DocbyteFacebookPixel
Linkedin Facebook X-twitter
fr_BE French
fr_BE French en_US English nl_BE Dutch
Logo Docbyte
Logo Docbyte
Contactez-nous

Les risques cachés derrière vos signatures numériques

  • 1er septembre 2025

[tta_listen_btn]

image-pour-le-risque-caché-dans-vos-signatures-numériques

Table des matières

Pourquoi les signatures électroniques qualifiées et l'archivage électronique qualifié sont-ils importants ?

Les signatures électroniques sont désormais largement acceptées en remplacement des signatures manuscrites. En Europe, le règlement (UE) n° 910/2014 sur l'identification électronique et les services de confiance pour les transactions électroniques dans le marché intérieur (règlement eIDAS, adopté en juillet 2014) a créé une hiérarchie juridique claire. Une signature électronique qualifiée (SEQ) a le même effet juridique qu'une signature manuscrite dans tous les États membres. D'autres types de signatures, telles que les signatures électroniques avancées, peuvent toujours être valables, mais elles ne bénéficient pas automatiquement de cette équivalence.

Avec la révision d'eIDAS en mai 2024 par le biais du règlement (UE) 2024/1183, le législateur européen a également introduit l’archivage électronique qualifié (QEA). Ce nouveau service de confiance reconnaît qu'il ne suffit pas de signer un document une fois pour espérer qu'il reste valable pour toujours. Le QEA garantit que les documents électroniques et les signatures qu'ils portent restent durables, lisibles et vérifiables aussi longtemps que nécessaire. Un document conservé dans un QEA bénéficie d'une présomption légale d'intégrité et d'origine pendant toute la période de conservation. Lorsque le document est récupéré, un rapport automatisé signé confirme cette présomption.

 

Qu'est-ce qui peut aller mal sans QES et QEA ?

Les risques liés à la non-utilisation d'un QES ou à la conservation insuffisante des documents signés sont plus immédiats qu'on ne le pense.

Le risque le plus évident est que les preuves cryptographiques qui étayent la signature s'amenuisent avec le temps. Les certificats expirent, les algorithmes sont obsolètes et les points d'ancrage de la confiance changent. En l'absence d'un processus de préservation qui renouvelle activement ces preuves, la vérification peut échouer à l'avenir.

Un autre risque majeur réside dans la révocation. Le certificat d'un signataire peut être révoqué dès le lendemain si la clé est compromise ou si l'autorité émettrice retire sa confiance. Par exemple, si vous perdez votre carte d'identité électronique et que vous déclarez le vol à la police, l'autorité émettrice révoquera immédiatement le certificat. Tout document signé peu avant la révocation pourrait être contesté par la suite, car sans une archive appropriée préservant l'état de révocation au moment de la signature, vous ne pouvez pas prouver que le certificat était encore valide au moment de l'exécution. Cela montre que le risque n'apparaît pas seulement après des années, mais potentiellement dès le lendemain.

Il existe également des risques liés à la manière dont les documents sont visualisés. En 2020, des chercheurs de l'université de la Ruhr à Bochum ont fait la démonstration de ce que l'on appelle les "les attaques de l'ombre"sur les PDF. Ces attaques permettaient de modifier le contenu d'un PDF signé sans invalider l'indicateur de signature visible dans Adobe Reader et d'autres visionneuses courantes. Cette vulnérabilité permettait de faire croire aux utilisateurs qu'un document manipulé était toujours authentique. Une série similaire de Défauts de validation des signatures PDF a été exploité en Allemagne en 2019, où des factures modifiées ont été acceptées comme authentiques. En l'absence d'archives fiables et de contrôles d'intégrité, de telles manipulations peuvent passer inaperçues et avoir des conséquences financières importantes.

Enfin, la technologie elle-même évolue. Les formats de fichiers changent, les logiciels deviennent obsolètes et les systèmes futurs peuvent ne plus être en mesure d'interpréter les fichiers d'aujourd'hui. Si la préservation ne gère pas activement la durabilité des formats et l'intégrité des métadonnées, une signature peut rester techniquement valide mais la preuve devient illisible ou incomplète.

 

Archiver les signatures électroniques conformes à eIDAS  

 

Les conséquences dans la pratique

Pour les petits accords de courte durée, les risques peuvent être acceptables. Pour les documents à long terme tels que les titres de propriété, les contrats d'assurance-vie ou les dossiers d'emploi, les conséquences d'une preuve manquante sont graves.

Si le contenu d'un contrat de travail est contesté, un salarié peut faire valoir que le contrat qu'il a signé ne comportait pas une certaine clause. Si l'employeur ne peut pas produire un document signé par le QES et conservé par le QEA, le tribunal peut se ranger du côté du salarié. Les conséquences financières peuvent inclure une indemnité pour licenciement abusif, des obligations de réintégration ou des dommages-intérêts.

Dans le cas d'un contrat d'assurance-vie, les bénéficiaires peuvent contester le montant assuré ou les conditions de versement. Si la compagnie d'assurance ne peut pas prouver la version exacte du contrat qui a été signé, elle risque de payer beaucoup plus que prévu. À l'inverse, une famille peut perdre son droit si l'assureur conteste la validité d'une signature. Ces deux cas de figure peuvent facilement se chiffrer en centaines de milliers d'euros.

 

Abus par de mauvais acteurs

L'absence de signatures qualifiées et d'archivage peut également être exploitée. Une partie malveillante peut modifier un document et prétendre qu'il s'agit de la version originale. Elle pourrait prétendre qu'une signature a été apposée plus tard que convenu, ou que le signataire n'a jamais vu le contenu final. Elle peut même attendre que la cryptographie sous-jacente soit devenue obsolète et contester ensuite la validité de la preuve. Chacun de ces scénarios devient plus plausible lorsque les documents n'ont pas été correctement signés et conservés.

Des exemples concrets existent. Des chercheurs ont démontré des "attaques fantômes" sur des PDF, où des documents signés ont été modifiés après la signature sans que l'état visible de la signature ne soit invalidé. En Allemagne en 2019, vulnérabilités multiples dans la signature des fichiers PDF ont été exploitées pour faire passer des factures modifiées pour des factures authentiques. En 2020, des chercheurs en sécurité de l'université de la Ruhr à Bochum ont montré que les documents signés pouvaient être manipulés pour tromper les systèmes de vérification, ce qui met en évidence le risque pratique en l'absence de contrôles de préservation et d'intégrité.

 

Le rôle du QES et du QEA

En utilisant QES, les organisations obtiennent une reconnaissance juridique automatique dans toute l'UE, équivalente aux signatures manuscrites. En combinant ce système avec le QEA, elles s'assurent également que le document signé et les preuves qui l'accompagnent restent vérifiables et dignes de confiance pendant des décennies. Le QEA offre une approche structurée du renouvellement cryptographique, de l'horodatage, de la préservation des preuves et du rapport d'intégrité. Cela signifie que même dans vingt ans, vous pourrez retrouver un document et démontrer son authenticité sans litiges coûteux.

 

Solution d'archivage électronique qualifiée de Docbyte   

 

Au-delà de l'Europe

Dans d'autres juridictions, il n'existe pas d'équivalent strict du QES ou du QEA. Les États-Unis, par exemple, s'appuient sur l'Electronic Signatures in Global and National Commerce Act (ESIGN Act, adopté en juin 2000) et l'Uniform Electronic Transactions Act (UETA, 1999), qui rendent les signatures électroniques largement admissibles. Dans la pratique, les signatures électroniques avancées et l'archivage électronique avancé peuvent également être invoqués devant les tribunaux, à condition qu'ils soient étayés par des mesures techniques et organisationnelles solides. Toutefois, sans le système européen de présomptions légales, la charge de la preuve restera toujours plus lourde.

 

Préserver la confiance numérique

L'intégrité et la valeur probante des documents signés ne sont pas des choses que l'on peut considérer comme acquises. Les risques peuvent survenir immédiatement après la signature en cas de révocation, et ils augmentent régulièrement avec le temps, à mesure que la technologie change et que les mécanismes cryptographiques évoluent. Pour les documents qui comportent des obligations à long terme ou qui ont une grande valeur, tels que les titres de propriété, les contrats de travail ou les contrats d'assurance, il est dangereux de s'en remettre à de simples signatures et à un simple stockage.

Les signatures électroniques qualifiées et l'archivage électronique qualifié sont conçus pour atténuer ces risques. Elles fournissent un cadre juridiquement reconnu pour garantir que vos documents restent authentiques, intacts et prouvables aussi longtemps que nécessaire. Ce faisant, elles transforment les signatures numériques d'une commodité en une base fiable pour la confiance dans l'économie numérique.

 

Références à des incidents réels :

Shadow Attacks : Hiding and Replacing Content in Signed PDFs" (Université de la Ruhr à Bochum) :
Attaques de l'ombre : Cacher et remplacer le contenu des PDF signés - Symposium NDSS

Rapport de vulnérabilité : Attacks Bypassing the Signature Validation in PDF (Université de la Ruhr à Bochum) :

https://www.nds.ruhr-uni-bochum.de/media/ei/veroeffentlichungen/2019/02/12/report.pdf

Briser la spécification : PDF Certification paper (Université de la Ruhr à Bochum) :
https://pdf-insecurity.org/download/pdf-certification/paper.pdf

Documents PDF signés vulnérables à la manipulation (CERT-EU, CERT pour les institutions, organes et agences de l'UE) :
https://cert.europa.eu/static/threat-intelligence/TLP-WHITE-CERT-EU-TM-PDF-signing-attack-v1.0.pdf

Site web sur l'insécurité PDF (site dédié par des chercheurs de l'université de la Ruhr à Bochum) :
https://www.pdf-insecurity.org/

Image de Frederik Rosseel
Frederik Rosseel

Bonjour, je suis Frederik, PDG de Docbyte. Pionnier des solutions d'archivage numérique et des services de confiance qualifiés depuis des années, je distille cette expérience inestimable dans mes écrits. Mon objectif est d'aider les entreprises à obtenir une sécurité des données solide et une conformité réglementaire sans faille grâce à des informations claires et nettes.

Contactez-nous


Chez Docbyte, nous prenons votre vie privée au sérieux. Nous n'utiliserons vos informations personnelles que pour gérer votre compte et vous fournir les produits et services que vous nous avez demandés.

Contactez-nous
Vous souhaitez contribuer à notre blog ?
Nous écrire
Blogs récents
image principale docbyte vault for hr employment contracts
Contrats de Travail Électroniques et Archivage : Exigences Légales et Idées Reçues
main-image-for- qes-vs-qea-financial-services
Quand la preuve numérique échoue en finance : L'importance du QES et du QEA
image principale pour la signature et l'archivage numériques des contrats de travail temporaire
Signature et archivage numériques des contrats d’intérim : exigences légales et idées reçues