Ce document explique comment signer électroniquement un document avec l’utilitaire de signature électronique mis à disposition sur la page https://esignature.chorus-pro.gouv.fr/#/signer

Pré-requis pour la signature électronique de documents

Certificat de signature

Pour signer un document, c’est-à-dire créer une signature électronique, il est nécessaire de disposer au préalable d’un certificat électronique, de niveau qualifié au titre du règlement européen eIDAS. Ce certificat est associé à votre identité et à une clé privée, sous votre contrôle exclusif, activée typiquement par la saisie d’un code PIN. Un certificat possède une durée de validité limitée dans le temps, trois ans par exemple. Il est fourni sur un support matériel comme une clé USB ou une carte à puce, ou alors accessible uniquement en ligne.

Un certificat qualifié de signature électronique s’acquiert auprès d’un « prestataire de service de confiance » qui a passé des audits de conformité au règlement eIDAS. Ces prestataires facturent en général la fourniture d’un certificat.

Pour en savoir plus au sujet des prestataires de services de confiance, vous pouvez vous référer au site de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) :

• Introduction aux services de confiance :
  • https://cyber.gouv.fr/les-services-de-confiance
• Liste des prestataires de services de confiance qualifiés par l’ANSSI :
  • https://cyber.gouv.fr/la-liste-nationale-de-confiance

La Commission Européenne publie de son côté un outil de consultation de la liste de tous les services de confiance qualifiés en Europe :

• https://eidas.ec.europa.eu/efda/tl-browser/#/screen/home

Outil de signature

La création d’une signature électronique nécessite un outil qui va générer la signature dans un format standardisé à partir des données du document à signer et d’un certificat de signature. Cet outil utilise la clé privée associée à ce certificat et demande donc au signataire de saisir le code PIN permettant de l’activer.

Les outils de signature peuvent différer par :

• Leur fonctionnement local ou en ligne ;
• Le support de certificat utilisable : support matériel (USB, NFC…), logiciel, en ligne ;
• Le niveau de sécurité du certificat : qualifié eIDAS, qualifié RGS, certifié ETSI, … ;
• Le type de document qu’ils prennent en charge : PDF, XML, données brutes… ;
• Le format de signature qu’ils sont capables de générer : PAdES, XAdES, CAdES…

Attention :

• L’outil de signature Chorus PRO en ligne ne permet d’utiliser que les certificats qualifiés au titre du règlement eIDAS et fournis sur un support matériel (clé USB, carte à puce, …).
• L’outil de signature IDOPTE permet d’utiliser des certificats qualifiés ou non, fournis sur un support matériel ou logiciel. La possibilité de créer une signature avec ce logiciel ne signifie pas que la signature générée est conforme aux attentes des processus règlementaires proposés par Chorus PRO. Une vérification de validité de la signature par le service en ligne Chorus PRO est indispensable en cas de doute.

Middleware

L’utilisation d’un support matériel de certificat impose d’installer sur le poste un logiciel supplémentaire, qualifié de « middleware » qui agit comme une interface vers les fonctions de sécurité du support matériel (lecture, saisie ou changement de code PIN, etc.).

Le fournisseur du certificat sur un support matériel fournit en règle générale un middleware pour les fonctions de base associées au support.

Cependant, l’utilisation d’un support matériel de certificat dans l’outil de signature en ligne Chorus PRO nécessite un middleware spécifique qui est téléchargeable en début de processus de signature. Il s’agit du logiciel « IDOPTE » nommé aussi  « Smart Card Middleware Chorus PRO ». Ce logiciel intègre de plus des fonctions locales (indépendamment du site Chorus PRO) de signature et de vérification de signature.

Le logiciel IDOPTE se nomme aussi « Smart Card Middleware Chorus PRO » et apparaît en tant que « Smart Card Manager » dans le dossier « Chorus PRO » du menu « Démarrer » de Windows.

Ce logiciel est un middleware permettant de mettre à la disposition du navigateur les fonctions cryptographiques disponibles sur les supports de certificats électroniques, en particulier pour d’authentifier sur un site Internet et créer une signature électronique en ligne.

Le logiciel IDOPTE est disponible sur les trois principaux OS : Windows, MacOS et Linux.

Le middleware dispose également d'un outil : le Smart Card Manager, permettant de réaliser :

• Une inspection des certificats présents sur la carte ;
• Des opérations basiques d'administration du support : changement de code PIN ;
• Des signatures électroniques avec un certificat présent sur la carte ;
• Des vérifications de signatures électroniques ;
• Des opérations de chiffrement et de déchiffrement de fichiers ;
• Des opérations de diagnostic du poste et de la carte.

Attention :

• L’outil de signature IDOPTE permet d’utiliser des certificats qualifiés ou non, fournis sur un support matériel ou logiciel. La possibilité de créer une signature avec ce logiciel ne signifie pas que la signature générée est conforme aux attentes des processus règlementaires proposés par Chorus PRO. Une vérification de validité de la signature par le service en ligne Chorus PRO est indispensable en cas de doute.

Le produit propose des pages d’aide accessibles localement ou en ligne.

Pour accéder à l’aide locale, ouvrez l’application et cliquez sur le bouton ? du bandeau vertical de menu, puis sur la commande « Guide utilisateur ».

Figure 1 : IDOPTE - Accès à l'aide utilisateur

Vous pouvez aussi accéder à l’aide en ligne, rendez-vous sur le site :

• https://idopte.com/doc_ug.php

Création d'une signature électronique

Signer sur le site web Chorus Pro : pré-requis

Pour signer en ligne sur le site web Chorus PRO, vous devez disposer :

• D’un certificat qualifié de signature sur support matériel (cf. Certificat de signature) ;
• D’un navigateur sur PC (Windows 10 et ultérieur) / Mac / téléphone / tablette accédant à Internet (Edge (minimum version 125.0.2535.51) et Firefox (minimum version 115.9.1esr (64 bits)), Chrome (version non précisée)) ;

Accès au service

Pensez à brancher votre clef sur votre ordinateur avant de lancer l’outil de signature, de sorte que l’utilitaire puisse accéder au certificat depuis le navigateur. Vous pouvez tenter de rafraîchir la page

Le service de signature électronique Chorus PRO est mis à disposition gratuitement sur la page web suivante :

https://esignature.chorus-pro.gouv.fr/#/signer

Pour signer un document avec notre utilitaire, rendez-vous sur cette page web avec votre navigateur et suivez les étapes successives de signature :

Figure 2: Signature avec Chorus PRO : Parcours de signature

1. Prérequis
2. Charger le document
3. Générer la signature
4. Choix du certificat
5. Code PIN

Etape 1 : Prérequis

L’étape 1 présente l’écran suivant :

Figure 3 : Signature avec Chorus PRO : Etape 1 – Installation du logiciel IDOPTE

Le service de signature en ligne a besoin d’un logiciel intermédiaire pour que votre navigateur puisse accéder à votre support matériel de certificat. C’est la fonction du logiciel IDOPTE « Smart Card Manager » de Chorus PRO.

Une fois ce logiciel téléchargé, installé et exécuté, ce logiciel demeure sur le terminal. Son installation n’est donc nécessaire que lors de la première utilisation de la fonction de signature sur un terminal, ou bien lorsqu’une mise à jour du logiciel est nécessaire.

Lorsque le logiciel IDOPTE est déjà installé et à jour sur votre terminal, la page affiche le message suivant : "Bienvenue sur votre espace de signature électronique. Le logiciel iDOPTE, qui permet d'interagir entre l'application et votre support de signature, est à jour, vous pouvez procéder à la suite du processus de signature électronique en cliquant sur "passer à l'étape suivante".

Figure 4 : Signature avec Chorus PRO : Etape 1 – Logiciel IDOPTE déjà installé

Dans ce cas, vous pouvez directement cliquer sur le bouton « Passer à l’étape suivante ».

Lorsque la page web vous demande d’installer le logiciel IDOPTE :

• Téléchargez le logiciel IDOPTE en cliquant sur le lien présenté « IDOPTE (.exe)
• Ouvrez le dossier où le fichier a été enregistré
• Faites analyser le fichier par votre anti-virus si cela n’a pas été fait automatiquement
• Exécutez le logiciel IDOPTE.exe pour l’installer
• Validez les étapes de l’installation jusqu’à la notification de fin d’installation
• Cliquez sur le bouton « Etape suivante » de la page web

Sous Windows, le logiciel IDOPTE apparaît sous le nom « Smart Card Manager » dans le dossier « Chorus PRO » du menu « Démarrer ».

Etape 2 : Charger le document à signer

L’étape 2 présente l’écran suivant :

Figure 5 : Signature avec Chorus PRO : Etape 2 - Chargement du document à signer

Vous pouvez désormais charger le document que vous souhaitez signer sur l’utilitaire. Pour ce faire, vous avez deux options :

• Option 1 : Cliquez avec le bouton gauche de la souris sur votre document puis le faites glisser jusque sur l’icône « Glisser votre document » (en maintenant le bouton de la souris pressé)
• Option 2 : Cliquez sur « Rechercher votre document sur votre ordinateur », ce qui vous permet de rechercher et désigner le fichier à signer dans les différents dossiers de votre terminal.

Un message d’information vous informe du succès du chargement du document :

Figure 6 : Signature avec Chorus PRO : Etape 2 - Succès du chargement de fichier

Une ligne contenant le nom de votre document apparait de plus sous les icônes des options de chargement du document :

Figure 7 : Signature avec Chorus PRO : Etape 2 - Document chargé

Le document à signer ne doit pas peser plus de 20 Mo. Dans le cas contraire, un message d’erreur s’affiche au-dessus du cadre de l’étape :

Figure 8 : Signature avec Chorus PRO : Etape 2 - Echec de chargement d’un fichier

En cas d’erreur, vous pouvez toujours supprimer ce choix de document en cliquant sur la petite icône en forme de poubelle, de sorte à pouvoir choisir un autre document.

Attention, vous ne pouvez signer qu’un seul document à la fois avec ce processus. Pour signer plusieurs documents, il vous faut reprendre le parcours depuis l’étape 1 pour chaque document.

Lorsque le document à signer est chargé et vous convient, cliquez sur le bouton « Passer à l’étape suivante ».

Etape 3 : Générer la signature

L’étape 3 vous propose de choisir le format de signature que vous souhaitez utiliser :

Figure 9 : Signature avec Chorus PRO : Etape 3 - Choix du format de signature

L’outil est capable de générer des signatures selon les formats suivants :

• PDF : ce format est destiné aux documents PDF et permet d’intégrer la signature dans le document lui-même. Il s’agit du format le plus commun pour la signature de documents.
• XML détachée : ce format convient pour tout type de document et crée un nouveau fichier au format XML et contenant la signature des données.
• CADES détachée : ce format convient pour tout type de document et crée un nouveau fichier au format CAdES et contenant la signature des données.

Par défaut, il est recommandé de signer des documents au format PDF (après conversion si nécessaire), et de n’utiliser les autres formats que lorsque celui-ci est spécifiquement requis pour un processus donné.

Après avoir sélectionné le format de signature, cliquez sur le bouton « Passer à l’étape suivante ».

Etape 4 : Choix du certificat

L’étape 4 vous permet de sélectionner le certificat de signature parmi ceux que vous possédez et qui sont valides et détectés par le logiciel IDOPTE sur votre poste :

Figure 10 - Signature avec Chorus PRO : Etape 4 : Choix du certificat de signature

Si le logiciel IDOPTE n’a retrouvé aucun certificat valide sur votre poste, aucun certificat ne vous sera proposé à cette étape et vous ne pourrez pas signer votre document. Vous devez vérifier la connexion de votre support à votre poste et vous devez retourner à l’étape précédente pour rafraîchir la liste en revenant dans cet écran.

Un certificat de signature détecté est décrit par le nom du sujet du certificat (attribut CommonName ou CN du titulaire du certificat) et les dates de début et de fin de validité.

Lorsque plusieurs certificats sont proposés, vous pouvez choisir celui utilisé en cliquant sur la ligne correspondante dans la colonne Action.

Une fois que vous avez choisi le certificat à utiliser, cliquez sur le bouton « Passer à l’étape suivante ».

Etape 5 : Code PIN

L’étape 5 constitue l’étape finale de création de la signature, après saisie du code PIN du support du certificat :

Figure 11 : Signature avec Chorus PRO : Etape 5 - Signature par saisie du code PIN

Entrez le code PIN de votre support (ou le code PIN de votre certificat s’il existe plusieurs codes PIN sur votre support), puis cliquer sur le bouton « Valider » pour générer votre signature.

Si le code PIN est correct, la signature est générée par l’outil avec le certificat sélectionné à l’étape 4 et selon le format choisi à l’étape 3. Le document PDF signé ou la signature détachée XML ou CADES peut être téléchargé sur votre poste.

Figure 12 : Signature avec Chorus PRO : Etape 5 - Téléchargement du document signé

Cliquez sur le texte « Télécharger votre document » pour récupérer le document signé.

Si le code PIN est incorrect, un message d’erreur s’affiche. La signature ne peut pas être générée et vous devez recommencer cette étape de saisie. Attention, chaque support dispose d’un nombre limité d’essais au-delà duquel le code PIN est bloqué. Merci de vous rapprocher de l’Autorité de Certification qui vous a remis votre support afin de connaître le nombre d’essais autorisés (le plus souvent 3 ou 5) et, le cas échéant, les modalités de déblocage.

Il vous est possible de vérifier la signature générée avec un outil de vérification de signature, comme par exemple celui proposé par Chorus PRO. Lorsque le document signé est au format PDF, la signature peut aussi être validée par certains outils de lecture tels que Acrobat Reader.

 

Signer en local avec le logiciel Idopte

Accès à la fonction de signature de documents

Le logiciel IDOPTE permet de signer localement, en une seule opération, un ou plusieurs fichiers de son choix.

Pour accéder à la fonction de signature, cliquer sur le bouton  du bandeau vertical de menu, puis sur la commande « Signature de fichier(s) ».

L’écran de sélection des documents à signer et de déclenchement de la signature s’affiche :

Figure 13 : Signature avec IDOPTE : Sélection des fichiers à signer

Sélection des documents à signer

Vous pouvez ajouter des fichiers à signer en cliquant sur l'icône .

Pour chaque fichier, le format du fichier de sortie peut être choisi. Trois formats sont disponibles :

• PDF : Disponible seulement pour les fichiers PDF, et l'option par défaut pour ces fichiers. La signature est contenue dans le fichier PDF de sortie.
• XAdES détachée : seule la signature est écrite dans le fichier de sortie, au format XAdES (basé sur XML). L'opération de vérification nécessitera le fichier original et le fichier de signature.
• CAdES détachée ou attachée.
  • CAdES attachée : le fichier original et la signature sont tous les deux contenus dans le fichier de sortie, et le fichier de sortie utilise le format CAdES (basé sur CMS/PKCS#7). Ceci est l'option par défaut, sauf pour les fichiers PDF.
  • CAdES détachée : seule la signature est écrite dans le fichier de sortie, au format CAdES (basé sur CMS/PKCS#7). L'opération de vérification nécessitera le fichier original et le fichier de signature.

Figure 14 : Signature avec IDOPTE : Choix du format de signature

Sélection du dossier de destination

Le fichier de destination, qui contient les fichiers résultants de l'opération, peut être choisi en cliquant sur l'icône .

Par défaut, le dossier de destination est le dossier du premier fichier d'entrée choisi.

Sélection du certificat de signature

Vous déclenchez la signature en cliquant sur le bouton "Signer". L'étape suivante est la sélection du certificat de signature :

Figure 15 : Signature avec IDOPTE : Choix du certificat de signature

L'onglet "Carte à puce" permet de choisir un certificat de votre support matériel (clé USB, carte à puce, …), tandis que l'onglet "Magasin système" permet de choisir un certificat logiciel contenu dans le magasin de certificats ou le trousseau de clés du système d’exploitation de votre poste.

Seuls les certificats valides sont affichés. Un certificat valide apparaît avec une coche verte lorsque vous visualisez le contenu de votre carte à puce dans le logiciel Idopte.

Figure 16 : Signature avec IDOPTE : Certificat de signature valide

Un certificat invalide apparaît avec une croix rouge. Votre certificat peut être invalide si :

• Le certificat a expiré (la date de fin de validité est dépassée) ;
• Le certificat a été révoqué ;
• Le certificat est émis par une Autorité de Certification qui n’est pas considérée comme de confiance sur votre poste.

Dans ce dernier cas, un message de ce type est visible dans le logiciel Idopte lorsque vous affichez le contenu de votre carte à puce :

Figure 17 : Signature avec IDOPTE : Certificat de signature invalide

Si vous êtes certain de la conformité de votre certificat (l’Autorité de Certification doit être une Autorité de Certification qualifiée au titre du règlement eIDAS), vous devez ajouter le certificat de cette Autorité de Certification et sa chaine jusqu’à l’Autorité de Certification Racine dans le magasin de confiance de votre poste.

Signature

Cliquez sur le certificat à utiliser, puis cliquez sur le bouton "OK" pour déclencher la signature.

Le logiciel vous demande de saisir votre code PIN (sauf si le certificat vient du magasin de certificats du système) :

Figure 18 : Signature avec IDOPTE : Saisie du code PIN

Les signatures sont alors générées, et le résultat de l'opération est affiché :

Figure 19 : Signature avec IDOPTE : Fichiers signés

Les fichiers signés (ou les signatures détachées) sont créés dans le répertoire de destination configuré au préalable et rappelé dans l’écran présenté.

 

Signer avec d’autres outils

Les signatures générées et attendues sur Chorus PRO respectent les formats du règlement européen eIDAS. Il est ainsi possible de générer des signatures conformes avec des outils tiers qui sont conformes aux mêmes standards.

En particulier :

• la signature de documents peut être un outil ou un service proposé par le fournisseur du certificat électronique de signature, tel qu’un service de signature en ligne lorsque votre clé privée de signature est conservée à distance et non sur un support physique ;
• la signature de documents PDF est possible dans certains outils de lecture ou d’édition de documents PDF, tel que Acrobat Reader.

Lorsque vous utilisez un outil tiers, il vous revient de vous assurer que votre certificat électronique de signature est conforme aux prérequis, c’est-à-dire qu’il s’agit d’un certificat qualifié de signature électronique.

Il vous est fortement recommandé de vérifier la signature électronique sur le site Web Chorus PRO afin de vous assurer que la signature générée est bien recevable.