vendredi, 24 avril, 2026
Signature et certification
Un rapport IsoFind généré en version finale (pas en aperçu) est signé cryptographiquement. Cette signature garantit l'origine du document et son intégrité : tout lecteur disposant de la clé publique correspondante peut vérifier que le document n'a pas été modifié depuis sa production, et qu'il a bien été émis par le poste qu'il prétend. Cette page décrit le mécanisme, ce qu'il garantit, ce qu'il ne garantit pas, et comment l'exploiter concrètement.
Ce que la signature garantit
La signature cryptographique d'un rapport IsoFind assure trois propriétés bien définies.
| Propriété | Ce que cela signifie |
|---|---|
| Intégrité | Aucun octet du document n'a été modifié depuis sa génération. Une seule virgule changée invalide la signature. |
| Authenticité | Le document a été produit par le poste IsoFind qui détient la clé privée associée. |
| Non-répudiation technique | L'émetteur ne peut pas techniquement nier avoir produit le document, sous réserve que sa clé privée n'ait pas été compromise. |
Ce que la signature ne garantit pas
Il est essentiel de ne pas sur-interpréter ce qu'une signature cryptographique apporte. Plusieurs propriétés souvent associées à l'idée de « rapport certifié » ne sont pas garanties par la signature elle-même.
- La signature ne dit rien sur l'exactitude scientifique du contenu. Un rapport peut être signé et faux.
- La signature ne certifie pas la compétence de l'auteur. N'importe qui peut installer IsoFind et signer des rapports.
- La signature ne remplace pas un agrément réglementaire ou une accréditation. Un rapport signé n'est pas automatiquement recevable dans un cadre administratif qui exige une accréditation COFRAC ou équivalent.
- La signature ne prouve pas qu'aucun contenu n'a été omis. Elle couvre ce qui est dans le document, pas ce qui pourrait y manquer.
La confusion entre signature cryptographique et validation scientifique est fréquente et parfois entretenue à tort dans la communication commerciale de certains outils. IsoFind est volontairement conservateur sur ce point : la signature est un outil d'intégrité et de traçabilité, pas une preuve de qualité.
Mécanisme technique
La signature utilise l'algorithme ECDSA (Elliptic Curve Digital Signature Algorithm) sur la courbe P-256, standard largement déployé et reconnu par les référentiels de sécurité nationaux et internationaux. Chaque poste IsoFind dispose d'une paire de clés privée et publique. La clé privée est stockée dans un container chiffré propre au poste. La clé publique est distribuable librement et sert à vérifier les signatures émises.
| Étape | Détail |
|---|---|
| 1. Calcul du hash | SHA-256 du contenu du PDF final |
| 2. Signature du hash | ECDSA P-256 avec la clé privée du poste |
| 3. Empaquetage | Signature, hash, identifiant de clé publique et horodatage joints au PDF |
| 4. Bloc Certification | Dernière page du rapport affiche hash, identifiant de clé et phrase de certification normalisée |
Le bloc Certification
Le bloc certification est l'un des blocs standards du catalogue (catégorie Conclusion, nature « none »). Il est inclus par défaut dans tous les templates et produit la dernière page du rapport avec les éléments suivants : phrase de certification normalisée, hash SHA-256 du document, identifiant de la clé publique du poste, horodatage de signature, instructions de vérification.
La phrase normalisée précise sans ambiguïté ce que garantit la signature et ce qu'elle ne garantit pas, dans les termes rappelés plus haut. Cette normalisation évite les malentendus au moment où le document passe entre des mains non averties.
Le bloc Certification ne doit pas être retiré d'un rapport destiné à une diffusion externe. Il est ce qui rend la signature exploitable par le lecteur. Un rapport signé sans bloc Certification reste techniquement vérifiable, mais la procédure est moins accessible pour un destinataire non technique.
Vérifier la signature d'un rapport reçu
Un destinataire qui reçoit un rapport signé dispose de plusieurs options pour vérifier la signature, du plus simple au plus rigoureux.
| Méthode | Public | Exigence |
|---|---|---|
| Outil en ligne IsoFind | Lecteur non technique | Accès internet, glisser-déposer du PDF |
| Application IsoFind locale | Utilisateur IsoFind | IsoFind installé, ouverture du fichier |
| Ligne de commande openssl | Expert technique | Connaissance d'openssl, fichier de clé publique |
| Bibliothèque Python isof | Intégration automatisée | Package isof installé via pip |
Dans tous les cas, la vérification aboutit à un résultat binaire : signature valide ou invalide. Une signature invalide peut signaler soit une modification du document (intentionnelle ou accidentelle), soit une tentative de substitution d'un rapport frauduleux par un autre prétendant être le même.
Certificat de laboratoire
Pour les utilisateurs qui souhaitent lier leur poste IsoFind à une identité organisationnelle formelle (un laboratoire d'analyses, un bureau d'études, un cabinet d'expertise), IsoFind propose un système de certificats de laboratoire. Ce système s'appuie sur une PKI à trois niveaux.
| Niveau | Rôle | Durée de validité |
|---|---|---|
| Root CA IsoFind | Ancre racine, signe les CA intermédiaires | 20 ans, renouvellement à 2046 |
| Issuing CA IsoFind | Signe les certificats de laboratoire sur HSM | 5 ans, renouvellement à 2031 |
| Certificat de laboratoire | Identifie l'organisation émettrice des rapports | 1 à 3 ans selon la souscription |
Un rapport signé par une organisation certifiée contient en plus de la signature de base une chaîne de certificats remontant jusqu'à la Root CA IsoFind. Un vérificateur peut ainsi non seulement confirmer l'intégrité du rapport mais aussi l'identité de l'organisation émettrice. La procédure d'obtention d'un certificat de laboratoire est décrite sur une page dédiée.
Archivage et vérification à long terme
Les signatures cryptographiques ont une durée de vie pratique limitée par l'évolution des algorithmes et des menaces. Un rapport signé aujourd'hui avec ECDSA P-256 devrait rester vérifiable pendant au moins vingt ans, mais cette estimation est conditionnelle aux progrès de la cryptanalyse. Pour les archives nécessitant une vérification sur plusieurs décennies, deux stratégies complémentaires sont recommandées.
- Conservation du document original dans son format signé, sans altération.
- Re-signature périodique avec un algorithme à jour si la sensibilité du document le justifie.
- Archivage de la clé publique associée, indépendamment du document, pour éviter qu'une perte d'accès au service IsoFind rende la vérification impossible.
- Pour les usages réglementaires, préférer le format ISOF qui ajoute à la signature un sceau HMAC à destination de l'intégrité long terme.
Différence entre rapport signé et archive ISOF
IsoFind propose deux formats signés distincts qui correspondent à deux usages. La distinction mérite d'être claire.
| Format | Contenu | Usage |
|---|---|---|
| PDF signé | Le rapport mis en forme, lisible dans tout lecteur PDF | Diffusion au client, autorité, expert |
| Archive ISOF | Ensemble structuré des données du projet, signé et scellé HMAC | Archivage long terme, contentieux, transmission de projet complet |
Les deux formats sont produits à partir du même projet IsoFind et portent des garanties complémentaires. Pour un dossier réglementaire complet, il est courant de joindre à la fois le PDF signé (lisible par l'autorité) et l'archive ISOF (pour la traçabilité et la réouverture technique ultérieure).
Un PDF signé peut être archivé dans un dépôt de documents classique (GED, SharePoint, système de fichiers réseau) sans précaution particulière. Une archive ISOF, plus volumineuse et destinée à la réouverture technique, a vocation à être conservée dans un espace d'archivage dédié avec une politique de rétention adaptée à l'activité.
Signalement d'une clé compromise
Si une clé privée est compromise (vol de poste, exfiltration, suspicion d'usage non autorisé), l'organisation doit le signaler à IsoFind pour que la clé publique correspondante soit révoquée. Une liste de révocation est maintenue et consultée par les outils de vérification. Un rapport signé avec une clé révoquée est signalé comme non valide avec la mention explicite de la révocation.
La révocation n'invalide pas les rapports signés avant la compromission, mais elle signale au vérificateur que les signatures postérieures à la date de révocation sont à considérer comme non fiables. Cette granularité temporelle est importante pour ne pas invalider des documents légitimes antérieurs à l'incident.
Pour aller plus loin
- Signatures numériques : détails techniques généraux sur la cryptographie IsoFind.
- Traçabilité et intégrité HMAC : sceau HMAC et intégrité des données.
- Vérifier l'intégrité d'un ISOF : procédure de vérification d'une archive.
- Activer un certificat de laboratoire : procédure d'activation de la PKI organisationnelle.