Forensique des documents PDF signés électroniquement (PAdES, certificats, horodatage)

TL;DR Executive

• Un PDF signé n’est pas une preuve absolue; c’est un conteneur technique qui doit être validé selon des règles strictes (profil de signature, chaîne de certification, statut de révocation, horodatage, politique de validation). Les standards PAdES/ETSI structurent cette vérification. [1][2][4][9]
• En pratique forensique, les échecs probatoires viennent surtout de: (a) validation « à l’instant T » non reproductible, (b) absence de preuves de révocation/OCSP/CRL encapsulées, (c) confusion entre « signature mathématiquement valide » et « attribution juridique de l’auteur ». [4][5][6][10]
• Les profils long terme (LT/LTA) et l’horodatage RFC 3161 réduisent le risque de contestation, mais exigent une conservation disciplinée des artefacts (certs intermédiaires, réponses OCSP/CRL, tokens TSA, politique appliquée). [2][5][9]
• Pour l’expertise judiciaire/civile, la bonne pratique est une méthode en deux couches: vérification cryptographique reproductible + analyse contextuelle d’attribution et de chaîne de possession. [4][5][7][8]

—

1) Problématique

La question probatoire n’est pas seulement « la signature est-elle valide? », mais plutôt: peut-on démontrer, de façon reproductible, qui a signé, quand, avec quelle clé/certificat, et dans quelles conditions de confiance?

Les standards ETSI et eIDAS encadrent les formats reconnus (PAdES/CAdES/XAdES) et les niveaux de conformité. [1][2][7][8] Toutefois, en investigation forensique, la complexité vient du décalage entre norme technique et contexte réel de preuve (clés compromises, validation tardive, archives incomplètes, politiques non documentées). [4][5][10]

2) Cadre conceptuel

2.1 PAdES comme profil spécialisé PDF

PAdES est un profil ETSI appliqué à la signature PDF, en continuité avec ISO 32000 et l’écosystème AdES. [1][2][8] Le standard distingue des briques de base et des profils additionnels, incluant les exigences de validation et d’horodatage long terme. [1][2]

2.2 Horodatage et preuve d’existence

RFC 3161 formalise le rôle de l’Autorité d’Horodatage (TSA) pour prouver qu’une donnée existait avant un instant donné. [5] Dans les litiges, cela sert à soutenir la validité temporelle d’une signature même si, plus tard, un certificat expire ou est révoqué. [5][10]

2.3 Syntaxe cryptographique sous-jacente

Les signatures reposent sur CMS (RFC 5652) ou constructions apparentées; cela implique des objets signés, attributs, certificats et métadonnées qui doivent être interprétés avec une politique de validation explicite. [6][9]

3) Méthodologie de recherche

3.1 Périmètre

• Sujet: forensique des PDF signés (PAdES, certificats, horodatage).
• Portée: standards, cadre réglementaire UE, bonnes pratiques de validation probatoire.

3.2 Volume et sources

• 12 URL analysées (dans la plage exigée 10–100).
• Priorité aux sources normatives/primaires: ETSI, RFC IETF, EUR-Lex, NIST.
• Sources secondaires limitées pour contexte (Library of Congress, Wikipédia) et clairement pondérées.

3.3 Critères d’inclusion/exclusion

Inclus: documents normatifs, textes réglementaires, pages institutionnelles décrivant profils reconnus.

Exclus/pondérés faible confiance: billets marketing, forums, pages non techniques sans méthode vérifiable.

3.4 Limites méthodologiques

• Une partie des standards ISO est payante; analyse appuyée sur résumés institutionnels et références croisées.
• Les validations logicielles (ex. visualiseur A vs B) ne sont pas universelles; nécessité de documenter l’outil exact et sa politique.

4) Résultats: constats techniques et probatoires

4.1 La validité dépend d’une politique, pas d’un seul bit « valide/invalide »

ETSI TS 119 102-1 insiste sur les procédures de création/validation et la notion de politique de validation. [9] En forensique, deux analystes peuvent diverger si les contraintes de validation (ancre de confiance, date de validation, règles de révocation) ne sont pas explicitement figées.

Implication: un rapport d’expertise doit inclure la politique appliquée, les paramètres, l’horloge de référence et la version des outils.

4.2 PAdES long terme: l’enjeu critique est la preuve de révocation dans le temps

Les profils PAdES avancés exigent des éléments de validation (certificats, statut de révocation, données d’archive) pour maintenir la vérifiabilité dans la durée. [1][2] Sans ces éléments, une signature historiquement valide peut devenir non vérifiable des années plus tard.

Implication: distinguer « validité au moment de signature » et « vérifiabilité actuelle ».

4.3 Horodatage TSA: puissant mais pas magique

RFC 3161 fournit un cadre robuste de preuve temporelle via TSA. [5] Mais la valeur probante dépend de la confiance dans la TSA, de la conservation des tokens et de la possibilité de reproduire la chaîne de validation.

Implication: collecter les tokens d’horodatage et artefacts de validation dans le dossier de preuve.

4.4 Cadre juridique UE: formats reconnus et interopérabilité

Le règlement eIDAS et la décision d’exécution 2015/1506 imposent la reconnaissance de formats avancés (dont PDF/PAdES) pour services publics dans des niveaux de conformité définis. [7][8] Cela soutient l’interopérabilité, mais ne dispense pas l’analyse forensique contextuelle (identité réelle du porteur de clé, compromission, délégation non autorisée).

4.5 Retours opérationnels utiles en expertise

NIST souligne l’importance de la « timeliness » des signatures et de l’usage de tiers d’horodatage pour renforcer l’assertion temporelle (publication retirée mais concept toujours pertinent). [10] Les références ISO/PDF 2.0 et extensions montrent une évolution continue des mécanismes de signatures et algorithmes, créant un risque d’outillage hétérogène entre parties. [11][12]

5) Discussion critique

1. Fait établi: une signature cryptographiquement valide n’implique pas automatiquement une attribution personnelle incontestable (usage de certificat ≠ preuve absolue de volonté/signataire humain). [4][6][9]
2. Fait établi: les profils LT/LTA améliorent fortement la résilience probatoire, à condition d’archiver les preuves de validation. [1][2][5]
3. Zone d’incertitude: en litige transfrontalier hors UE ou hybride (UE/Canada), l’articulation entre conformité eIDAS et règles locales de preuve peut diverger.
4. Risque fréquent: « capture écran de panneau signature » utilisée comme preuve unique — insuffisant sans extraction d’artefacts cryptographiques natifs et journal de validation.

6) Protocole forensique recommandé (pratique)

1. Acquisition: préserver l’original binaire PDF + hash (SHA-256/SHA-512), chaîne de possession.
2. Extraction: extraire objets de signature, certificats, attributs signés/non signés, timestamps, infos OCSP/CRL intégrées.
3. Validation multi-temps:

• validation au temps présent;
• validation rétroactive au temps allégué de signature;
• comparaison de résultats.

1. Politique explicite: documenter ancre de confiance, politique ETSI/règles internes, versions logicielles.
2. Corrélation contextuelle: logs système, journaux applicatifs, e-mails d’envoi, métadonnées documentaires.
3. Rapport: séparer clairement constat technique, hypothèses, et opinion d’attribution.

7) Conclusion

La forensique des PDF signés exige une posture « preuve reproductible » et non « simple lecture de badge vert ». Les standards PAdES/ETSI, RFC 3161 et le cadre eIDAS offrent une base solide, mais la valeur probante réelle dépend de la conservation des artefacts, de la politique de validation et de l’analyse contextuelle d’attribution. [1][2][5][7][9]

—