Blog GlobalSign

27 mars 2018

Signature numérique dans Adobe : signatures de certification et d’approbation

Une fois que vous savez faire la distinction entre signatures numériques et signatures électroniques, un autre choix s’impose : le type de signature numérique à utiliser. Les applications Adobe offrent deux possibilités :

  1. signer numériquement (par une signature dite d’« approbation ») ou
  2. certifier le document.

Heureusement, les différences et scénarios d’utilisation sont très clairs.

Certificate-based signing options in Adobe Acrobat Pro DC.

Options de signature par certificats dans Adobe Acrobat Pro DC.

Première méthode : signer numériquement le document (c’est-à-dire lui ajouter une signature d’approbation)

Pour vous, signer numériquement un document signifie sans doute lui ajouter une signature numérisée, c’est-à-dire plus ou moins le pendant virtuel de la signature physique apposée sur le document papier. Auparavant, un document PDF ne pouvait être signé numériquement que sous Adobe Acrobat, mais la fonctionnalité a été récemment ajoutée à Adobe Reader.

Daniel Farrell Digital Signature
Exemple de signature d’approbation dans Adobe Acrobat. Y figurent le nom du signataire, une image de sa signature manuscrite et un horodatage. Il est possible de cliquer sur la signature pour afficher plus d’informations sur le signataire.

Dans ce contexte, la signature numérique, dite parfois signature d’approbation, vise à accélérer la procédure d’approbation de l’entreprise en recueillant sous forme électronique l’assentiment d’une personne ou d’un service pour l’incorporer au PDF. Comme son nom l’indique, elle atteste que vous et les éventuels autres signataires approuvez le contenu du document.

Une fois la signature apposée, il est possible de verrouiller le document. L’intérêt de la signature numérique réside en grande partie dans la vérification du contenu qui se fait en arrière-plan lorsqu’elle est validée. En gros, le contenu du document au moment de sa signature est comparé à son contenu au moment de la validation de cette signature (c’est-à-dire quand quelqu’un ouvre le document). Si une différence est détectée, un message d’erreur apparaît. Un autre de nos articles explique ce processus, si vous souhaitez en savoir plus.

Donc, le terme « verrouiller » ici peut prêter à confusion. Comme nous venons de l’expliquer, le contenu du document est presque entièrement « verrouillé » dès que vous apposez votre signature, ce qui signifie qu’aucune autre signature, annotation ou information ne peut y être ajoutée. Le document est alors totalement inviolable. Si vous souhaitez autoriser quelque modification que ce soit, cette solution n’est pas celle qu’il vous faut. Vous lui préférerez la certification de document qui permet un contrôle plus précis des ajouts possibles après la signature.

Deuxième méthode : certifier le document

Certifier un document consiste à l’authentifier en le marquant d’un sceau. Contrairement à la signature numérique ou d’approbation décrite ci-dessus, la certification d’un document ne peut avoir lieu qu’une seule fois. Elle est par ailleurs impossible si le document porte déjà une signature numérique. En d’autres termes, la certification est généralement effectuée par l’auteur du document, avant qu’il soit publié ou envoyé pour recueillir d’autres signatures ou renseignements.

Remarque : actuellement, la certification n’est possible que sous Adobe Acrobat. Reader ne prend pas en charge cette fonctionnalité.

Un ruban bleu s’affiche en haut des documents certifiés, accompagné des noms du signataire, de sa société et de l’émetteur du certificat. Cet indicateur visuel témoigne clairement de l’authenticité du document et de l’auteur.

Example certified document in Adobe Acroba

Exemple de document certifié dans Adobe Acrobat. Y figurent les noms du signataire, de sa société et de l’autorité de certification (AC) qui a émis le certificat.

Comme indiqué plus haut, la certification vous permet de mieux contrôler les différents contenus qu’il est possible d’ajouter à un document après signature. Vous disposez ainsi de trois options pour indiquer les opérations autorisées après certification :

Option 1. Annotations, form fill-in, and digital signatures.

Option 1. “Annotations, form fill-in, and digital signatures” – “Annotations, remplissage de formulaire et signatures numériques

Cette option autorise les destinataires du document à y ajouter des annotations, utiles en cas de travail collaboratif, ainsi qu’à remplir les champs d’un formulaire prédéfini. Elle permet aussi d’ajouter des signatures numériques.

Option 2. « Form fill-in and digital signatures » – Remplissage de formulaire et signatures numériques

Les modifications autorisées sont les mêmes qu’avec la première option, sans les annotations. Cette option s’utilise généralement si un même document exige plusieurs signatures ou si vous envoyez un formulaire dans le but de recueillir des informations.

Option 3. « No changes allowed » – Aucune modification possible

Cette option verrouille complètement le document de façon à empêcher tout changement, y compris la saisie d’informations dans un formulaire ou l’ajout de signatures numériques. Elle est couramment employée dans des contrats ou des textes réglementaires dont l’auteur ou l’éditeur souhaite interdire toute modification. Les dessins techniques et les documents relevant de la protection de la propriété intellectuelle (rapports de recherche, résultats de laboratoire, etc.) comptent également parmi les usages possibles.

Option de signature invisible ou visible

Vous avez le choix de certifier un document à l’aide d’une signature visible ou invisible. La première solution s’utilise lorsque l’auteur du document doit le signer (en ajoutant une ligne de signature visible, comme dans l’option de signature numérique décrite plus haut). La signature invisible d’un document certifié permet à l’auteur de contrôler les opérations autorisées après la certification sans ajouter de signature proprement dite. Il s’agit alors généralement de fournir des garanties concernant l’authenticité, l’intégrité et l’origine du document, pour lesquelles une ligne de signature visible n’est pas nécessaire.

Dernières considérations

Au risque de me répéter, je pense qu’il est utile de rappeler qu’une fois signé numériquement, un document ne peut plus être certifié. Vous devez donc le certifier au préalable ou ne pas le certifier du tout.

Autre rappel, mais tout aussi important : Reader ne permet pas de certifier, mais uniquement de signer numériquement. Cette fonctionnalité étant relativement récente, elle risque d’ailleurs de ne pas être disponible si votre version est ancienne. Adobe Acrobat, en revanche, prend en charge la signature numérique et la certification depuis des années. S’il vous arrive rarement de rédiger des documents, il est probable que vous n’aurez besoin que de la fonction de signature d’approbation.

Les signatures visibles, qu’elles soient certifiées ou numériques, peuvent être personnalisées pour inclure une image (votre signature physique ou sceau officiel) et divers renseignements complémentaires (lieu, date et motif de la signature, par exemple).

Dans les deux cas, elles comporteront un horodatage. Ce qu’il faut retenir ici, c’est la source de cet horodatage – soit votre horloge système, soit celle fournie par un tiers de confiance. En effet, la différence est de taille au niveau de la non-répudiation et de la recevabilité juridique. L’horodatage provenant de votre ordinateur ne pourra pas servir de preuve car il est facile de changer la date et l’heure du système. Pour que votre signature puisse servir à étayer des pistes de vérification ou des transactions soumises à des contraintes de délai, ou simplement pour que tout le monde sache quand elle a été effectivement apposée, vous veillerez à la rattacher à une autorité d’horodatage (AH) de confiance respectant le protocole RFC 3161. Les signatures appliquées dans Adobe Acrobat et Reader à l’aide de certificats GlobalSign comprennent automatiquement un horodatage de confiance.

Enfin, il ne faut pas oublier que toutes les signatures numériques, qu’elles soient d’approbation (visibles) ou de certification, sont, pour les entreprises, un gage de valeur ajoutée et de tranquillité d’esprit par rapport aux autres types de signature électronique, notamment en matière de respect de la réglementation. En effet, elles intègrent les caractéristiques suivantes :

  • Authentification du signataire : un identifiant vérifié par un tiers est utilisé pour apposer la signature. Celle-ci n’est pas une simple image plaquée sur le document : les destinataires peuvent cliquer dessus pour afficher plus de détails sur l’identité du signataire.
  • Non-répudiation : la signature est appliquée avec votre clé privée, qui est adossée à l’identifiant vérifié et dont le code informatique est impossible à percer. Par conséquent, vous ne pouvez pas nier que vous avez signé le document, à moins que votre clé n’ait été compromise.
  • Intégrité du document : comme précédemment expliqué, l’ajout d’une signature numérique a pour effet de marquer le contenu du document d’un sceau inviolable. C’est l’un des facteurs qui emporte l’adhésion au dispositif.
  • Horodatage : nous l’avons déjà dit, il est possible d’intégrer aux signatures des horodatages fournis par des tiers, au lieu de s’en remettre à l’horloge système, qui peut être falsifiée. Vous savez ainsi avec certitude à quel moment une signature a été apposée.

Avez-vous d’autres questions sur les signatures numériques ? N’hésitez pas à nous en faire part ; nous serons ravis de vous aider.

Partager ce blog