mercredi, 1 avril, 2026
Activer un certificat de laboratoire
Un certificat de laboratoire IsoFind permet de signer cryptographiquement les fichiers .isof exportés, certifiant leur authenticité et leur intégrité. Cette signature de niveau 2 lie les données analytiques à l'identité du laboratoire signataire, de façon vérifiable par tout tiers sans connexion internet.
Pourquoi un certificat de laboratoire
IsoFind exporte les données analytiques au format ISOF. Un fichier ISOF peut être signé à deux niveaux :
| Niveau | Mécanisme | Ce que ça garantit | Requis |
|---|---|---|---|
| Niveau 1 | Hash SHA-256 du contenu | Intégrité : le fichier n'a pas été modifié après export. | Toutes licences |
| Niveau 2 | Signature ECDSA P-256 avec certificat PKI IsoFind | Authenticité et intégrité : le fichier a été signé par ce laboratoire précis, avec une identité vérifiable cryptographiquement. | Toutes les licences (certificat requis) |
La signature de niveau 2 est la forme requise pour tout usage à valeur juridique ou forensique : rapports d'expertise, traçabilité de matériaux critiques, chaîne de custody analytique.
L'infrastructure de confiance IsoFind (PKI)
Les certificats de laboratoire IsoFind s'inscrivent dans une hiérarchie de confiance à trois niveaux gérée par IsoFind SAS.
IsoFind Root CA
RSA 4096, valide 20 ans. Clé privée en coffre physique hors ligne. Signe uniquement l'Issuing CA.
↓
IsoFind Issuing CA
ECDSA P-256, valide 5 ans. Signe les certificats de laboratoire. Clé sur support HSM dédié.
↓
Certificat de laboratoire
ECDSA P-256, valide 1 an. Propre à chaque laboratoire. Utilisé pour signer les fichiers ISOF.
Les certificats Root CA et Issuing CA sont embarqués dans le binaire IsoFind. La vérification d'un fichier ISOF signé remonte cette chaîne localement, sans connexion à un serveur. Une liste de révocation (CRL) est également embarquée dans chaque fichier ISOF signé pour permettre la vérification hors ligne, avec un fallback vers pki.isofind.tech si le réseau est disponible.
Comment fonctionne la signature d'un fichier ISOF
Comprendre le mécanisme permet d'éviter les confusions sur ce qui circule entre le laboratoire et IsoFind SAS.
La clé privée du laboratoire est générée localement par IsoFind et ne quitte jamais la machine. Elle n'est pas transmise à IsoFind SAS. Ce qui est transmis est uniquement le CSR (Certificate Signing Request) : un fichier qui contient la clé publique du laboratoire et les informations d'identité, mais aucune donnée secrète. IsoFind SAS signe ce CSR avec l'Issuing CA et retourne le certificat .crt.
Lors de la signature d'un fichier ISOF, IsoFind utilise la clé privée locale et le certificat pour calculer une signature ECDSA sur le contenu. Cette signature et le certificat sont embarqués dans le fichier ISOF. Le destinataire vérifie la chaîne certificat labo → Issuing CA → Root CA localement, puis vérifie la signature sur le contenu. IsoFind SAS n'intervient plus à ce stade.
Procédure d'activation
1
Générer la clé privée et le CSR dans IsoFind
Figure 1 : Fenêtre de génération de l'empreinte machine avec le sélecteur de type de licence et le bouton d'envoi par email.
Dans IsoFind, accéder au menu Certificats :
Menu Certificats
→
Mon certificat
→
Demander un certificat
IsoFind génère localement une paire de clés ECDSA P-256 et produit un fichier CSR. La clé privée est stockée chiffrée dans le cert store local d'IsoFind (répertoire %LOCALAPPDATA%\IsoFind\lab_cert\, fichier lab.key.enc). Elle ne quitte pas la machine.
Renseignez dans le formulaire le nom du laboratoire tel qu'il doit apparaître dans le certificat (champ CN), et éventuellement le pays et l'organisation.
Figure 1 : Fenêtre de génération de l'empreinte machine avec le sélecteur de type de licence et le bouton d'envoi par email.
2
Transmettre le CSR à IsoFind SAS
IsoFind affiche le contenu du CSR et propose de le copier ou de l'exporter. Envoyer le fichier CSR à :
Précisez dans l'email le nom du laboratoire, le contexte d'utilisation (recherche académique, industrie, forensique, défense) et éventuellement le numéro de série de la licence Pro active pour lier la demande à l'abonnement.
Le fichier CSR ne contient que des informations publiques. Il n'y a aucun risque à le transmettre par email non chiffré. La clé privée correspondante reste sur la machine et ne doit jamais être partagée.
3
Réception du certificat signé
IsoFind SAS vérifie l'identité du laboratoire, le lien avec un abonnement Pro actif, puis signe le CSR avec l'Issuing CA. Le fichier .crt est envoyé par email. Ce certificat est valable 1 an.
IsoFind SAS conserve le numéro de série du certificat émis dans son registre, pour la gestion des renouvellements et des révocations éventuelles.
4
Stocker le certificat dans IsoFind
Figure 1 : Fenêtre de génération de l'empreinte machine avec le sélecteur de type de licence et le bouton d'envoi par email.
Dans IsoFind, importez le fichier .crt reçu :
Menu Certificats
→
Mon certificat
→
Stocker le certificat
IsoFind vérifie la chaîne de confiance du certificat importé (Root CA et Issuing CA embarquées dans le logiciel), contrôle la cohérence avec la clé privée stockée localement, et stocke le certificat chiffré dans le cert store (lab.crt.enc). Si la chaîne est valide et la correspondance clé/certificat confirmée, le statut du certificat passe à Actif.
Figure 1 : Fenêtre de génération de l'empreinte machine avec le sélecteur de type de licence et le bouton d'envoi par email.
Utiliser le certificat pour signer un fichier ISOF
Une fois le certificat installé et actif, la signature de niveau 2 est disponible lors de l'export de données en format ISOF.
Menu Certificats
→
Signer un fichier .isof
Ou directement lors de l'export :
Exporter les données
→
Format ISOF
→
Signer avec le certificat laboratoire
IsoFind utilise la clé privée et le certificat stockés localement (aucun mot de passe supplémentaire requis si le cert store est déverrouillé). Le fichier ISOF produit contient la signature ECDSA, le certificat du laboratoire, le certificat de l'Issuing CA et un snapshot de la liste de révocation (CRL) pour permettre la vérification hors ligne.
Portée de la signature
La signature de niveau 2 couvre l'ensemble des blocs analytiques et des métadonnées d'identité du fichier ISOF. Concrètement, les champs suivants sont inclus dans le payload signé :
| Bloc signé | Contenu |
|---|---|
| created_by | Nom de l'opérateur, organisation, logiciel et version ayant produit le fichier. Ce champ est protégé pour qu'il soit impossible de modifier le nom du créateur ou du laboratoire sans invalider la signature. |
| isof_version | Version du format ISOF utilisé pour l'export. |
| created_at | Horodatage de création du fichier. |
| project | Référence du projet associée à l'export. |
| samples | Données analytiques des échantillons. |
| methods | Méthodes analytiques et standards utilisés. |
| purification | Rendements de purification associés aux échantillons. |
Toute modification de l'un de ces blocs après signature invalide la signature ECDSA. Seuls les champs situés hors de ce scope pourraient être modifiés sans détection, mais aucun champ d'identité ou de données analytiques n'en fait partie.
Récapitulatif des fichiers
| Fichier | Rôle | Où il se trouve | À conserver |
|---|---|---|---|
| lab.key.enc | Clé privée ECDSA P-256 chiffrée (AES-256-GCM, clé machine) | %LOCALAPPDATA%\IsoFind\lab_cert\ | Sur cette machine uniquement. Ne jamais copier ni exporter. |
| lab.crt.enc | Certificat signé par IsoFind Issuing CA, chiffré localement | %LOCALAPPDATA%\IsoFind\lab_cert\ | Sauvegardé automatiquement dans le cert store IsoFind. |
| nom_labo.csr | Demande de signature (clé publique + identité). Transmis à IsoFind SAS. | Exporté lors de la génération | Peut être supprimé après réception du certificat. |
| nom_labo.crt | Certificat public reçu d'IsoFind SAS avant import dans IsoFind | Reçu par email | Conserver l'email ou le fichier pour renouvellement. |
La clé privée stockée dans lab.key.enc est protégée par une clé dérivée des identifiants de la machine. Elle ne peut pas être utilisée sur un autre poste. En cas de perte de ce fichier (réinstallation, changement de machine), la clé privée est perdue définitivement. Il faut alors générer une nouvelle paire de clés et faire une nouvelle demande de certificat.
Renouvellement du certificat
Le certificat est valable 1 an. IsoFind affiche un avertissement quand il reste moins de 30 jours avant expiration. À l'expiration, les fichiers ISOF déjà signés restent valides (la signature existante est vérifiable tant que le certificat n'est pas révoqué). En revanche, IsoFind ne peut plus produire de nouvelles signatures de niveau 2 avec le certificat expiré.
Pour renouveler, la démarche recommandée est de générer une nouvelle paire de clés plutôt que de réutiliser l'ancienne. La procédure est identique à la première activation :
Menu Certificats
→
Mon certificat
→
Renouveler le certificat
IsoFind génère un nouveau CSR à transmettre à colin.ferrari@isofind.tech en précisant le numéro de série de la licence et qu'il s'agit d'un renouvellement. Mentionner le numéro de série de l'ancien certificat si connu.
Il est conseillé d'initier le renouvellement au moins deux semaines avant l'expiration, pour tenir compte du délai de traitement (1 à 2 jours ouvrés) et du temps d'import du nouveau certificat avant que l'ancien ne soit expiré.
Révocation d'urgence
Si la machine est compromise ou si la clé privée est suspectée d'avoir été copiée, contacter immédiatement IsoFind SAS pour demander la révocation du certificat :
colin.ferrari@isofind.tech, objet : Révocation certificat [numéro de série]
IsoFind SAS révoque le certificat dans la liste de révocation (CRL) et publie une CRL mise à jour sur pki.isofind.tech. Les nouvelles vérifications en ligne détecteront immédiatement la révocation. Les vérifications hors ligne s'appuyant sur des snapshots CRL anciens ne détecteront la révocation qu'au prochain rafraîchissement, avec un avertissement si le snapshot a plus de 7 jours.
Vérifier le statut du certificat actif
Menu Certificats
→
Mon certificat
La fenêtre affiche le nom commun du laboratoire (CN), la date d'émission, la date d'expiration, le numéro de série, le statut de la chaîne de confiance (vérifiée / non vérifiée), et le statut de révocation si une CRL récente a pu être obtenue.
Vérification d'identité du responsable de laboratoire
Avant d'émettre un certificat, IsoFind SAS vérifie l'identité du responsable signataire de la demande. Cette vérification est la seule étape du processus où l'intervention humaine est irremplaçable : n'importe qui peut générer un CSR avec n'importe quel nom de laboratoire. La preuve d'identité lie cryptographiquement le certificat émis à une personne réelle.
Option recommandée : signature électronique qualifiée (eIDAS)
La méthode recommandée est de signer la demande de certificat avec un certificat de signature électronique qualifié au sens du règlement eIDAS. Cette approche est la plus robuste juridiquement et la plus adaptée aux contextes professionnels, industriels et forensiques.
Le responsable du laboratoire signe un document PDF contenant le CSR et les informations du laboratoire avec son certificat de signature qualifié, via l'une des solutions suivantes :
| Solution | Type | Niveau eIDAS |
|---|---|---|
| Certinomis | Certificat professionnel sur token physique, émis par une AC qualifiée française | Qualifié (valeur notariale) |
| ChamberSign | Certificat professionnel via les Chambres de Commerce, adapté aux entreprises françaises | Qualifié |
| DocuSign / YouSign | Signature électronique avancée en ligne, identité vérifiée à l'inscription | Avancé (probant, pas qualifié) |
| Certificat d'établissement public | Pour les laboratoires institutionnels (universités, organismes publics), le certificat d'agent public suffit | Avancé ou qualifié selon émetteur |
Le document signé est transmis avec le CSR à colin.ferrari@isofind.tech. IsoFind SAS reçoit un PDF avec une preuve d'audit infalsifiable et horodatée. Si la signature est de niveau qualifié au sens eIDAS, elle a la même valeur qu'une signature manuscrite devant notaire dans tous les États membres de l'UE.
Pour les clients en contexte défense, forensique judiciaire ou traçabilité réglementée, la signature qualifiée eIDAS est fortement conseillée. Elle constitue une preuve d'identité incontestable en cas de contestation, et renforce la chaîne de confiance du certificat émis au-delà du périmètre technique d'IsoFind.
Option standard : pièce d'identité et contrat signé
Pour les laboratoires académiques ou les structures qui ne disposent pas encore d'un certificat de signature qualifié, IsoFind SAS accepte comme alternative une copie d'une pièce d'identité officielle du responsable signataire et un bon de commande ou contrat d'abonnement signé (signature manuscrite ou avancée). Cette option est valide mais offre un niveau de traçabilité inférieur à la signature qualifiée eIDAS.
Si votre laboratoire est rattaché à une institution publique française (université, CNRS, CEA, INRAE, etc.), l'obtention d'un certificat de signature d'agent public auprès de votre DSI est généralement gratuite et rapide. C'est le chemin le plus simple pour atteindre le niveau qualifié sans démarche commerciale externe.
Contact
Pour toute demande de certificat, renouvellement ou révocation d'urgence :
Email : colin.ferrari@isofind.tech
Joindre le fichier CSR généré par IsoFind, le document de vérification d'identité (PDF signé électroniquement ou pièce d'identité selon l'option choisie), le numéro de série de la licence Pro active, le nom du laboratoire et le contexte d'utilisation. Le délai de traitement habituel est de 1 à 2 jours ouvrés.