Le validateur de signatures eGov de la Confédération (validateur) a été développé et mis en service en 2008 par l’Office fédéral de la justice (OFJ), dans le cadre de l’introduction de la signature électronique pour les extraits de casier judiciaire. Il vise à renforcer la confiance dans les documents signés électroniquement en permettant de vérifier facilement l’authenticité de ceux-ci et la validité de la signature du point de vue du droit suisse.
Le validateur vérifie les documents munis d’un ou plusieurs cachets ou signatures électroniques conformément aux dispositions de la SCSE (RS 943.03) et de l’OAAE (RS 211.435.1). La vérification d’une signature électronique, qui pourrait aussi être effectuée au moyen d’outils tels que le logiciel Adobe Acrobat Reader, inclut ainsi l’examen de certaines caractéristiques de la signature et de l’authenticité du document. Le validateur a pour but de permettre, y compris aux non-spécialistes, de vérifier d’une manière aussi simple que sûre la validité d’un document et des signatures et cachets qu’il contient.
Le validateur est disponible sous deux formes :
- validateur web : le document à valider peut être téléchargé et vérifié à l’aide d’un navigateur standard. Ce validateur est gratuit pour tout le monde.
- validateur discret : une connexion sécurisée vers le validateur est établie à partir d’une application spécialisée au moyen d’un client Java. Seules la valeur de hachage du document à valider et l’extraction de la ou des signatures électroniques sont transmises, et non le document lui-même. D’où l’étiquette « validateur discret ».
Le validateur discret sert à valider uniquement des documents PDF. Il est à cet effet à la disposition non seulement de l’administration fédérale mais aussi des cantons et des communes. Ces derniers doivent conclure un contrat d’utilisation avec eOperations Suisse, leur interlocuteur unique (single point of contact).
L’accès au validateur discret peut aussi être accordé à des entreprises tierces chargées de faire fonctionner des logiciels pour le compte de l’administration fédérale, de cantons ou de communes.
Pour quels documents utiliser le validateur ?
Le validateur sert avant tout à vérifier et à valider les documents signés électroniquement, établis et reçus par les autorités suisses. Il vérifie les documents munis d’un ou plusieurs cachets ou signatures électroniques conformément aux dispositions de la SCSE (RS 943.03) et de l’OAAE (RS 211.435.1). Il valide ensuite les signatures électroniques avancées (SEA) de la SG-PKI, les signatures électroniques qualifiées (SEQ) suisses et les cachets électroniques réglementés.
Le validateur de signatures eGov vérifie qu’un document signé électroniquement est authentique (signature valable) et intègre (pas de modification du contenu après signature). Il contrôle également que les signatures électroniques répondent aux critères définis pour le type de document. Les critères peuvent concerner la validité du document dans son ensemble (par ex. extrait de casier judiciaire) ou celle des signatures (par ex. signatures qualifiées). Si le document contient des signatures ou des horodatages qui ne sont pas compatibles avec le type de document identifié automatiquement, le rapport détaillé donne des informations sur la signature concernée et sur les caractéristiques qui posent problème. Dans Adobe Acrobat Reader, la vérification est en revanche effectuée directement au niveau de la signature.
Selon le type de document, les critères vérifiés sont
- l’intégrité du fichier signé (toujours),
- la signature au moment de son apposition (toujours),
- le statut de révocation du certificat de signature (toujours),
- la validité de l’horodatage selon la SCSE,
- le certificat autorisé (prévu) pour le type de document.
Il peut en outre être nécessaire
- de vérifier que la signature est valable pour l’ensemble du document,
- d’émettre une alerte lorsqu’un pseudonyme a été utilisé pour la signature.
Le validateur permet actuellement de vérifier les types de documents (documents signés) suivants :
- les actes notariés, soit des documents munis d’une SEQ conforme à la SCSE apposée par un officier public et du cachet électronique réglementé du registre des officiers publics (preuve de la fonction du RegOP),
- les documents munis d’une ou plusieurs SEQ avec horodatage qualifié, dont les certificats proviennent d’un fournisseur de services de certification (CSP) reconnu en Suisse conformément à la SCSE,
- les documents munis d’un cachet électronique réglementé conforme à la SCSE,
- les documents munis d’une signature et d’un horodatage de la SG-PKI,
- les documents publiés sur la plateforme de la Confédération (www.droitfederal.admin.ch) munis d’un cachet électronique réglementé conforme à la SCSE et établis par le Centre des publications officielles de la Chancellerie fédérale,
- les documents e-dec de l’Office fédéral de la douane et de la sécurité des frontières (OFDF) munis d’une SEA de la SG-PKI (classe C),
- les documents relatifs aux poursuites (e-LP) munis d’une SEA de la SG-PKI (classe C),
- les extraits de casier judiciaire munis d’un cachet électronique réglementé conforme à la SCSE délivré à l’Office fédéral de la justice (classe A de la SG-PKI),
- les publications officielles du Portail des feuilles officielles (FOSC) munies d’un cachet électronique réglementé conforme à la SCSE,
- les documents délivrés par les autorités administratives, les communes et le tribunal administratif du canton de Zoug.
Le validateur ne peut pas vérifier les documents munis de signatures électroniques simples (SES), de SEA délivrées par d’autres fournisseurs que la SG-PKI ou de signatures de fournisseurs étrangers, les dernières n’étant pas reconnues juridiquement en Suisse.
Contrairement au validateur, Adobe Acrobat Reader valide chaque signature individuellement, mais uniquement sur le plan technique. Le logiciel reconnaît un grand nombre de fournisseurs (ou de racines) de certificat, mais il ne sait pas si les certificats sont considérés comme qualifiés, réglementés, avancés, sûrs en ce qui concerne l’identité du titulaire, etc., dans le pays qui les a délivrés. Il en va de même pour leur horodatage.
Adobe Acrobat Reader propose deux listes de confiance (trustlist) : AATL (Adobe Approved Trustlist) et EUTL (European Union Trustlist). Les deux listes comprennent les certificats racine d’Adobe qui ont servi à signer les certificats utilisateur utilisés pour signer des documents. Elles sont toutes deux activées à l’installation du logiciel. Ainsi, les SES et les SEA non réglementées par la SCSE, de nombreuses signatures de l’UE et certaines signatures extra-européennes peuvent être vérifiées d’un point de vue purement technique et, le cas échéant, validées. Ce type de vérification ne permet toutefois pas de savoir si les signatures correspondantes sont qualifiées ou réglementées (statut juridique), quel est leur niveau de sécurité technique et si leurs certificats ont été créés sur la base d’une identification fiable du titulaire.
