À propos des signatures numériques

LibreOffice permet de signer numériquement vos documents et macros.

Certificats

Pour signer numériquement un document, vous devez posséder une clé personnelle, le certificat. Une clé personnelle est stockée sur votre ordinateur sous forme de combinaison d'une clé privée (qui doit être gardée secrète) et d'une clé publique, que vous ajoutez à vos documents lorsque vous les signez.

Enregistrer et signer le document

Lorsque vous appliquez une signature numérique à un document, une sorte de somme de contrôle est calculée à partir du contenu de votre document et de votre clé personnelle. La somme de contrôle et votre clé publique sont enregistrées avec le document.

Ouvrir un document signé

Par la suite, lorsqu'un utilisateur ouvre le document sur un ordinateur disposant d'une version récente de LibreOffice, le programme calcule de nouveau la somme de contrôle et la compare à celle qui est enregistrée. Si les deux sommes sont identiques, le programme vous informe que le document affiché correspond au document d'origine. Le programme peut en outre afficher les informations relatives à la clé publique à partir du certificat.

Vous pouvez comparer la clé publique à la clé publique publiée sur le site Web de l'autorité de certification.

Lorsqu'un utilisateur modifie le document, la signature numérique est également modifiée. Après la modification, vous n'aurez aucun moyen de savoir si le document affiché est le document d'origine.

Le résultat de la validation de la signature est affiché dans la barre d'état et dans la boîte de dialogue Signature numérique. Plusieurs signatures de documents et de macros peuvent exister dans un document ODF. S'il y a un problème avec une signature, alors le résultat de la validation de cette signature est supposé pour toutes les signatures. C'est à dire que s'il y a dix signatures valides et une signature non valide, alors la barre d'état et le champ de statut dans la boîte de dialogue marqueront la signature comme non valide.

Vous pouvez voir les icônes et messages suivants lorsque vous ouvrez un document signé.

Icône de la barre d'état

Statut de la signature

Icône

La signature est valide.

Icône

La signature du document est correcte, mais le certificat n'a pas pu être validé.

La signature et le certificat sont OK, mais toutes les parties du document ne sont pas signées (pour les documents qui ont été signés avec d'anciennes versions du logiciel, voir la note ci-dessous).

Icône

La signature n'est pas valide.


Signatures et versions de logiciel

La signature de contenu a été modifiée avec OpenOffice.org 3.2 et StarOffice 9.2. Maintenant, tout le contenu des fichiers, excepté le fichier de signature lui-même (META-INF/documentsignatures.xml) est signé.

Lorsque vous signez un document avec OpenOffice.org 3.2 et StarOffice 9.2 ou une version ultérieure et que vous ouvrez ce document dans une version antérieure du logiciel, la signature sera affichée comme "invalide". Les signatures créées avec les anciennes versions du logiciel seront annotées "seules des parties du document sont signées" lorsque chargées dans la nouvelle version du logiciel.

Quand vous signez un document OOXML, la signature sera toujours marquée avec "seules des parties du document sont signées". Les métadonnées des fichiers OOXML ne sont jamais signées pour être compatibles avec Microsoft Office.

Quand vous signez un document PDF, ce marquage n'est pas utilisé. Signer seulement des parties du document est simplement une signature invalide.

La signature des autres formats de document n'est pas pris en charge pour l'instant.

Icône Remarque

Lorsque vous chargez un document ODF, vous allez voir une icône dans la barre d'état et le champ d'état dans la boîte de dialogue qui indique que le document est seulement partiellement signé. Ce statut apparaîtra lorsque la signature et le certificat sont valides mais ils ont été créés avec une version antérieure à OpenOffice.org 3.2 ou StarOffice 9.2. Dans les versions OpenOffice.org antérieures à 3.0 ou StarOffice 9.0, la signature de document était appliquée au contenu principal, aux images et objets incorporés seulement et certains contenus comme les macros n'étaient pas signés. Dans OpenOffice.org 3.0 et StarOffice 9.0 la signature du document était appliquée à la plupart du contenu, y compris les macros. Cependant, le type Mime et le contenu du répertoire META-INF n'étaient pas signés. Dans OpenOffice.org 3.2, StarOffice 9.2 et toutes les versions de LibreOffice, tout le contenu, excepté le fichier de signature lui-même (META-INF/documentsignatures.xml) sont signés.


Avertissements de sécurité

Même lorsque vous recevez un document signé et que la validité de la signature est confirmée, vous ne pouvez pas être certain que le document reçu correspond au document envoyé. La signature de documents à l'aide de certificats ne constitue pas un procédé totalement sécurisé. Il existe de nombreuses failles exploitables.

Exemple : un expéditeur peut se faire passer pour un employé de votre banque. Il peut en effet se procurer un certificat sous un faux nom, puis vous envoyer un message électronique signé en prétendant travailler pour votre banque. Vous recevez ce message, dont le contenu ou la pièce jointe est associé à l'icône de "signature valide".

Ne vous fiez pas à cette icône. Inspectez et vérifiez les certificats.

Icône Avertissement

La validation de la signature ne constitue en aucun cas une garantie légale.


Les systèmes d'exploitation Windows possèdent leurs propres fonctionnalités de validation de signatures. Sur les systèmes Solaris et Linux, ce sont les fichiers de validation fournis par Thunderbird, Mozilla ou Firefox. Vous devez vérifier que les fichiers utilisés sur votre système correspondent aux fichiers d'origine. Les pirates ont mis au point de nombreux procédés leur permettant de substituer les fichiers d'origine par leurs fichiers.

Icône Avertissement

Les messages de validation de signature générés dans LibreOffice sont les messages renvoyés par les fichiers de validation. Le logiciel LibreOffice ne dispose d'aucun moyen de garantir l'authenticité des certificats. Les messages affichés dans LibreOffice sont générés par des fichiers qui ne sont pas sous le contrôle de LibreOffice. Légalement, LibreOffice ne peut apporter aucune garantie quant à la validité des informations contenues dans les messages d'état des signatures numériques.