Utilisation des signatures numériques avec Office 2016
Résumé: Explique comment prendre en charge les signatures électroniques avancées XML (XAdES) dans les documents Excel, PowerPoint et Word. En outre, déterminez comment sélectionner les certificats appropriés pour votre déploiement.
Les utilisateurs signent numériquement un document Excel, PowerPoint ou Word pour la plupart des mêmes raisons qu’ils peuvent placer une signature manuscrite sur un document papier. Une signature numérique permet d’authentifier l’identité d’un créateur. Il vérifie l’auteur des informations numériques, y compris les documents, les messages électroniques et les macros. Ce processus utilise des algorithmes de chiffrement.
L’autorité de certification émet des certificats numériques, qui servent de vérificateurs d’identité. Ces certificats constituent la base des signatures numériques. Cela fonctionne de la même façon que l’utilisation de documents d’identité imprimés. Par exemple, une entité gouvernementale ou un employeur émet des documents d’identité tels que des permis de conduire, des passeports et des cartes d’identité des employés. D’autres personnes s’appuient sur ces documents pour vérifier qu’une personne est bien celle qu’elles prétendent être.
Cet article inclut les clés de Registre de signature numérique qui sont nouvelles dans Office 2016.
Conseil
Recherchez-vous de l’aide sur les paramètres de signature numérique dans Office 2016 sur votre bureau ? Vous recherchez peut-être l’un de ces articles, qui vous aidera à sécuriser Office 2016 sur votre bureau : Signatures et certificats numériques, Ajouter ou supprimer une signature numérique dans des fichiers Office et Obtenir un ID numérique.
Présentation des signatures numériques et de leur utilisation dans Office
Les signatures numériques permettent d'établir les mesures d'authentification suivantes :
Authenticité La signature numérique et son certificat numérique sous-jacent permettent de s’assurer que le signataire est la personne qu’il prétend être. Ceci empêche d'autre personnes d'usurper l'identité du créateur d'un document particulier, comme pourrait le faire une contrefaçon dans le domaine de l'imprimé.
Intégrité La signature numérique garantit que le contenu ne change pas ou n’est pas falsifié une fois qu’il est signé numériquement. Cette signature numérique empêche les documents d’être interceptés et modifiés à l’insu de l’expéditeur du document.
Non-répudiation La signature numérique permet de prouver à toutes les parties l’origine du contenu signé. « Répudiation » fait référence à un refus de toute association du signataire avec le contenu signé. La signature numérique prouve que le créateur du document est le véritable créateur, et pas quelqu'un d'autre, indépendamment de ce qu'affirme le signataire. Un signataire ne peut pas répudier sa signature sur ce document sans également répudier sa clé numérique, ce qui affecte les autres documents signés avec cette clé.
Configuration requise pour les signatures numériques dans Office 2016
Pour établir ces conditions, le créateur d'un contenu doit le signer numériquement en créant une signature répondant aux critères suivants :
La signature numérique est correcte. Le système d’exploitation doit approuver l’autorité de certification qui signe le certificat numérique qui sous-tend la signature numérique.
Le certificat associé à la signature numérique n’a pas expiré ou contient un horodatage indiquant que le certificat était valide au moment de la signature.
Le certificat associé à la signature numérique n’est pas révoqué.
Le destinataire approuve la personne ou le organization de signature (appelé éditeur).
Word 2016, Excel 2016 et PowerPoint 2016 détecter ces critères et avertir l’utilisateur en cas de problème avec la signature numérique. Les informations sur les certificats problématiques peuvent facilement être affichées dans un volet Office de certificat qui s’affiche dans l’application Office 2016. Les applications Office 2016 vous permettent d’ajouter plusieurs signatures numériques au même document.
Signatures numériques dans l’environnement professionnel Office 2016
Le scénario suivant vous explique comment utiliser les signatures numériques sur des documents dans un environnement de travail :
Un employé utilise Excel 2016 pour créer une note de frais. L’employé crée ensuite trois lignes de signature : une pour lui-même, une pour son responsable et une pour le service comptabilité. Les signatures sont utilisées pour :
identifier l'employé ayant créé le document ;
indiquer qu’aucune modification ne se produit dans le document à mesure qu’il est déplacé vers le responsable et le service de comptabilité
démontrer qu’il existe des preuves que le gestionnaire et le service de comptabilité ont reçu et examiné le document
Le responsable reçoit le document et ajoute sa signature numérique au document, confirmant qu’il l’a examiné et approuvé. Il est ensuite transmis au service de comptabilité pour paiement.
Un représentant du service de comptabilité reçoit le document et le signe, confirmant ainsi la réception du document.
Cet exemple illustre la possibilité d’ajouter plusieurs signatures à un seul document Office 2016. En plus de la signature numérique, le signataire du document peut ajouter un graphique de sa signature réelle ou utiliser une tablette PC pour écrire réellement une signature dans la ligne de signature du document.
Problèmes de compatibilité avec les documents Office antérieurs à Office 2016
Office 2016, tout comme Office 2013, Office 2010 et Office 2007, utilise le format XML-DSig pour les signatures numériques. En outre, Office 2016 prend en charge XAdES (XML Advanced Electronic Signatures). Il s’agit d’un ensemble d’extensions hiérarchisées pour XML-DSig, chaque niveau étant basé sur le précédent, pour améliorer la fiabilité des signatures numériques. Pour plus d’informations sur les niveaux de XAdES pris en charge dans Office 2016, voir Planning digital signature levels in Office 2016 documents plus loin dans cet article. Pour plus d’informations sur les détails de XAdES, consultez la spécification des signatures électroniques avancées XML (XAdES).
Les signatures numériques créées dans Office 2016 ne sont pas compatibles avec les versions d’Office antérieures à Office System 2007. Par exemple, considérez un document signé à l’aide d’une application dans Office 2016, Office 2013, Office 2010 ou Office 2007. Lorsqu’un utilisateur ouvre ce document dans Office 2003 avec le Pack de compatibilité Office, le système l’avertit. Il informe que le document a été signé dans une version plus récente d’Office. Par conséquent, la signature numérique est perdue.
La figure suivante illustre l'avertissement que l'utilisateur peut voir après avoir ouvert un document dans une version d'Office plus récente qu'Office 2007.
Avertissement de signature numérique pour les documents signés dans Office 2003 ou une version antérieure.
Si vous utilisez XAdES pour une signature numérique dans Office 2016, la signature numérique n’est pas compatible avec Office 2010 ou 2007 Office System, sauf si vous configurez le paramètre stratégie de groupe, Ne pas inclure l’objet de référence XAdES dans le manifeste et définissez-le sur Activé. Pour plus d’informations sur les paramètres de signature numérique stratégie de groupe, voir Planifier les paramètres de signature pour Office 2016 plus loin dans cet article.
Si vous souhaitez que les signatures numériques que vous créez dans Office 2016 soient compatibles avec Office 2003 et les versions antérieures, vous pouvez configurer le paramètre stratégie de groupe, Signatures au format hérité, et le définir sur Activé. Ce paramètre stratégie de groupe se trouve sous Configuration utilisateur\Stratégies\Modèles d’administration\Microsoft Office 2016\Signature. Après avoir modifié ce paramètre sur Activé, les applications Office 2016 utilisent le format binaire Office 2003 pour appliquer des signatures numériques aux documents binaires Office 97-2003 que vous avez créés dans Office 2016.
Choix des types de certificats numériques pour Office 2016
Les autorités de certification peuvent émettre des certificats numériques, ou ils peuvent être auto-signés. Dans un organization, le processus peut impliquer un ordinateur Windows Server 2012 exécutant les services de certificats Active Directory. Une autorité de certification publique, telle que VeriSign ou Thawte, peut également les émettre. Les certificats auto-signés sont couramment utilisés par les particuliers et les petites entreprises. Ils choisissent cette option lorsqu’ils ne souhaitent pas établir d’infrastructure à clé publique (PKI) pour leur organisation ou acheter un certificat commercial.
Le principal inconvénient des certificats auto-signés réside dans leur utilité limitée. Ils ne sont efficaces que lors de l’échange de documents avec des personnes qui vous connaissent personnellement. Les personnes doivent également avoir l’assurance que vous êtes l’auteur réel du document. Lorsque vous utilisez des certificats auto-signés, il n’existe aucune authenticité de validation externe de votre certificat. Chaque personne recevant votre document signé doit décider manuellement d’approuver votre certificat.
Pour les organisations plus importantes, deux méthodes principales pour obtenir des certificats numériques sont disponibles : les certificats créés en utilisant l'infrastructure de clé publique (PKI) d'une organisation ou d'une corporation, et les certificats commerciaux. Les organisations souhaitant uniquement partager des documents signés au sein de leurs employés peuvent opter pour une infrastructure de clé publique (PKI) en entreprise, pour réduire les coûts. Les organisations voulant partager des documents signés avec des personnes en dehors de leur organisation peuvent opter pour des certificats commerciaux.
Certificats créés en utilisant une infrastructure de clé publique (PKI) d'organisation ou de corporation
Les organisations peuvent créer leur propre infrastructure à clé publique. Dans ce scénario, une entreprise configure une ou plusieurs autorités de certification (AC) pouvant créer des certificats numériques pour ses ordinateurs et leurs utilisateurs. Lorsqu’une entreprise combine active directory services (AD DS) avec ses systèmes, elle peut établir une solution PKI complète. Cette intégration garantit que la chaîne d’autorité de certification nécessaire est installée sur tous les ordinateurs organization ou gérés par l’entreprise. En outre, le système permet l’attribution automatique de certificats numériques aux utilisateurs et aux ordinateurs. Ces certificats sont essentiels pour la signature et le chiffrement des documents. Ce processus permet à tous les employés d’une entreprise d’approuver automatiquement les certificats numériques (et, par conséquent, les signatures numériques valides) d’autres employés de la même entreprise.
Certificats commerciaux
Vous pouvez acheter des certificats commerciaux auprès d'une entreprise spécialisée dans la vente de certificats numériques. L’avantage main de l’utilisation de certificats commerciaux est que le certificat d’autorité de certification racine du fournisseur de certificats commerciaux est automatiquement installé sur les systèmes d’exploitation Windows de l’organization. Ainsi, ses ordinateurs peuvent approuver automatiquement les AC. Contrairement à la solution PKI organization ou d’entreprise, les certificats commerciaux vous permettent de partager vos documents signés avec des utilisateurs qui n’appartiennent pas à votre organization.
Il existe trois types de certificats commerciaux :
Classe 1 Les certificats de classe 1 sont émis aux personnes disposant d’adresses e-mail valides. Les certificats de classe 1 sont appropriés pour les signatures numériques, le chiffrement et le contrôle d’accès électronique pour les transactions non commerciales pour lesquelles la preuve d’identité n’est pas requise.
Classe 2 Les certificats de classe 2 sont émis aux personnes et aux appareils. Les certificats individuels de classe 2 sont appropriés pour les signatures numériques, le chiffrement et le contrôle d’accès électronique dans les transactions où la preuve d’identité basée sur les informations de la base de données de validation est suffisante. Les certificats d'appareils de classe 2 sont appropriés pour l'authentification d'appareils, le contrôle d'intégrité des messages, logiciels et contenus, ainsi que le chiffrement de confidentialité.
Classe 3 Les certificats de classe 3 sont émis aux personnes, organisations, serveurs, appareils et administrateurs pour les autorités de certification et les autorités racines. Les certificats individuels de classe 3 sont appropriés pour les signatures numériques, le chiffrement et le contrôle d’accès dans les transactions où la preuve d’identité doit être assurée. Les certificats de serveurs de classe 3 sont appropriés pour l'authentification de serveur, le contrôle d'intégrité des messages, logiciels et contenus, ainsi que le chiffrement de confidentialité.
Pour plus d’informations sur les certificats commerciaux, consultez Rechercher des services de signature numérique ou d’ID numérique.
Planification des niveaux de signature numérique dans les documents Office 2016
Les utilisateurs peuvent signer numériquement des documents à l’aide de Excel 2016, PowerPoint 2016 et Word 2016. Ils peuvent également utiliser Excel 2016, InfoPath 2016 ou Word 2016 pour ajouter une ligne de signature ou un tampon de signature. La signature numérique d’un document qui dispose d’un certificat numérique mais qui n’a pas de ligne de signature ou d’empreinte est appelée création d’une signature numérique invisible. Les signatures numériques visibles et invisibles utilisent toutes les deux un certificat numérique pour la signature du document. Ce qui les différencie, c’est la représentation graphique dans le document lorsqu’une signature numérique visible est utilisée. Pour plus d’informations sur l’ajout d’une signature numérique, voir Ajouter ou supprimer une signature numérique dans des fichiers Office.
Par défaut, Office 2016 crée des signatures numériques XAdES-EPES quand un certificat auto-signé ou un certificat signé par une autorité de certification est utilisé lors de la création de la signature numérique.
Les niveaux de signature numérique XAdES, basés sur la norme de signature numérique XML-DSig et disponibles dans Office 2016, sont répertoriés dans le tableau suivant. Chaque niveau est basé sur le précédent et contient toutes ses capacités, ainsi que celles des niveaux précédents. Par exemple, XAdES-X contient également toutes les capacités de XAdES-EPES, XAdES-T, et XAdES-C, en plus des nouvelles fonctionnalités ajoutés dans XAdES-X.
Niveaux de signature numérique XAdES dans Office 2016
| Niveau de signature | Description |
|---|---|
| XAdES-EPES (base) |
Ajoute des informations sur le certificat de signature à la signature XML-DSig. Ce paramètre est la valeur par défaut pour les signatures Office 2016. |
| XAdES-T (horodatage) |
Ajoute un horodatage aux sections XML-DSig et XAdES-EPES de la signature, offrant une protection contre l'expiration de certificat. |
| XAdES-C (complet) |
Ajoute des références à la chaîne de certification et des informations sur l'état de révocation. |
| XAdES-X (étendu) |
Ajoute un horodatage à l’élément SignatureValue XML-DSig et aux sections -T et -C de la signature. L’horodatage supplémentaire protège les données contre la répudiation. |
| XAdES-X-L (étendu à long terme) |
Stocke dans la signature le certificat actuel et ses informations de révocation. Cette approche permet la validation des certificats même si les serveurs de certificats ne sont plus disponibles. |
Planification des signatures numériques horodatées dans Office 2016
Lorsque les utilisateurs ajoutent un horodatage à une signature numérique, ils étendent sa durée de vie. Par exemple, envisagez un scénario avec un certificat révoqué qui a été utilisé pour créer une signature numérique. L’inclusion d’un horodatage à partir d’un serveur d’horodatage approuvé devient critique dans ce cas. Le facteur clé est le moment de l’horodatage : s’il a été appliqué avant la révocation du certificat, la signature numérique peut toujours être considérée comme valide. Pour utiliser la fonctionnalité d'horodatage avec les signatures numériques, vous devez procéder comme suit :
Configurez un serveur d’horodatage conforme à la norme RFC 3161.
Utilisez le paramètre de stratégie de groupe Spécifier un nom de serveur, pour entrer l'emplacement réseau du serveur d'horodatage.
Vous pouvez également configurer d’autres paramètres d’horodatage en configurant un ou plusieurs des paramètres stratégie de groupe suivants :
Configurer l'algorithme de hachage d'horodatage
Définir le délai d'attente du serveur d'horodatage
Si vous ne configurez pas et n’activez pas Configurer l’algorithme de hachage d’horodatage, la valeur par défaut sha1 est utilisée. Si vous ne configurez pas et n’activez pas Définir le délai d’expiration du serveur d’horodatage, Office 2016 attend 5 secondes que le serveur d’horodatage réponde à une demande.
Planifier les paramètres de signature pour Office 2016
stratégie de groupe fournit des paramètres pour la configuration des paramètres liés à l’horodatage. En outre, il offre des paramètres pour gérer et contrôler les signatures numériques au sein d’un organization. Le tableau suivant répertories les noms de ces paramètres et leurs descriptions.
Paramètres de configuration de stratégie de groupe de signature numérique
| paramètre stratégie de groupe | Description |
|---|---|
| Exiger le protocole OCSP au moment de la génération des signatures |
Vous pouvez définir une stratégie dans Office 2016 pour vous assurer qu’elle vérifie les données de révocation OCSP (Online Certificate Status Protocol). Cette case activée est nécessaire pour tous les certificats numériques d’une chaîne lors de la génération de signatures numériques. |
| Spécifier le niveau XAdES minimal pour la génération des signatures numériques |
Ce paramètre de stratégie vous permet de spécifier un niveau XAdES minimal que les applications Office 2016 doivent atteindre pour créer une signature numérique XAdES. Si les applications Office 2016 ne parviennent pas à atteindre le niveau XAdES minimal, l’application Office ne crée pas la signature. |
| Vérifier les parties XAdES d'une signature numérique |
Ce paramètre de stratégie vous permet de spécifier si Office 2016 vérifie les parties XAdES d’une signature numérique lors de la validation d’une signature numérique pour un document. |
| Ne pas autoriser les certificats arrivés à expiration lors de la validation des signatures |
Ce paramètre de stratégie vous permet de configurer si les applications Office 2016 acceptent les certificats numériques expirés lors de la vérification des signatures numériques. |
| Ne pas inclure d'objet de référence XAdES dans le manifeste |
Ce paramètre de stratégie vous permet de déterminer si un objet de référence XAdES apparaît dans le manifeste. Vous devez configurer ce paramètre sur Activé si vous souhaitez que le système Office 2007 puisse lire les signatures Office 2016 qui contiennent du contenu XAdES. Sinon, office system 2007 considère les signatures qui contiennent du contenu XAdES non valide. |
| Sélectionner l'algorithme de hachage de signature numérique |
Ce paramètre de stratégie vous permet de configurer l’algorithme de hachage utilisé par les applications Office 2016 pour confirmer les signatures numériques. |
| Définir le niveau de vérification de signature |
Ce paramètre de stratégie vous permet de définir le niveau de vérification utilisé par les applications Office 2016 lors de la validation d’une signature numérique. |
| Niveau XAdES demandé pour la génération des signatures |
Ce paramètre de stratégie permet de spécifier un niveau XAdES requis ou désiré pour la création d'une signature numérique. |
Les paramètres de stratégie de groupe suivants sont liés aux signatures numériques :
Définir le répertoire d'images par défaut
Filtrage EKU
Signatures au format hérité
Supprimer les fournisseurs de signature Office
Supprimer la commande de services de signature externe
Paramètres de registre s'appliquant aux signatures numériques
Le tableau suivant répertorie les paramètres de registre Windows relatifs aux signatures numériques et les certificats utilisés pour les chiffrer. Ces paramètres de Registre se trouvent dans HKEY_CURRENT_USER\software\policies\Microsoft\Office\16.0\common\signatures. Il n’existe aucune stratégie de groupe correspondante.
Paramètres de registre de signature numérique
| Entrée de Registre | Type | Valeur | Description |
|---|---|---|---|
| FilterIssuer |
WZ |
Empty |
Réduit l'ensemble des certificats disponibles à ceux dont le nom contient la valeur FilterIssuer. |
| MinSigningDSABits |
DWORD |
Empty |
Indique le nombre minimum d'octets autorisés pour la création d'une signature numérique DSA dans Office. |
| InvalidDSABits |
DWORD |
Empty |
Spécifie le nombre maximal de bits lus dans une signature numérique DSA. Tous les octets au dessus de la valeur InvalidDSABits seront ignorés. |
| InvalidHashAlg |
WZ |
Empty |
Spécifie les algorithmes de hachage précédemment utilisés par votre organization pour créer des signatures numériques dans les versions précédentes d’Office (Office 2007, Office 2010, par exemple) que vous souhaitez rendre non valides maintenant. Si un hachage est spécifié ici, la validation échoue pour tous les documents ou e-mails qui utilisent ce hachage pour valider une signature numérique. |
| InvalidRSABits |
DWORD |
Empty |
Spécifie le nombre maximal de bits lus dans une signature numérique RSA. Tous les octets au dessus de la valeur InvalidRSABits seront ignorés. |
| LegacyDSABits |
DWORD |
Empty |
Spécifie le nombre minimal de bits qui sont traités dans une signature numérique DSA héritée, où legacy fait référence à une signature numérique créée pour un document ou un e-mail à l’aide d’Office 2007 ou Office 2010 et où l’algorithme de hachage a été spécifié dans le paramètre de clé de Registre LegacyHashAlg. |
| LegacyHashAlg |
WZ |
MD5 |
Définissez les algorithmes de hachage utilisés par votre organization pour créer des signatures numériques dans les versions précédentes d’Office, telles qu’Office 2007 et Office 2010. Cette étape garantit la validation des documents et e-mails hérités qui ont été signés numériquement. |
| LegacyRSABits |
DWORD |
Empty |
Spécifie le nombre minimal de bits qui sont traités dans une signature numérique RSA héritée. Une signature numérique créée à l’aide d’Office 2007 ou Office 2010 pour un document ou un e-mail est appelée « hérité ». Dans ce contexte, l’algorithme de hachage est spécifié via le paramètre de clé de Registre LegacyHashAlg. |
| MinSigningRSABits |
DWORD |
Empty |
Spécifie le nombre minimal de bits utilisés pour créer une signature numérique dans Office 2016. |
Articles connexes
XAdES (XML Advanced Electronic Signatures)
stratégie de groupe fichiers de modèles d’administration (ADMX/ADML) pour Office
Rechercher des services de signature numérique ou d’ID numérique
Ajouter ou supprimer une signature numérique dans des fichiers Office
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour