La dématérialisation de documents est devenue indispensable dans de nombreux secteurs d’activité en termes d’échange rapide d’informations. Suite aux enjeux liés à la transaction et le traitement de données informatiques, les entreprises ont principalement recours à la signature électronique dans l’intention de garantir l’authenticité du fichier. En revanche, la communication de pièces numériques peut être directement biaisée par la remise en question de leur intégrité en absence de preuves validant l’existence de ces dernières à un moment précis. L’introduction de cette problématique a notamment conduit à la normalisation du processus d’horodatage afin d’être en mesure de retracer les opérations réalisées en ligne sur un document, et connaître la date exacte de son envoi.

Horodatage certifié: assurer l’intégrité des e-documents

  • Un marquage supplémentaire

L’horodatage électronique ou timestamp est un dispositif associant une date ainsi qu’une heure précises à un évènement, une information ou une donnée informatique en suivant un protocole fiable. Elle représente un sceau attestant de la création de la pièce, et garantie automatiquement que celle-ci n’a pas subi de modifications depuis la date indiquée. En effet, l’horodatage document figure parmi les opérations répondant aux exigences de la règlementation eIDAS à l’instar de la signature électronique, et délivre une meilleure fiabilité à travers le marquage temporel. Son apposition est alors considérée en tant que gage de confiance témoignant de l’utilisation de méthodes standardisées respectant un cadre juridique particulier avant de sceller une copie d’un fichier, et dont la validité est similaire au cachet de la Poste.

  • Prévenir les modifications frauduleuses

L’apposition d’un horodatage permet également de prévenir les éventuelles manipulations de dates par un utilisateur en local. De plus, il peut être automatiquement utilisé comme un accusé de réception accompagnant l’émission d’un document puisqu’il est constitué d’un mécanisme capable de démontrer l’envoi dans un intervalle de temps imparti lorsque des délais de livraison sont imposés. De ce fait, l’horodatage certifié par un prestataire qualifié peut être automatiquement exploité durant un litige en face d’un tribunal ou autres instances légales en tant qu’élément d’appui prouvant l’existence et la transmission d’un document.

Par ailleurs, de nombreux professionnels proposent un service d’horodatage et d’accompagnement légaux consultables sur des sites comme universign.com par exemple.

L’affaire de professionnels certifiés

  • Le rôle du PSCo

Le tiers en charge de l’horodatage doit être caractérisé par un organisme répondant aux obligations énoncées par les normes avant d’être éligible au statut d’Autorité d’Horodatage (AH). Ce Prestataire de Services de Confiance (PSCo) est équipé du matériel conforme au Federal Information Procesing Standard (FIPS) pour produire un marquage traduisant une garantie cryptographique de l’intégrité du document via l’absence d’altérations ultérieures, et confirmant la date mentionnée. En conséquence, la probabilité de falsification de la datation est significativement réduite avec l’horodatage d’une AH, car celle-ci peut être vérifiée avec exactitude par plusieurs organismes indépendants.

  • Suivre le cycle de vie d’un document

Le recours à un système d’horodatage certifié par une AH demeure l’unique solution officielle pour revisiter les évènements ayant impacté un document depuis sa création jusqu’à sa diffusion. Par ailleurs, horodater des documents dans le cadre d’un archivage préviendra des conflits liés à leur destruction physique.

Un fonctionnement technique avancé

Une AH exploite des infrastructures à clé publique (PKI) pour réaliser les différentes étapes du processus d’horodatage. En outre, le déroulement démarre via :

  • La création d’une valeur de hachage (hash) correspondant à un identifiant exclusif par l’application client, et qui sera transmis à l’établissement responsable. A ce stade, tout changement apporté au document à horodater sera aussi renseigné au serveur du spécialiste. Dans le cas d’un horodatage pdf, l’opération devra être réalisée après la conversion du format de la pièce.
  • L’AH se chargera ensuite combiner le hash avec des informations supplémentaires comme l’heure de référence universelle (UTC) pour fabriquer un résultat qui sera signé numériquement avec la clé privée de l’AH.
  • Le jeton créé contenant l’ensemble des informations sera alors renvoyé au client, et sera utilisé par l’application cliente pour vérifier l’horodatage effectué avant d’être sauvegardé au sein de la signature du document.

Il faut noter que le logiciel authentifie l’AH et confirme que l’horodatage provient d’un organisme de confiance à l’ouverture du fichier. De ce fait, un hash supplémentaire sera calculé et comparé à la valeur d’origine. Les données seront donc invalidées si des changements non enregistrés ont été détectées après l’horodatage, et l’échec de cette vérification génèrera une notification remettant en cause la fiabilité des données. Les acteurs opérant au sein d’une plateforme pourront alors partager des données avec la certitude qu’ils n’ont pas été frauduleusement modifiés.

La synergie entre la e-signature et l’horodatage

Les signatures numériques valident l’identité de l’émetteur en préservant un niveau de confidentialité en accord avec le RGPD, mais celles-ci demandent obligatoirement l’intégration d’informations de validation à long terme afin de maintenir la crédibilité de l’acte envoyée. L’horodatage prévient l’expiration des signatures électroniques tout en renforçant l’intégrité et la sécurité du contenu, qui est désormais irrévocable. De plus, l’heure et la date de signature augmentent la fiabilité de la signature du fait que le certificat était valide au moment de son application.