée, sélectionnez ici le fichier de signature détachée.

 

Remarque : Lorsque le document signé est au format PDF, il doit être chargé sur la zone « Contrat » et la deuxième zone doit être ignorée.

Cliquez sur le bouton « Vérifier » pour lancer la vérification.

 

3.2.5      Lire le rapport de vérification

 

Vue générale du rapport de vérification

Le rapport de vérification se décompose en plusieurs parties :

• Date de génération du rapport
• Table des matières du rapport
• Synthèse de la vérification
• Informations concernant successivement chacune des signatures trouvées
• Bouton de téléchargement du rapport

Chacune de ces parties est détaillée ci-dessous.

 

3.2.5.1         Date de génération du rapport

 

La date de génération du rapport est indiquée dans le bandeau supérieur de l’écran de présentation des résultats :

Vérification avec Chorus PRO : Date de génération du rapport

 

La date est indiquée au format jour/mois/année et heure/minutes/secondes avec une indication du fuseau horaire utilisé (heure de Paris).

Attention : Lorsque le service Chorus Pro a déjà réalisé la vérification de signature du même document dans les 24 dernières heures, le rapport de vérification n’est pas regénéré mais reprend uniquement les résultats obtenus lors de cette précédente vérification. Dans ce cas, la date indiquée à l’écran est cette de cette vérification antérieure et ne correspond donc pas à la date actuelle.

 

3.2.5.2         Table des matières du rapport

 

La table des matières du rapport est affichée en haut à droite du rapport. Elle permet de naviguer rapidement vers les différentes sections du rapport, notamment lorsqu’un document contient plusieurs signatures.

Cliquez sur l’une des lignes de la table des matières afin de faire afficher directement la section désirée.

 

3.2.5.3         Synthèse de la vérification

 

La synthèse de la vérification résume le statut des signatures du document :

 

 

Les informations suivantes sont indiquées :

• Contrat : nom du fichier signé
• Bilan des vérifications : synthèse du statut de la vérification :
  • Aucune erreur trouvée : toutes les vérifications sont positives
  • Erreur(s) trouvée(s) : au moins une signature est invalide
  • Statut Indéterminé : certaines informations sont manquantes (par exemple le statut de révocation ou une date fiable de signature) pour donner un résultat certain. La signature pourrait être correcte ou incorrecte, seules ces informations manquantes permettraient de fournir un statut définitif.
• Nombre de signatures trouvées : un document peut contenir une ou plusieurs signatures.

 

Il se peut que le service ne détecte pas la signature s’il n’y en a pas (par exemple vous n’avez pas joint la signature détachée d’un document) ou bien son format ne respecte pas les standards et n’a donc pas été reconnue.

 

3.2.5.4         Informations concernant chacune des signatures trouvées

 

Les informations présentes dans le rapport pour chaque signature sont réparties sur plusieurs sections :

• Informations de la signature
• Propriétés de la signature
• Certificat du signataire
• Propriétés du jeton d'horodatage (optionnel)
• Certificat du jeton d'horodatage (optionnel)

 

3.2.6      Comprendre les sections du rapport

 

3.2.6.1         Informations de la signature

 

Les informations de la signature sont de la forme suivante :

 

 

Les informations indiquées sont :

• Identifiant de la signature : Identifiant technique qui peut s’avérer utile lorsque le document contient plusieurs signatures et que l’un d’elle pose problème
• Signataire : Attributs désignant le porteur du certificat de signature. Les champs indiqués dépendent du format du certificat
• Emetteur du certificat de signature : Attributs désignant l’Autorité de Certification qui a émis le certificat de signature. Les champs indiqués dépendent du nom de cette AC.

 

3.2.6.2         Propriétés de la signature

 

Les propriétés de la signature sont de la forme suivante :

 

Les informations indiquées sont :

• Date indicative : Date de la signature telle qu’indiquée dans la signature, indépendamment de la présence ou non d’un jeton d’horodatage. Cette date est celle de la machine qui a créé la signature, elle peut donc s’avérer ne pas être fiable.
  • Format de la signature : Le format comporte deux informations
  • Format général de la signature
    • PDF
    • XML
    • CMS (pour tout type de document)  : Cryptographic Message Syntax
  • Niveau du format de signature
    • aucune mention : signature sans horodatage
    • horodatée : document signé et horodaté
    • horodatée long terme : document signé et horodaté avec des informations de vérification sur le long terme
    • horodatée long terme pour archivage : document signé et horodaté avec des informations horodatées de vérification sur le long terme, à but d’archivage de la signature
  • Niveau de la signature : Il s’agit du niveau au titre du règlement eIDAS
    • Signature qualifie : le niveau le plus élevée de signature par une personne physique, reconnu juridiquement équivalent à la signature manuscrite
    • Signature avancée : niveau de signature garantissant l’identification du signataire par son certificat et l’intégrité du document signé
    • Signature avancée avec un certificat qualifié : niveau de signature garantissant l’identification du signataire par son certificat et l’intégrité du document signé. La signature n’est pas qualifiée du fait du support de la clef privée qui n’est pas qualifié
    • Cachet qualifié : le niveau le plus élevée de cachet par une personne morale, reconnu juridiquement comme garantissant l’intégrité et l’origine des données
    • Cachet avancé : niveau de cachet garantissant l’identification du signataire par son certificat et l’intégrité du document signé
    • Cachet avancé avec un certificat qualifié : niveau de cachet garantissant l’identification du signataire par son certificat et l’intégrité du document signé. Le cachet n’est pas qualifié du fait du support de la clef privée qui n’est pas qualifié
  • Intégrité des données signées : Résultat de la vérification d’intégrité des données réalisée à partir de l’empreinte signée

 

3.2.6.3         Certificat du signataire

 

Les propriétés du certificat du signataire sont données sous la forme suivante :

 

Les informations indiquées sont :

• Date de validité du certificat : date de début et de fin de validité du certificat, exprimées dans le fuseau spécifié au bas du rapport
• Usage prévu du certificat : Usage du certificat, tel que signature, cachet ou autre
• Type de support : Niveau de qualification du support de la clef privée de signature. Seul un support qualifié eIDAS permet (en association avec un certificat qualifié) de créer une signature qualifiée
• Signataire : Attributs désignant le porteur du certificat de signature. Les champs indiqués dépendent du format du certificat
• Emetteur du certificat de signature : Attributs désignant l’Autorité de Certification qui a émis le certificat de signature. Les champs indiqués dépendent du nom de cette AC
• Statut de révocation du certificat : le service effectue une recherche de ce statut de révocation au moment de la signature. Ce moment est soit l’heure indiquée par un jeton d’horodatage incorporé à la signature, soir l’heure de vérification (la date indicative de signature n’est pas prise en compte du fait d’une fiabilité non établie). Le statut peut être :
  • Non révoqué
  • Révoqué, avec dans ce cas la précision de la date de révocation
  • Indéterminé, lorsque le service n’a pas pu accéder à une information de révocation
• Identifiant de la politique de certification : Identifiant sous la forme d’un OID (Object Identifier) de la politique de certification selon laquelle le certificat a été émis. L’Autorité de Certification doit publier le document décrivant cette politique.
• Chaîne de certification : Statut de la vérification de la chaine de certification
• Niveau de sécurité : Niveau du certificat au titre du règlement eIDAS :
  • Qualifié eIDAS : Seul un certificat qualifié eIDAS permet (en association avec un support qualifié) de créer une signature qualifiée
  • Non qualifié eIDAS : dans ce cas, un niveau de sécurité peut être précisé entre parenthèse s’il a pu être identifié, parmi
    • ETSI NCP+ ou NCP ou LCP : certificat certifié conforme à une norme ETSI
    • RGS * ou ** ou *** : certificat qualifié RGS

 

3.2.6.4         Propriétés du jeton d'horodatage

 

Les propriétés du jeton d’horodatage sont de la forme suivante :

 

 

Les informations indiquées sont :

• Intégrité des données horodatées : Statut de la vérification d’intégrité de la signature, calculé à partir de l’empreinte des données horodatées.
• Niveau de sécurité : Niveau de sécurité du jeton d’horodatage au titre du règlement eIDAS
  • Jeton d’horodatage qualifié eIDAS (QTSA) : juridiquement présumé fiable
  • Jeton d’horodatage qualifié RGS : jeton non qualifié eIDAS mais qualifié selon le RGS
  • Jeton d'horodatage non reconnu : jeton d’horodatage non qualifié ni eIDAS ni RGS
• Date : Date et heure données par le jeton d’horodatage, exprimées dans le fuseau spécifié au bas du rapport

 

La date et l’heure du jeton d’horodatage sont prises en compte pour établir la date de signature (influant sur le statut de validité du certificat), et ce que le jeton d’horodatage soit qualifié ou non.

 

3.2.6.5         Certificat du jeton d'horodatage

 

Les propriétés du certificat du signataire sont données selon le même format que celui utilisé pour le certificat du signataire :

 

 

Les informations portent ici sur le certificat utilisé par le service d’horodatage pour signer le jeton d’horodatage, ainsi que sur le certificat de l’Autorité de Certification qui a émis le certificat d’horodatage.

 

3.2.6.6         Bouton de téléchargement du rapport

 

Ce bouton de téléchargement apparaît en haut à droite, au-dessus de la table des matières.

 

Cliquez sur bouton pour télécharger le rapport de vérification au format PDF.

 

 

4.1        Accéder à la fonction de vérification de signature de documents

 

Le logiciel IDOPTE permet de vérifier localement la ou les signatures présentes dans un ou plusieurs fichiers de son choix.

 

Pour accéder à la fonction de vérification signature, cliquer sur le bouton  du bandeau vertical de menu, puis sur la commande « Ouvrir ».

 

L’écran de sélection des documents à vérifier s’affiche :

 

4.2       Sélectionner les documents à vérifier

 

Vous pouvez sélectionner les documents à vérifier en cliquant sur l'icône "+" (verte). Pour vérifier plusieurs documents en une seule opération, il faut sélectionner plusieurs fichiers simultanément dans la boîte de sélection proposée par votre poste.

 

4.3       Vérifier la signature

 

La vérification est déclenchée automatiquement dès la validation de la sélection des fichiers à vérifier.

 

L’outil vérifie tous les fichiers sélectionnés et le résumé des résultats de vérification est affiché :

 

 

Pour chacun des fichiers, le logiciel indique :

 

• Le format des signatures identifiées dans le document
• Le statut :
  • Coche verte : la signature est valide
  • Coche rouge : un problème a été rencontré dans la validation
• Un lien vers le document signé
• Le nom du signataire et, en dessous, le nom de l’Autorité de Certification qui a émis le certificat du signataire.

 

La signature peut être déclarée invalide lorsque la chaîne de certification du certificat du signataire n’est pas déclarée localement sur votre poste. Un ajout des certificats des Autorités de Certification de cette chaîne est alors nécessaire (cf. Sélection du certificat de signature).

 

Vous pouvez générer un rapport de validation en cliquant sur l'icône en forme de feuille cochée (en haut à droite, au niveau de la ligne "résultats de la validation"). Le rapport généré sera ouvert sur l'application PDF par défaut de votre poste.

 

Vous pouvez afficher les détails de vérification d’une signature avec le bouton "+". Un nouvel écran est affiché :

 

Cet écran présente des détails supplémentaires concernant la signature et le certificat du signataire :

• Informations détaillées concernant la signature
  • Nom du fichier contenant le document vérifié
  • Date de signature présumée indiquée dans la signature (indépendamment de la présence ou non d’un jeton d’horodatage)
  • Fuseau horaire dans lequel est exprimée la date présumée de signature
  • Statut de vérification d’intégrité des données signées
  • Identifiant technique de la signature
• Informations détaillées concernant le certificat du signataire
  • Date de début de validité du certificat
  • Date de fin de validité du certificat
  • Usage du certificat
  • Statut de validité de la chaine de certification du certificat
  • Type de support : qualifié ou non
  • Niveau de qualification du certificat : qualifié ou non
  • Détails des attributs d’identification du sujet du certificat (le signataire)
  • Détails des attributs d’identification de l’émetteur du certificat (l’Autorité de Certification)

 

 

Les signatures respectant les formats du règlement européen eIDAS peuvent être vérifiées avec des outils tiers qui sont conformes aux mêmes standards.

 

En particulier :

• la vérification de signature de documents peut être un outil ou un service proposé par le fournisseur du certificat électronique de signature ;
• la vérification de signature de documents PDF est possible dans certains outils de lecture ou d’édition de documents PDF, tel que Acrobat Reader.

 

Lorsque vous utilisez un outil tiers, il vous revient de vous assurer que la politique de vérification est conforme aux attentes des services de l’Administration. Le magasin de certificats de confiance doit correspondre aux services qualifiés au titre du règlement eIDAS.

 

Devant la complexité des configurations d’une fonction de vérification de signature, il vous est fortement recommandé de vérifier la signature électronique sur le site Web Chorus PRO.