FAQ Questions
fréquemment posées
Page regroupant les questions les plus fréquentes et les réponses concernant notre service verifiersignature.fr ainsi que les services de sécurité liés à la signature électronique dans le cadre du règlement eIDAS. Consultez les questions dans les onglets ci-dessous pour obtenir des réponses et trouver des informations supplémentaires.
Comment vérifier une signature électronique au format XAdES ?
Peut-on vérifier un paquet de fichiers compressés au format RAR ou ZIP ?
Oui, le vérificateur est capable de décompresser automatiquement les archives RAR et ZIP et de vérifier leur contenu.
Quel type de signature électronique utiliser pour un format de signature spécifique ?
Le règlement eIDAS indique quatre principaux formats de signature :
- XAdES, pour les documents XML et comme signature externe pour tout type de fichier,
- PAdES, uniquement pour les documents PDF,
- CAdES, format binaire, existe en version interne et externe,
- ASiC, un paquet/conteneur contenant plusieurs documents signés.
Que signifie le statut "format de signature non pris en charge" ?
Le vérificateur prend en charge les formats de signature tels que XAdES, CAdES, PAdES, ASiC, PKCS7, à différents niveaux de validation disponibles sur la page principale de l’application. Les formats et formes non indiqués sur le site ne sont pas pris en charge. En outre, ce message peut apparaître en cas d’algorithme de signature non pris en charge, de transformation de document bien que la signature soit enregistrée dans un format pris en charge.
Est-il obligatoire d'utiliser l'algorithme SHA-2 ?
Depuis le 1er juillet 2018 en Pologne (conformément à la loi sur les services de confiance et l’identification électronique), il est interdit d’utiliser la fonction de hachage SHA-1 pour les signatures électroniques. À sa place, il convient d’utiliser des fonctions de la famille SHA-2. Cependant, une telle signature ne peut pas être automatiquement considérée comme invalide, car dans les normes actuelles, elle est déconseillée, mais n’a pas été déclarée obsolète. Le système renvoie lors de la vérification des informations sur l’algorithme de hachage utilisé, auquel il convient de prêter attention lors de l’analyse du résultat de vérification pour une action légale spécifique.
Que signifie le statut "Certificat invalide" ?
Ce statut signifie que le certificat a perdu sa validité. Les détails de la vérification permettent de trouver les dates de validité du certificat. Cette information est importante car au moment de la vérification d’une signature électronique dont le certificat du signataire n’est plus valide, il n’existe aucune preuve que le document a été signé pendant la période de validité, donc au moment où il pourrait être considéré comme valide. Pour cela, il est conseillé d’utiliser un horodatage pour la signature.
Que signifie l'information "Chemin de certification incorrect" ?
Ce statut indique un problème pour retrouver le chemin de certification du signataire à partir des listes CRL, TSL, OCSP, qui sont censées confirmer l’émetteur du certificat, sa validité et les informations sur la personne à laquelle le certificat a été délivré.
Quelle est la meilleure façon de signer un document au format PDF ?
Le format PAdES est dédié aux documents PDF et son utilisation ne pose pas de problème pour la vérification, car les logiciels de vérification valident principalement les signatures pleinement conformes à eIDAS. De plus, les logiciels standards de lecture de fichiers PDF présentent également automatiquement le résultat de la vérification de cette signature, qui est de plus, indissociablement lié au document signé, ce qui empêche de le „perdre ou de l’oublier” lors de la transmission du document à une autre partie.
Une procuration signée électroniquement devient-elle invalide lorsque le certificat du signataire expire ?
La validité doit être examinée à un moment donné. Si la vérification de la signature est effectuée après l’expiration du certificat, le résultat sera négatif en raison de l’absence de preuves de la signature pendant la période de validité du certificat. C’est-à-dire qu’il n’est pas possible de déterminer de manière fiable, sur la base des données contenues dans la signature, que celle-ci a été apposée pendant la période de validité.
Pour compléter la signature électronique, il est possible d’ajouter un horodatage à la signature, qui „prolongera” la validité de la signature jusqu’à l’expiration du certificat de l’horodatage. Ces derniers ont généralement une période de validité plus longue que le certificat de signature lui-même, et l’horodatage garantit l’existence de la signature au moment contenu dans l’horodatage. Tout comme les signatures électroniques qualifiées, les horodatages qualifiés nous garantissent pleinement le temps qu’ils contiennent.
Une autre solution consiste à vérifier la signature électronique et à générer un EPW (Electronic Proof of Verification) comme preuve de la vérification au moment où le certificat était valide.
Comment vérifier une signature électronique étrangère ?
Les signatures prises en charge par notre vérificateur peuvent être trouvées sur la liste européenne des prestataires de services de confiance (TSL) disponible sur https://webgate.ec.europa.eu/tl-browser. La liste TSL couvre les prestataires de services de certification de l’UE et de l’EEE (conformément à eIDAS).
Le fichier vérifié a probablement été modifié après sa signature. Par exemple, la perte d'intégrité peut se produire lorsque le fichier signé est protégé par un mot de passe après sa signature.
L’intégrité est une caractéristique fondamentale de la signature électronique garantissant que les données signées n’ont pas été modifiées après la signature.
Que signifie le statut "Vérification de la signature impossible" ?
Le résultat de la vérification indique que dans le cas des fichiers .xades, le système n’a pas été en mesure de trouver les fichiers signés. Si les fichiers XADES sont des fichiers de signature externe, pour pouvoir les vérifier, tous les fichiers doivent être transmis en même temps au vérificateur.
Le service de vérification des signatures via le site verifiersignature.fr est-il certifié ?
Le service sur verifiersignature.fr est fourni par Madkom SA sur la base de l’inscription au registre des services de confiance non qualifiés du NCCERT pour la vérification du statut des certificats. Notre certificat peut être utilisé comme preuve et a une valeur juridique découlant de la prestation de services non qualifiés de vérification des signatures électroniques et des sceaux électroniques.
Le site génère un rapport de vérification. Puis-je également utiliser ce site pour envoyer des documents dont certains sont confidentiels pour les contractants ?
Conformément à la politique de prestation de services de vérification des signatures électroniques en ligne, le système ne stocke aucun fichier transmis pour vérification. Ils sont automatiquement supprimés immédiatement après le processus de vérification. Seul le résultat complet de la vérification de la signature est conservé dans le système.
Qu'est-ce qu'une révision de document dans le cas des fichiers PDF ?
Le PDF est un conteneur de fichiers spécial, et les révisions individuelles sont en réalité des versions successives du document. L’existence de plusieurs révisions dans un document PDF signifie que, après la création initiale du document, des modifications ont été apportées directement dans le PDF. Ces modifications peuvent inclure une édition intentionnelle du document ou l’ajout de nouvelles signatures électroniques. La révision suivante d’un document dans le conteneur PDF ne contient que les modifications par rapport à la version précédente du document, et non une version entièrement nouvelle.
La première signature électronique dans un document PDF est contenue dans la révision de base du document. Pour ajouter une autre signature, les applications de signature ajoutent de nouvelles révisions au document, donc la deuxième signature sera enregistrée dans la révision n°2, et une autre dans la révision n°3, etc. La première signature couvre le document original dans son intégralité, la deuxième signature couvre le contenu du document et la première signature, la troisième signature couvre le contenu et les deux signatures précédentes, etc.
Il arrive parfois qu’à la suite de la seule vérification de la signature électronique, l’application de vérification ajoute un horodatage à chaque signature trouvée au moment de la vérification, provoquant l’apparition de nouvelles révisions que le système détectera comme non signées. Cela ne constitue toutefois pas un obstacle à la validité de ces signatures.
Le résultat de la vérification en orange pour une signature indique-t-il une erreur ? Toutes les signatures doivent-elles être vertes ?
Un résultat de vérification en orange nécessite toujours un examen et une analyse des détails de la vérification, et une décision doit être prise sur la base de ces données par l’utilisateur du service.
Le service est-il capable de vérifier la conformité des UPO émises par les bureaux avec les documents originaux pour lesquels les UPO ont été émis (conformité du hachage du document avec le hachage indiqué dans l'UPO) ?
L’application vérifie généralement les signatures électroniques elles-mêmes, mais un élément essentiel de la vérification de la signature est de vérifier l’intégrité du document en vérifiant la somme de contrôle. La construction de l’UPO généré par le système ePUAP inclut un tel mécanisme, donc pour vérifier correctement un UPO.xml, il est nécessaire de vérifier également le document auquel il se rapporte. Un résultat de vérification positif d’un UPO.xml confirme l’appartenance à cet UPO.
Sur quelle base l'application détermine-t-elle la qualification d'une signature électronique si elle n'est pas en mesure de confirmer le chemin de certification ? Pouvez-vous fournir un document avec les exigences techniques minimales que doit respecter un certificat pour être considéré comme qualifié et acceptable ?
Conformément à eIDAS, un certificat qualifié doit contenir une information pouvant être traitée automatiquement indiquant qu’il s’agit d’un certificat qualifié. De plus, le certificat ou le service inscrit sur la liste TSL doit inclure des informations sur le placement de la clé privée associée sur un appareil qualifié, tel qu’un QSCD. Sur la base de cettes informations, l’application détermine si une signature électronique avancée peut être considérée comme qualifiée.
À quelle date une signature électronique qualifiée est-elle apposée ?
Une signature électronique peut être associée à plusieurs dates. Premièrement, au moment de la signature électronique, l’application de signature récupère l’heure locale de l’ordinateur/appareil de la personne signant et l’inclut dans une partie de la signature afin que ces données soient signées. C’est le „temps déclaré de signature”, donc la personne signataire a en quelque sorte signé sous cette heure. D’autres temps sont associés aux horodatages. Par conséquent, une information de temps de confiance et liée aux données concernées par l’horodatage provient d’une source externe. Bien sûr, l’utilisation d’un horodatage qualifié donne la plus grande certitude quant au temps contenu dans l’horodatage. Cependant, il faut garder à l’esprit qu’un horodatage peut être ajouté à la signature à tout moment après la signature. De plus, cela peut être fait par n’importe quelle personne, y compris la personne vérifiant la signature électronique. Dans une telle construction, il est important de noter que l’horodatage ne montre que l’existence de la signature à l’heure contenue dans l’horodatage, et non à quel moment exact le document a été signé. L’ajout d’un horodatage à la signature après l’expiration du certificat ne garantit pas que la signature a été apposée pendant la période de validité du certificat. L’ajout d’un horodatage pendant la période de validité du certificat de signature prolonge la validité de la signature jusqu’à l’expiration du certificat de l’horodatage (à condition que sa validité soit postérieure à celle du certificat de signature).
Le système est-il capable de vérifier la date réelle de signature du document et non l'heure de l'horloge du système ?
En général – non. Pour plus de détails, veuillez vous référer à la réponse à la question précédente.
Qu'est-ce qu'une Preuve Électronique de Vérification ?
La Preuve Électronique de Vérification (EPW) est un document attestant de la validation effectuée d’un document.
Il précise quel document a été vérifié, quand et quel résultat la vérification a donné au moment de la vérification.
Vous ne voyez pas de réponse à votre question ?