Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Comment signer des PDFs sans Adobe Acrobat?

cinaptix

Je comprend bien, mais chiffrement et signature utilisent les mêmes mécanismes. C'est pour cela que je dis qu'il faut bien comprendre comment ça marche.

Ça repose sur l'utilisation d'un couple de clés dont l'une est secrète et l'autre publique. La vérification de l'authenticité d'un document doit pouvoir se faire par tout le monde à partir d'une donnée publique, mais la signature ne doit être générée qu'avec une donnée que seul le signataire connaît et qui doit rester secrète (sinon tout le monde peut signer à sa place).

OpenPGP est le standard le plus universel que je connaisse. Multiplateforme, open-source, applicable à tout type de fichier, gratuit et simple à implémenter (présent par défaut dans GNU/Linux).

Ce qui est proposé ici : http://www.tbs-certificats.com/FAQ/fr/313.html est propre à la signature de PDF et fonctionne sur le même principe (certificats) en moins universel et en moins sûr (Microsoft avait falsifié des certificats pour le régime de Ben Ali > http://www.rue89.com/2011/03/18/tunisie-microsoft-complice-de-la-censure-numerique-par-ben-ali-195693 ce qui prouve que le tiers de confiance peut parfaitement être pourri jusqu'à l'os).

Le reste c'est de l'utopie.

Poleta33

c'est quand meme con : on a les paquets java pour le faire (quoique je n'ai pas encore reussi a les faire marcher) mais il n'y a rien de user-friendly...

Poleta33

alors pour info je crois que j'ai trouve une solution avec :
jsignpdf (en tout cas le jar 1.4.4 marche sur windows, je vais voir ce soir sur ubuntu...)
cacerts comme authorite de certification (je n'ai aucune idee de ce qu'elle vaut)

cinaptix

On est toujours dans la même problématique et la valeur de la signature est directement dépendante du degré de confiance qu'on peut accorder à la partie "publique" du certificat. Il existe des plugins pour OpenOffice mais on peut déjà signer un ODT dans OpenOffice si on dispose d'un certificat et si le destinataire dispose de la clé publique.

https://fr.wikipedia.org/wiki/Signature_num%C3%A9rique
https://fr.wikipedia.org/wiki/Certificat_%C3%A9lectronique

Le logiciel qui utilise des certificats pour authentification de signature (x509) va chercher ses informations dans l'espace de stockage des certificats du navigateur internet (les certificats étant distribués le plus souvent en ligne).

Voici ce qui est dit dans l'aide de LibreOffice sur la signature (valable pour tout système de signature) :

Avertissements de sécurité
Même lorsque vous recevez un document signé et que la validité de la signature est confirmée, vous ne pouvez pas être certain que le document reçu correspond au document envoyé. La signature de documents à l'aide de certificats ne constitue pas un procédé totalement sécurisé. Il existe de nombreuses failles exploitables.
Exemple : un expéditeur peut se faire passer pour un employé de votre banque. Il peut en effet se procurer un certificat sous un faux nom, puis vous envoyer un message électronique signé en prétendant travailler pour votre banque. Vous recevez ce message, dont le contenu ou la pièce jointe est associé à l'icône de "signature valide".
Ne vous fiez pas à cette icône. Inspectez et vérifiez les certificats.

Poleta33

merci cinaptix pour tes remarques ! (j'utilise un certificat P12 ou quelque chose comme ca...)

tu penses quoi de CACERT ?... en tant que "militant" open source, quel est le site de certification le plus adapté ?...

cinaptix

Bonjour,

Moi je me fournissais ici > https://www.tbs-internet.com/php/HTML/commande.php?p=2&id=106

Gratuit, et à mon avis, suffisant pour assurer une authentification pour des choses non "sensibles". Sinon il faut du certificat payant ! :/

Pour la petite histoire, cette boîte a absorbé Thawte. Thawte avait été fondée par Mark Shuttleworth :
Wikipédia : https://fr.wikipedia.org/wiki/Thawte
https://fr.wikipedia.org/wiki/Mark_Shuttleworth

En 1995, il fonde Thawte, société spécialisée dans la sécurité internet. Il vend cette dernière en 1999 à VeriSign.

Ma préférence va à un système open-source car les clés sont créées sur ma machine et la clé privée y reste (elle peut aussi être stockée sur une carte à puce ou une clé USB). Pour la signature je peux choisir moi-même mon tiers de confiance.

Pour le reste c'est pareil, et il faut toujours installer sur la machine réceptrice un soft pour vérifier la signature.

Poleta33

alors j'ai teste sur ubuntu et ca marche...

par contre, j'ai vu qu'il y avait depuis l'explorateur de fichiers dans le clic droit, une option pour chiffrer, ca c'est OK, et une pour signer et la je n'ai pas compris... si je clique sur signer ca me genere un tout petit fichier qui n'est pas du tout mon fichier avec une signature numerique... c'est quoi ce fichier et c'est utilisable comment ?...

cinaptix

Bonjour,

De quel standard parles-tu ? (GPG ou autre)

La signature d'un document peut-être détachée (il s'agit du haché du document signé avec la clé privée du signataire). Elle doit voyager avec le document.

Une signature peut également être incorporée au document lui-même, chiffré ou non.

Pour GPG voir dans un terminal (man gpg) les très nombreuses options.

Poleta33

cinaptix a écrit De quel standard parles-tu ? (GPG ou autre)

ben je ne sais pas, je parle du menu contextuel de la souris qui propose "Signer"... est ce qu'il est possible de modifier le comportement de ce menu contextuel pour qu'il rajoute la signature a mon document plutot que de generer des hash ?

(en tout cas un grand merci pour tout cinaptix 😃 )

cinaptix

L'outil incorporé a Ubuntu est seahorse, c-à-d une interface graphique prenant en charge une partie de GPG (l'essentiel mais pas tout). Ça permet, entre autres fonctions, de chiffrer et signer en local et bien sûr déchiffrer et vérifier une signature.

Il me semble qu'on peut choisir une signature attachée ou détachée du document.

Sous Xubuntu j'utilise GPA, une autre interface graphique, mais c'est en ligne de commande qu'on a le plus de souplesse.

http://doc.ubuntu-fr.org/gnupg?s[]=seahorse

http://doc.ubuntu-fr.org/seahorse?s[]=seahorse

Poleta33

cinaptix a écrit Il me semble qu'on peut choisir une signature attachée ou détachée du document.

je vais essayer de regarder cette option... ++ et merci !

Poleta33

Alors j'ai regarde ce click droit Signer et je dois dire que :
1/ je ne suis pas arrive a configurer ce qu'il fait
2/ je n'ai pas trouve comment exploiter le petit fichier genere (.sig il me semble)

je trouve que c'est vraiment dommage vu qu'il y a tout le code a disposition... on est encore loin d'Apple, grrr... il y a un endroit ou je peux poster mon souhait ?...

cinaptix

Alors j'ai regarde ce click droit Signer

À quoi exactement se rapporte ce "signer" ? Seahorse, GPG, ou autre chose que tu aurais installé ? Seahorse est installé par défaut. Les outils nécessitent l'installation de seahorse-nautilus (c'est dans la doc).

Pour utiliser GPG, la première chose à faire est de se créer une paire de clés.

S'il s'agit d'un outil spécifique pour signer des PDF, il faut se faire délivrer un certificat.

Tonnelier

Puis-je utiliser OpenOffice pour signer numériquement un fichier PDF, à l'aide de la carte d'identité électronique (existe en Belgique), comme on peut le faire avec Adobe Acrobat ?

Cette formalité est devenue indispensable pour certaines applications numériques comme les déclarations TVA.

http://eid.belgium.be & http://ccff02.minfin.fgov.be/pdfhelper/html/faq.html?lang=fr

cinaptix

Bonjour !

Je ne pense pas. Les solutions proposées sont des solutions propriétaires, la plupart du temps en ligne et quelquefois nécessitant un lecteur de carte à puce. Rien de simple et universel... hélas !

brunodobbel

J'ai le même problème : impossible de signer numériquement un pdf pour ma déclaration TVA sur linux.
Si quelqu'un connais une manière de signer en ligne, ou une solution linux, je suis preneur comme les autres internautes de cette page.

uri

Bonjour,

Des solutions logicielles existent,

J'ai déjà mis en place un parapheur électronique open source pour une collectivité. Ce dernier, à l'époque des applets Java, embarquait LibreSign.
Nous pouvions apposer des signatures, selon les formats exigés et bien entendu depuis des certificats logiciels ou matériels (même sous client Linux).
Les certificats devaient etre issus d'une autorité de certification reconnue par l'Applet (sinon faut se la compiler en rajoutant sa propre AC).

Les signatures étaient soit détachées du fichier, soit embarquées dans ce dernier pour par exemple les XMLs et les PDFs (comme Adobe). Le format de signature étant alors respectivement le Xades et le Pades.

La solution mis en œuvre à l'époque est surdimensionnée pour votre besoin car il s'agit d'une solution client/serveur basée sur Alfresco (donc bien lourd pour juste signer un document).

Pour du PDF, essayez de chercher sur le net avec "Pades open source", je pense que vous devriez trouver rapidement quelques outils (genre le jsignpdf, ou encore Nexu sans java que je ne connais pas).

A noter :

- La valeur légale d'un document est créée lors de sa signature. Or vous avez l'obligation d’archiver vos document originaux. Il faudra donc archiver les documents signés numériquement ( pendant 10 ans pour certains). En cas de litige, un scan d'un document signé manuscritement n'a pas la valeur légale de l'original et une impression d'un document signé numériquement n'a pas non plus la valeur légale d'un original.

- En principe, la plupart des services en ligne qui exigent une signature électronique proposent directement de signer depuis leur site c('est le cas de l'ursaff je crois) avec leurs propres outils (applets java âgées mais ca évolue - ). Il faut donc disposer d'un certificat conforme à la législation et surtout qu'il soit bien installé sur le poste et sur le navigateur (firefox dispose de son propre magasin de certificat).

Pour la TVA c'est quoi le format de signature légalement demandé ?

« Page précédente