Problème résolu après avec remarqué que DocuSign (3 signatures gratuites) présente un problème similaire. Le fonctionnement de la signature des fichiers pdf crée une version signé valide dans un fichier pdf non valide. J'ignore encore comment je vais utiliser les fichiers pdf mais je pense que l'envoi du fichier généré (complet) avec le fichier signé valide (extrait) est la meilleure solution. En vous remerciant pour le service rendu. Cordialement, Gilles
Bonjour,
Merci pour votre message qui met bien en évidence la complexité de la signature électronique. En effet, celle-ci n'est pas le chiffrement de l'empreinte SHA256 du fichier par la clé privée du signataire. Et cela pour 2 raisons principales.
1) Dans un fichier PDF, on s'intéresse au "ByteRange" qui concerne précisément dans le document PDF les vraies données qui seront signées et qui peuvent exclure des champs de formulaires qui seront complétés ainsi que d'autres données non signifiantes. Vous pouvez d'ailleurs retrouver ce "ByteRange" dans la signature du document PDF.
2) Se contenter de chiffrer l'empreinte du contenu à signer ne permet pas, en matière de sécurité, de garantir l'identité du signataire. Cela ne permet que de vérifier que la clé publique utilisée pour déchiffrer la signature est bien celle qui correspond à la clé privée qui a été utilisée pour effectuer cette signature. Il est donc nécessaire d'ajouter à l'empreinte du ByteRange d'autres données (comme le certificat du signataire, la date de la signature, la griffe du signataire, etc.), et l'ensemble fait ensuite l'objet d'un dernier calcul d'empreinte qui, elle, sera chiffrée par la clé privée du signataire.
L'un des meilleurs outils pour vérifier la signature électronique d'un fichier PDF est Adobe Acrobat Reader (gratuit) qui est la référence en la matière.
Bien cordialement,
L'équipe Lex Community.