eSignature des documents

Comment vérifier une signature électronique avec Adobe Acrobat Reader ?

Validation signature électronique
Thomas Choukroun

Thomas Choukroun

Content Manager @Yousign

Illustration: Mélusine Vilars

Vous venez de signer un document électroniquement, ou un document signé électroniquement vous est parvenu, et vous désirez vérifier les signatures électroniques qui y ont été apposées ? Adobe a mis en place directement dans ses PDF une fonctionnalité qui permet aux utilisateurs de sa suite de constater très rapidement la validité des signatures électroniques.

Le principe des codes couleurs pour la vérification des signatures électroniques

Vous l’avez peut-être déjà constaté vous-mêmes, ou en avez fait l’expérience, une fois que vous ouvrez votre PDF signé, vous pouvez de suite vérifier la validité des signatures qui y sont apposées, directement dans Adobe Acrobat Reader.
Ces vérifications de signature se matérialisent par un bandeau qui apparaît au-dessus du document et qui montre 3 états de fait concernant les signatures : 

  • Une coche verte agrémentée de la mention: “Signé au moyen de signatures valables”
  • Une marque orange agrémentée de la mention: “Une signature au moins présente un problème”
  • Une croix rouge agrémentée de la mention: “Au moins une signature n’est pas valable”

Tout le monde en conviendra, il vaut mieux que la validité de la signature apparaisse avec une coche verte au moment de l’ouverture du PDF. Cependant, là où une croix rouge marque l’invalidité totale d’une ou de plusieurs signatures dans un document, une marque orange n’est pas systématiquement synonyme de problèmes. 

Désacraliser la coche verte, dédiaboliser la coche orange

Afin de vérifier la validité des signatures électroniques apposées à vos documents, Adobe Acrobat Reader a plusieurs critères qui lui permettent  de “classer” les signatures. 

  • Le PDF reader va s’assurer de l’intégrité du document d’un point de vue purement structurel : La donnée est-elle conforme à ce qui a été signé ? Le PDF a-t-il été altéré après signature ?

  • La signature ayant été réalisée grâce à un certificat, Acrobat va analyser ce certificat et définir si celui-ci n’est pas expiré ou révoqué au moment de son utilisation, et s’il figure dans son magasin de confiance pour le considérer comme un certificat fiable. Il existe plusieurs façons d’obtenir cette confiance auprès d’Acrobat :

    1. La première façon est de faire partie de la liste de confiance européenne (EUTL), purement régie par la réglementation européenne en vigueur (aussi appelée eIDAS). La liste de confiance européenne ne comprend aujourd’hui que des services qualifiés, c’est le plus haut niveau européen. Cette qualification repose sur :

      • une vérification de l’identité du signataire en face à face
      • L’application de mesures de sécurité sur l’ensemble du service de délivrance du certificat
      • Un audit de sécurité auquel la qualification est soumise et dont le résultat est à valider par l’ANSSI.
      • Au contraire de l’AATL, les exigences et les règles qui permettent de faire partie de cette liste sont régies par la réglementation européenne. Pour le moment, seule cette liste atteste d’une valeur juridique objective.
    2. Une deuxième façon d’agréger de la confiance est de faire partie de l’AATL (Adobe Approved Trust List) pour les Autorités de Certification. Ce programme propre à Adobe rassemble des autorités de certification, sous des exigences techniques qui sont dictées par Adobe et qui leur appartiennent dans leur entièreté. Ces listes sont donc gérées par Adobe et leurs participants répondent à des règles érigées par la firme américaine. Bien évidemment, ces règles sont soumises aux possibles changements imposés par Adobe.

    3. Enfin, l’autorité de certification qui a émis le certificat a été insérée manuellement sur un poste de travail précis. Ainsi, si les signatures comprises dans le document sont vérifiées au sein du système local où l’autorité a été manuellement intégrée dans les autorités de confiance du magasin de certificat, Acrobat Reader affichera une coche verte. En revanche, si ce même document est ouvert sur un PC n'appartenant pas au même réseau informatique, la coche sera d’une couleur différente.

Ainsi, pour obtenir une coche verte dans Acrobat et vérifier sa signature électronique, il faut soit être dans l’AATL, soit dans l’EUTL, soit, meilleure situation possible, dans les deux.

Comment une signature valide peut tout de même déclencher une coche orange ?

Il réside également des zones pour le moins floues dans lesquelles une autorité de certification peut se trouver avec une coche orange alors qu’elle obéit aux règles et réglementations idoines.
Par exemple, dans le cas de la signature avancée, être dans l’AATL ou l’EUTL ne suffit plus pour obtenir une coche verte. 
En effet, un autre critère de sélection entre en jeu: le niveau de certification pour vérifier la signature électronique. 
Nous n’irons pas dans le détails des différents niveaux de signature puisque nous y avons déjà consacré un article complet. Dans le cas de la signature avancée, tout se joue dans le niveau du certificat utilisé. Il en existe six, mais pour les besoins de cet article, nous n’en nommerons que deux:

  • Le niveau LCP (Lightweight Certificate Policy): Le niveau LCP est régi par eIDAS et consiste en une preuve de vérification de l’identité par rapport à une pièce d’identité uploadée via une plateforme. 
  • Le niveau NCP (Normalized Certificate Policy): Le niveau NCP correspond au niveau LCP agrémentée d’un preuve de face-à-face physique avec le signataire.

Ainsi, une signature avancée, via l’émission d’un certificat de niveau LCP peut être certifiée et donc respecter la réglementation eIDAS. Pour autant, cette même signature avancée sera créditée d’une coche orange au lieu d’une coche verte dans Adobe Acrobat Reader.

Grâce à Acrobat reader, vérifier la légitimité des signatures électroniques présentes dans le document est extrêmement facile.
Cependant, le système de codes couleurs perd en nuance ce qu’il gagne en clarté. La marque verte dans Acrobat est évidemment de bon augure, mais ne marque pas forcément le Graal de la vérification d’une signature électronique. À l’inverse, la coche rouge annonce évidemment une invalidité totale des signatures utilisées. La marque orange, quant à elle, se situe entre les deux, mais doit être nuancée. Une marque orange n’est pas toujours la preuve qu’il existe un problème dans l’intégrité des signatures présentes dans votre document.