Introduction à la vérification d'une signature électronique
Le service de vérification de signature a pour objet de fournir à ses clients un rapport de validité technique de la signature électronique présente dans le document qui lui est soumis. Ce rapport est à interpréter par le client du service afin de déterminer si la signature du document est valide ou non dans son contexte d’utilisation.
Le service vérifie les signatures de type XAdES (document XML ou tout autre document) ou PAdES (document PDF). Pour tous les cas où la signature est de type XAdES et où la signature est détachée du document, un second bloc intitulé "Signature(s) complémentaire(s)" est fourni pour permettre de charger le fichier de signature.
Mode d'emploi
Pour utiliser le service de vérification de signature en mode utilitaire, rendez-vous sur la page d’accueil de l’utilitaire de vérification, cliquez sur le bouton "accéder" du bloc « Vérifier une signature » puis cliquez sur la zone grisée sous l'intitulé "Contrat" pour ouvrir un écran de rechercher qui vous permettra de sélectionner le document dont vous souhaitez vérifier la signature.
Dans le cas où un second fichier de signature (une "signature détachée") serait à analyser, procédez de même pour ajouter ce fichier sous la zone "Signature(s) complémentaire(s)".
Cliquez sur le bouton « vérifier » : le rapport d'analyse s’affiche aussitôt sur le volet droit de l'écran.
En cliquant sur l'icône en forme de nuage « Télécharger le rapport», vous pouvez afficher le détail du rapport au format PDF.
Structure du rapport
Trois blocs de détail sont donc disponibles afin de vous permettre de vérifier votre signature électronique.
Ils se déclinent ainsi :
Il s’agit d’une synthèse qui restitue :
- l’identifiant unique du certificat,
- l’identité de la personne physique ou morale titulaire du certificat (c’est-à-dire le signataire),
- l’identité de l’autorité émettrice du certificat (c’est-à-dire l’autorité de confiance certificatrice).
Ce bloc donne l’horodatage de la signature, son format et son « niveau ». On distingue 4 niveaux :
- Non qualifiée : une signature non qualifiée, quoiqu’elle mentionne un signataire ne garantit pas l’intégrité du document contrôlé.
- Avancée : une signature qualifiée garantit à la fois l’intégrité des données et l’identité du signataire en reposant sur une certification émise par une autorité de certification conformément à une politique de sécurité définie (ex : le RGS, Référentiel Général de Sécurité). Autre.
Dans l'exemple donné ci-dessous, le "niveau" QeSig correspond ainsi à un niveau de signature "qualifiée" (QeSig est l'accronyme anglo-saxon de Qualified Electronic Signature).
Ce bloc donne la date de validité du certificat, l’identité du signataire et l’émetteur du certificat, c’est-à-dire de l’autorité de certification. En outre, c’est dans ce bloc que sont précisés si le certificat a été révoqué et si la chaine de certification est validée. Parmi les causes possibles d’invalidité de la chaine de certification on trouve : signature incorrecte, autorité de certification révoquée, expirée ou inconnue.
On retrouve également dans cette section des données relatives à l’horodatage de la signature (notamment sa date). Le champ niveau de sécurité fait référence à la nature de la qualification du certificat (« qualifié RGS », « qualifié eIDAS » ou « aucun »).
Dernière mise à jour : avril 30, 2021