Les PDF avec signature électronique sont-ils vraiment des documents fiables ?

Le par Carolina T.  |  11 commentaire(s)
PDF Expert

Des chercheurs ont démontré qu’il était possible de contourner la protection de la signature électronique des PDF.

Un PDF signé est censé être un document sûr qu’il s’avère impossible à modifier. De nombreux convertisseurs PDF, gratuits ou payants, permettent aussi d'utiliser très facilement ce format de document universel et très usité tant en entreprise que par les particuliers. Cependant, des chercheurs de l’université de la Ruhr nous prouvent aujourd'hui le contraire, détaillant deux failles permettant de contourner la signature électronique d'un PDF.

En effet, ces derniers font état dans leur rapport de  "documents à deux visages", avec d'un côté le contenu légitime qui reste visible, et d'un autre côté du contenu qui n’apparaît qu’après signature et qui n’est donc pas porté à la connaissance des signataires. Explications.

Les documents PDF sont structurés en plusieurs parties, le “corps” qui définit la structure générale du PDF, et le “trailer” qui permet de définir l'ordre de lecture des objets, mais également de réaliser un suivi des modifications effectuées par une sorte de versionnage. Enfin, la partie “signature” qui possède son identifiant et son certificat numérique en début et en fin du document.

Contrat-signature-electronique 

Le rapport des chercheurs fait état de deux types d’attaques différentes, la première exploitant les formulaires dynamiques. Ces champs peuvent afficher deux valeurs, celle qui est visible, et qui disparaît dès qu’on sélectionne le champ, et celle qui la remplacera qui reste donc invisible. Cette méthode s’apparente aux systèmes de saisie automatique que l’on retrouve un peu partout. Sauf que dans les PDF, il n’existe aucune différence visuelle avec les deux valeurs. Impossible donc de savoir s’il existe des champs de ce type dans le document. Il suffit, avant signature électronique, de renseigner les valeurs visibles et celles qui vont les remplacer. Puis, une fois le document signé, de modifier les /BBox. La signature restera valide mais le texte aura été modifié.

L’autre type d'attaque consiste à associer une police de caractères spécifique à un contenu, puis, une fois le document signé, de remplacer cette police par une autre., permettant par la même de "réécrire" le document.

Espérons qu'une solution soit vite trouvée pour combler ces failles de sécurité.

  • Partager ce contenu :

Vos commentaires Page 1 / 2

Trier par : date / pertinence
jacob13 offline Hors ligne VIP icone 6015 points
Le #2107701
Comme ça ils pourront écrire en gros caractères invisibles les mentions désagréables pour le signataire.
lebonga away Absent VIP avatar 31706 points
Le #2107711
A la base, le pdf devait être un format "mort", donc fiable car non modifiable, mais avec les éditeurs, la fiabilité s'est volatilisée...
FRANCKYIV online Connecté VIP icone 52488 points
Premium
Le #2107716
Perso j'ai du signer un contrat avec ma banque récemment.

On m'a envoyé un PDF par email à signer.

J'ai téléchargé le PDF, je l'ai imprimé, je l'ai signé, je l'ai scanné, et j'ai refais un PDF ...
tmtisfree offline Hors ligne VIP icone 5561 points
Le #2107719
FRANCKYIV a écrit :

Perso j'ai du signer un contrat avec ma banque récemment.

On m'a envoyé un PDF par email à signer.

J'ai téléchargé le PDF, je l'ai imprimé, je l'ai signé, je l'ai scanné, et j'ai refais un PDF ...


Alors que tu aurais pu bien plus simplement copier-coller ta signature (préalablement numérisée en image) sur le PDF, l'enregistrer et l'envoyer...
FRANCKYIV online Connecté VIP icone 52488 points
Premium
Le #2107720
tmtisfree a écrit :

FRANCKYIV a écrit :

Perso j'ai du signer un contrat avec ma banque récemment.

On m'a envoyé un PDF par email à signer.

J'ai téléchargé le PDF, je l'ai imprimé, je l'ai signé, je l'ai scanné, et j'ai refais un PDF ...


Alors que tu aurais pu bien plus simplement copier-coller ta signature (préalablement numérisée en image) sur le PDF, l'enregistrer et l'envoyer...


La banque ne m'en a pas informé, dommage ...
lebonga away Absent VIP avatar 31706 points
Le #2107722
FRANCKYIV a écrit :

Perso j'ai du signer un contrat avec ma banque récemment.

On m'a envoyé un PDF par email à signer.

J'ai téléchargé le PDF, je l'ai imprimé, je l'ai signé, je l'ai scanné, et j'ai refais un PDF ...


C'est mallheureusement une façon secure, malgré les manips...
tmtisfree offline Hors ligne VIP icone 5561 points
Le #2107731
FRANCKYIV a écrit :

tmtisfree a écrit :

FRANCKYIV a écrit :

Perso j'ai du signer un contrat avec ma banque récemment.

On m'a envoyé un PDF par email à signer.

J'ai téléchargé le PDF, je l'ai imprimé, je l'ai signé, je l'ai scanné, et j'ai refais un PDF ...


Alors que tu aurais pu bien plus simplement copier-coller ta signature (préalablement numérisée en image) sur le PDF, l'enregistrer et l'envoyer...


La banque ne m'en a pas informé, dommage ...


Je sais bien que je vais passer une fois encore pour une arrogante, mais ce n'est pas à la banque de penser à ta place...
FRANCKYIV online Connecté VIP icone 52488 points
Premium
Le #2107732
tmtisfree a écrit :

FRANCKYIV a écrit :

tmtisfree a écrit :

FRANCKYIV a écrit :

Perso j'ai du signer un contrat avec ma banque récemment.

On m'a envoyé un PDF par email à signer.

J'ai téléchargé le PDF, je l'ai imprimé, je l'ai signé, je l'ai scanné, et j'ai refais un PDF ...


Alors que tu aurais pu bien plus simplement copier-coller ta signature (préalablement numérisée en image) sur le PDF, l'enregistrer et l'envoyer...


La banque ne m'en a pas informé, dommage ...


Je sais bien que je vais passer une fois encore pour une arrogante, mais ce n'est pas à la banque de penser à ta place...


Elle m'a demandé une chose, je l'ai faite.

Comme ce n'est pas à elle de dire comment faire, je fais ce que je veux
tmtisfree offline Hors ligne VIP icone 5561 points
Le #2107795
FRANCKYIV a écrit :

tmtisfree a écrit :

FRANCKYIV a écrit :

tmtisfree a écrit :

FRANCKYIV a écrit :

Perso j'ai du signer un contrat avec ma banque récemment.

On m'a envoyé un PDF par email à signer.

J'ai téléchargé le PDF, je l'ai imprimé, je l'ai signé, je l'ai scanné, et j'ai refais un PDF ...


Alors que tu aurais pu bien plus simplement copier-coller ta signature (préalablement numérisée en image) sur le PDF, l'enregistrer et l'envoyer...


La banque ne m'en a pas informé, dommage ...


Je sais bien que je vais passer une fois encore pour une arrogante, mais ce n'est pas à la banque de penser à ta place...


Elle m'a demandé une chose, je l'ai faite.

Comme ce n'est pas à elle de dire comment faire, je fais ce que je veux


Je dirais en l’occurrence que tu fais ce que tu peux...
FRANCKYIV online Connecté VIP icone 52488 points
Premium
Le #2107797
tmtisfree a écrit :

FRANCKYIV a écrit :

tmtisfree a écrit :

FRANCKYIV a écrit :

tmtisfree a écrit :

FRANCKYIV a écrit :

Perso j'ai du signer un contrat avec ma banque récemment.

On m'a envoyé un PDF par email à signer.

J'ai téléchargé le PDF, je l'ai imprimé, je l'ai signé, je l'ai scanné, et j'ai refais un PDF ...


Alors que tu aurais pu bien plus simplement copier-coller ta signature (préalablement numérisée en image) sur le PDF, l'enregistrer et l'envoyer...


La banque ne m'en a pas informé, dommage ...


Je sais bien que je vais passer une fois encore pour une arrogante, mais ce n'est pas à la banque de penser à ta place...


Elle m'a demandé une chose, je l'ai faite.

Comme ce n'est pas à elle de dire comment faire, je fais ce que je veux


Je dirais en l’occurrence que tu fais ce que tu peux...


Non non je fais ce que je veux
icone Suivre les commentaires
Poster un commentaire