• Article

Planifier les paramètres des signatures numériques pour Office 2010

 

S’applique à : Office 2010

Dernière rubrique modifiée : 2016-11-29

Vous pouvez signer des documents numériquement à l’aide de Microsoft Excel 2010, Microsoft PowerPoint 2010 et Microsoft Word 2010. Vous pouvez également ajouter une ligne de signature ou un cachet de signature à l’aide d’Excel 2010, Microsoft InfoPath 2010 et Word 2010. Microsoft Office 2010 inclut la prise en charge de XAdES (XML Advanced Electronic Signatures), qui est un ensemble d’extensions de la norme XML-DSig. Cette prise en charge a été introduite dans Microsoft Office System 2007.

Dans cet article :

  • Qu’est-ce qu’une signature numérique ?

  • Certificat numérique : signé automatiquement ou émis par des autorités de certification

  • Utilisation de signatures numériques

Qu’est-ce qu’une signature numérique ?

Vous pouvez signer numériquement un document pour une grande partie des mêmes raisons qui peuvent vous amener à apposer votre signature manuscrite sur un document imprimé. Une signature numérique sert à authentifier l’identité du créateur des informations numériques (telles que des documents, messages électroniques et macros) au moyen d’algorithmes de chiffrement.

Les signatures numériques sont basées sur des certificats numériques. Ces derniers sont des vérificateurs d’identités émis par une autorité tierce de confiance, appelée autorité de certification. Le principe s’apparente à celui des documents d’identité imprimés. Par exemple, une tierce partie de confiance telle qu’une agence gouvernementale ou un employeur émet des documents d’identité (permis de conduire, passeports ou cartes d’ID d’employés) sur lesquels d’autres personnes se fondent pour vérifier qu’une personne est bien celle qu’elle prétend être.

Fonction des signatures numériques

Les signatures numériques aident à établir les mesures d’authentification suivantes :

  • Authenticité   La signature numérique et son certificat numérique sous-jacent aident à s’assurer que le signataire est celui qu’il prétend être. Cela aide à empêcher que d’autres personnes prétendent être l’expéditeur d’un document particulier (équivalent d’un faux sur un document imprimé).

  • Intégrité   La signature numérique aide à s’assurer que le contenu n’a été ni modifié ni falsifié depuis qu’il a été signé numériquement. Cela aide à empêcher l’interception et la modification d’un document à l’insu de la personne l’ayant émis.

  • Non-répudiation   La signature numérique aide à prouver à toutes les parties concernées l’origine du contenu signé. Le terme « répudiation » fait référence au fait qu’un signataire renie toute association avec le contenu signé. Cela aide à prouver que l’expéditeur du document est le vrai expéditeur et non quelqu’un d’autre, quelles que soient les revendications du signataire. Un signataire ne peut pas répudier la signature sur ce document sans répudier sa clé numérique et, par conséquent, les autres documents signés avec cette clé.

Exigences relatives aux signatures numériques

Pour établir ces conditions, le créateur de contenu doit signer numériquement le contenu en créant une signature qui répond aux critères suivants :

  • La signature numérique est valide. Une autorité de certification approuvée par le système d’exploitation doit signer le certificat numérique sur lequel la signature numérique est basée.

  • Le certificat associé à la signature numérique n’a pas expiré ou contient un horodatage indiquant qu’il était valide au moment de la signature.

  • Le certificat associé à la signature numérique n’est pas révoqué.

  • La personne ou l’organisation signataire (appelé émetteur) est approuvée par le destinataire.

Word 2010, Excel 2010 et PowerPoint 2010 détectent ces critères pour vous et vous avertissent en cas de problème au niveau de la signature numérique. Les informations relatives aux certificats à problème sont facilement consultables dans un volet de certificat affiché dans l’application Office 2010. Les applications Office 2010 vous permettent d’ajouter plusieurs signatures numériques au même document.

Signatures numériques dans l’environnement d’entreprise

Le scénario suivant illustre la façon dont la signature numérique des documents peut être utilisée dans un environnement d’entreprise :

  1. Un employé utilise Excel 2010 pour créer un rapport de dépenses. Il crée ensuite trois lignes de signature : une pour lui-même, une pour son responsable et une pour le service Comptabilité. Ces lignes servent à confirmer que l’employé est bien l’expéditeur du document, qu’aucune modification ne sera apportée au document lors de son transfert au responsable et au service Comptabilité, et qu’il existe une preuve que le responsable et le service Comptabilité ont tous deux reçu et examiné le document.

  2. Le responsable reçoit le document et y ajoute sa signature numérique afin de confirmer qu’il l’a examiné et approuvé. Il le transfère ensuite au service Comptabilité en vue du paiement.

  3. Un représentant du service Comptabilité reçoit le document et le signe, ce qui confirme la réception du document.

Cet exemple illustre la capacité à ajouter plusieurs signatures à un même document Office 2010. Outre la signature numérique, le signataire du document peut ajouter un graphique de sa signature manuscrite ou utiliser un Tablet PC pour insérer sa signature manuscrite sur la ligne de signature du document. Une fonctionnalité de « tampon » peut également être utilisée par les services afin d’indiquer qu’un membre d’un service spécifique a reçu le document.

Problèmes de compatibilité

Office 2010, tout comme Office System 2007, utilise le format XML-DSig pour les signatures numériques. De plus, Office 2010 offre la prise en charge de XAdES (XML Advanced Electronic Signatures). XAdES est un ensemble d’extensions en couches de XML-DSig, dont les niveaux successifs reposent sur les précédents afin de fournir des signatures numériques plus fiables. Pour plus d’informations sur les niveaux de XAdES pris en charge dans Office 2010, voir Utilisation de signatures numériques plus loin dans cet article. Pour plus d’informations sur XAdES, voir la spécification XML Advanced Electronic Signatures (XAdES) (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=186631\&clcid=0x40C) (éventuellement en anglais).

À noter que les signatures numériques créées dans Office 2010 sont incompatibles avec les versions de Microsoft Office antérieures à Office System 2007. Par exemple, si un document est signé à l’aide d’une application dans Office 2010 ou Office System 2007 et ouvert avec une application dans Microsoft Office 2003 où le Pack de compatibilité Office est installé, l’utilisateur est informé du fait que le document a été signé avec une version plus récente de Microsoft Office et que la signature numérique sera perdue.

La figure suivante illustre un avertissement indiquant que la signature numérique est supprimée lorsque le document est ouvert dans une version antérieure d’Office.

Figure 1 : problèmes de compatibilité

De plus, si vous avez utilisé XAdES pour la signature numérique dans Office 2010, celle-ci ne sera pas compatible avec Office System 2007, à moins que vous ne configuriez le paramètre de stratégie de groupe Ne pas inclure d’objet de référence XAdES dans le manifeste et que vous ne lui affectiez pas la valeur Désactivé. Pour plus d’informations sur les paramètres de stratégie de groupe de signature numérique, voir Configurer des signatures numériques plus loin dans cet article.

Si vous souhaitez que des signatures numériques créées dans Office 2010 soient compatibles avec Office 2003 et versions antérieures, vous pouvez configurer le paramètre de stratégie de groupe Signatures au format hérité et lui affecter la valeur Activé. Ce paramètre de stratégie de groupe se trouve sous Configuration utilisateur\Modèles d’administration\(ADM\ADMX)\Microsoft Office 2010\Signature. Une fois ce paramètre Activé, les applications Office 2010 utilisent le format binaire Office 2003 pour appliquer des signatures numériques aux documents binaires Office 97–2003 créés dans Office 2010.

Certificat numérique : signé automatiquement ou émis par des autorités de certification

Les certificats numériques peuvent être signés automatiquement ou émis par des autorités de certification au sein d’une organisation, par exemple un ordinateur Windows Server 2008 qui exécute les services de certificats Active Directory (AD CS, Active Directory Certificate Services) ou une autorité de certification publique telle que VeriSign ou Thawte. les certificats signés automatiquement sont généralement utilisés par les particuliers ou les PME qui ne souhaitent pas configurer d’infrastructure à clé publique pour leur organisation et ne souhaitent pas acheter de certificat commercial.

Le principal inconvénient lié à l’utilisation des certificats signés automatiquement est le fait qu’ils soient utiles uniquement si vous échangez des documents avec des personnes que vous connaissez personnellement et qui sont confiants dans le fait que vous soyez le vrai expéditeur du document. Aucune tierce partie ne valide l’authenticité de votre certificat et chaque personne qui reçoit votre document signé doit décider manuellement s’il souhaite approuver votre certificat.

Pour les organisations de plus grande taille, il existe deux principales méthodes d’obtention de certificats numériques : les certificats créés à l’aide d’une infrastructure à clé publique d’entreprise et les certificats commerciaux. Les organisations qui souhaitent partager des documents signés uniquement parmi les employés de l’organisation préfèreront peut-être opter pour une infrastructure à clé publique d’entreprise, afin de réduire els coûts. Les organisations qui souhaitent partager des documents signés avec des utilisateurs externes à l’organisation préfèreront peut-être utiliser des certificats commerciaux.

Certificats créés à l’aide d’une infrastructure à clé publique d’entreprise

Les organisations ont la possibilité de créer leur propre infrastructure à clé publique. Dans ce scénario, l’organisation configure une ou plusieurs autorités de certification capables de créer des certificats numériques pour les ordinateurs et les utilisateurs de l’organisation. En cas d’association avec le service d’annuaire Active Directory, cela permet à une organisation de créer une solution d’infrastructure à clé publique complète de sorte que la chaîne d’autorité de certification d’entreprise soit installée sur tous les ordinateurs gérés par l’organisation et que des certificats numériques soient assignés automatiquement aux ordinateurs et aux utilisateurs pour la signature et le chiffrement des documents. Tous les employés d’une organisation peuvent ainsi approuver automatiquement les certificats numériques (et par conséquent les signatures numériques valides) des autres employés de la même organisation.

Pour plus d’informations, voir Services de certificats Active Directory (https://go.microsoft.com/fwlink/?linkid=119113\&clcid=0x40C) (éventuellement en anglais).

Certificats commerciaux

Les certificats commerciaux peuvent être achetés auprès d’une société spécialisée dans la vente de certificats numériques. Le principal avantage offert par l’utilisation des certificats commerciaux est le fait que le certificat d’autorité de certificat racine du fournisseur de certificats commerciaux est installé automatiquement sur les systèmes d’exploitation Windows, ce qui permet à ces ordinateurs d’approuver automatiquement ces autorités de certification. Contrairement à une solution d’infrastructure à clé publique d’entreprise, les certificats commerciaux vous permettent de partager vos documents signés avec des utilisateurs étrangers à votre organisation.

Il existe trois types de certificats commerciaux :

  • Classe 1   Les certificats de Classe 1 sont délivrés aux personnes possédant une adresse de messagerie valide. Ils conviennent aux signatures numériques, au chiffrement et au contrôle d’accès électronique pour les transactions non commerciales où aucune preuve d’identité n’est requise.

  • Classe 2   Les certificats de Classe 2 sont délivrés aux personnes et aux périphériques. Ils conviennent aux signatures numériques, au chiffrement et au contrôle d’accès électronique pour les transactions où une preuve d’identité basée sur des informations contenues dans la base de données de validation sont suffisantes. Les certificats de périphériques de Classe 2 conviennent à l’authentification des périphériques, à l’intégrité du contenu, des logiciels et des messages, ainsi qu’au chiffrement de confidentialité.

  • Classe 3   Les certificats de Classe 3 sont délivrés aux personnes, organisations, serveurs, périphériques et administrateurs d’autorités de certification et d’autorités racines. Ils conviennent aux signatures numériques, au chiffrement et au contrôle d’accès pour les transactions où une preuve d’identité doit être assurée. Les certificats de serveurs de Classe 3 conviennent à l’authentification des serveurs, à l’intégrité du contenu, des logiciels et des messages, ainsi qu’au chiffrement de confidentialité.

Pour plus d’informations sur les certificats commerciaux, voir Catégories Office Marketplace (https://go.microsoft.com/fwlink/?linkid=119114\&clcid=0x40C).

Utilisation de signatures numériques

Vous pouvez signer des documents numériquement à l’aide de Microsoft Excel 2010, Microsoft PowerPoint 2010 et Microsoft Word 2010. Vous pouvez également ajouter une ligne de signature ou un cachet de signature à l’aide d’Excel 2010, Microsoft InfoPath 2010 et Word 2010. Signer numériquement un document qui a un certificat numérique mais n’a pas de ligne ou de cachet de signature équivaut à créer une signature numérique invisible. Les deux méthodes (signatures numériques visibles et invisibles) font appel à un certificat numérique pour signer le document. La différence réside dans la représentation graphique au sein du document lorsqu’une ligne de signature numérique visible est utilisée. Pour plus d’informations sur la façon d’ajouter une signature numérique, voir Ajouter ou supprimer une signature numérique dans les fichiers Office (https://go.microsoft.com/fwlink/?linkid=187659\&clcid=0x40C).

Par défaut, Office 2010 crée des signatures numériques XAdES-EPES, que vous utilisiez un certificat signé automatiquement ou un certificat signé par une autorité de certification durant la création de la signature numérique.

Les niveaux de signature numérique XAdES, basés sur la norme de signature numérique XML-DSig, disponibles dans Office 2010 sont répertoriés dans le tableau suivant. Chaque niveau repose sur le niveau inférieur et contient toutes les fonctionnalités des niveaux inférieurs. Par exemple, XAdES-X contient également toutes les fonctionnalités de XAdES-EPES, XAdES-T et XAdES-C, en plus de la nouvelle fonctionnalité introduite dans XAdES-X.

Niveau de signature Description

XAdES-EPES (Base)

Ajoute des informations concernant le certificat de signature à la signature XML-DSig. Il s’agit du niveau par défaut pour les signatures Office 2010.

XAdES-T (Timestamp)

Ajoute un horodatage aux sections XML-DSig et XAdES-EPES de la signature, pour une meilleure protection contre l’expiration de certificat.

XAdES-C (Complete)

Ajoute des références à la chaîne de certification et des informations sur l’état de révocation.

XAdES-X (Extended)

Ajoute un horodatage à l’élément XML-DSig SignatureValue et les sections –T et –C de la signature. L’horodatage supplémentaire protège les données supplémentaires contre la répudiation.

XAdES-X-L (Extended Long Term)

Stocke le certificat proprement dit et les informations de révocation de certificat avec la signature. Cela permet de valider le certificat même si les serveurs de certificats ne sont plus disponibles.

Signatures numériques avec horodatage

Dans Office 2010, la capacité à ajouter un horodatage à une signature numérique permet d’étendre sa durée de vie. Par exemple, si un certificat révoqué a été utilisé précédemment pour la création de la signature numérique, qui contient un horodatage issu d’un serveur d’horodatage approuvé, la signature numérique peut encore être considérée comme valide si l’horodatage a eu lieu avant la révocation du certificat. Pour utiliser la fonctionnalité d’horodatage avec des signatures numériques, vous devez effectuer les tâches suivantes :

  • Configurer un serveur d’horodatage conforme à la norme RFC 3161

  • Utiliser le paramètre de stratégie de groupe Spécifier le nom du serveur pour entrer l’emplacement du serveur d’horodatage sur le réseau.

Vous pouvez également configurer des paramètres d’horodatage supplémentaires en configurant un ou plusieurs des paramètres de stratégie de groupe suivants :

  • Configurer l’algorithme de hachage d’horodatage

  • Définir le délai d’expiration du serveur d’horodatage

Si vous ne configurez pas et n’activez pas Configurer l’algorithme de hachage d’horodatage, la valeur par défaut SHA1 est utilisée. Si vous ne configurez pas et n’activez pas Définir le délai d’expiration du serveur d’horodatage, la durée d’attente par défaut d’une réponse de la part du serveur d’horodatage dans Office 2010 est de 5 secondes.

Configurer des signatures numériques

Outre ceux en rapport avec la configuration des paramètres d’horodatage, il existe d’autres paramètres de stratégie de groupe permettant de configurer la façon dont les signatures numériques sont configurées et contrôlées dans une organisation. Les noms et descriptions de ces paramètres sont fournis dans le tableau suivant.

Paramètre Description

Exiger le protocole OCSP au moment de la génération des signatures

Ce paramètre de stratégie vous permet de déterminer si Office 2010 requiert des données de révocation OCSP (Online Certificate Status Protocol) pour tous les certificats numériques dans une chaîne lorsque des signatures numériques sont générées.

Spécifier le niveau XAdES minimal pour la génération des signatures numériques

Ce paramètre de stratégie vous permet de spécifier un niveau XAdES minimal que les applications Office 2010 doivent atteindre afin de créer une signature numérique XAdES. Si elle ne peut pas atteindre le niveau XAdES minimal, l’application Office ne crée pas la signature.

Vérifier les parties XAdES d’une signature numérique

Ce paramètre de stratégie vous permet de spécifier si Office 2010 vérifie les parties XAdES d’une signature numérique, si elles sont présentes, lors de la validation d’une signature numérique pour un document.

Ne pas autoriser les certificats arrivés à expiration lors de la validation des signatures

Ce paramètre de stratégie vous permet de spécifier si les applications Office 2010 acceptent les certificats numériques arrivés à expiration lors de la vérification des signatures numériques.

Ne pas inclure d’objet de référence XAdES dans le manifeste

Ce paramètre de stratégie vous permet de déterminer si un objet de référence XAdES doit apparaître dans le manifeste. Vous devez affecter la valeur Désactivé à ce paramètre si vous souhaitez qu’Office System 2007 soit en mesure de lire les signatures Office 2010 avec du contenu XAdES ; dans le cas contraire, Office System 2007 considère comme non valides les signatures avec du contenu XAdES.

Sélectionner l’algorithme de hachage de signature numérique

Ce paramètre de stratégie vous permet de configurer l’algorithme de hachage utilisé par les applications Office 2010 pour confirmer les signatures numériques.

Définir le niveau de vérification de signature

Ce paramètre de stratégie vous permet de définir le niveau de vérification utilisé par les applications Office 2010 lors de la validation d’une signature numérique.

Niveau XAdES demandé pour la génération des signatures

Ce paramètre de stratégie vous permet de spécifier un niveau XAdES souhaité ou demandé lors de la création d’une signature numérique.

Les paramètres de stratégie supplémentaires en rapport avec les signatures numériques sont les suivants :

  • Filtrage d’utilisation de la clé

  • Définir le répertoire d’images par défaut

  • Filtrage EKU

  • Signatures au format hérité

  • Supprimer les fournisseurs de signature Office

  • Supprimer l’élément de menu des services de signature externes

Pour plus d’informations sur chacun de ces paramètres de stratégie de groupe, voir les fichiers d’aide contenus dans les fichiers de Modèles d’administration pour Office 2010. Pour plus d’informations sur les fichiers de Modèles d’administration, voir Vue d'ensemble de la stratégie de groupe pour Office 2010.

Notes

Pour obtenir les dernières informations concernant les paramètres de stratégie, voir la classeur Microsoft Excel 2010 Office2010GroupPolicyAndOCTSettings_Reference.xls, disponible dans la section Fichiers dans ce téléchargement de la page de téléchargement Fichiers de modèles d’administration Office 2010 (ADM, ADMX, ADML) et Outil de personnalisation Office (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x40C) (éventuellement en anglais).