Utilisation des signatures numériques avec Office 2016
Résumé: Explique comment prendre en charge les signatures électroniques avancées XML (XAdES) dans Excel, PowerPoint et Word documents, ainsi que comment choisir les certificats appropriés pour votre déploiement.
Les utilisateurs signent numériquement un document Excel, PowerPoint ou Word pour la plupart des mêmes raisons qu’ils peuvent placer une signature manuscrite sur un document papier. Une signature numérique permet d'authentifier l'identité du créateur d'informations numériques, comme des documents, des messages électroniques et des macros, en utilisant des algorithmes de chiffrement.
Les signatures numériques reposent sur les certificats numériques. Les certificats numériques sont des vérificateurs d’identité émis par un tiers approuvé, connu sous le nom d’autorité de certification (CA). Cela fonctionne de la même façon que l’utilisation de documents d’identité imprimés. Par exemple, un tiers de confiance, tel qu’une entité gouvernementale ou un employeur, émet des documents d’identité tels que les permis de conduire, les passeports et les cartes d’identité des employés. D’autres personnes s’appuient sur ces documents pour vérifier qu’une personne est bien celle qu’elle prétend être.
Cet article inclut les clés de Registre de signature numérique qui sont nouvelles dans Office 2016.
Conseil
Recherchez-vous de l’aide sur les paramètres de signature numérique dans Office 2016 sur votre bureau ? Vous recherchez peut-être l’un de ces articles, qui vous aidera à sécuriser Office 2016 sur votre bureau : Signatures et certificats numériques, Ajouter ou supprimer une signature numérique dans des fichiers Office et Obtenir un ID numérique.
Présentation des signatures numériques et de leur utilisation dans Office
Les signatures numériques permettent d'établir les mesures d'authentification suivantes :
Authenticité La signature numérique et son certificat numérique sous-jacent permettent de s’assurer que le signataire est la personne qu’il prétend être. Ceci empêche d'autre personnes d'usurper l'identité du créateur d'un document particulier, comme pourrait le faire une contrefaçon dans le domaine de l'imprimé.
Intégrité La signature numérique permet de s’assurer que le contenu n’a pas été modifié ou falsifié depuis qu’il a été signé numériquement. Ceci empêche l'interception et la modification des documents à l'insu de leurs créateurs.
Non-répudiation La signature numérique permet de prouver à toutes les parties l’origine du contenu signé. « Répudiation » fait référence à un refus de toute association du signataire avec le contenu signé. La signature numérique prouve que le créateur du document est le véritable créateur, et pas quelqu'un d'autre, indépendamment de ce qu'affirme le signataire. Un signataire ne peut pas répudier la signature sur ce document sans répudier sa propre clé numérique, ce qui entrainerait une répudiation de tous les documents créés en utilisant cette clé.
Configuration requise pour les signatures numériques dans Office 2016
Pour établir ces conditions, le créateur d'un contenu doit le signer numériquement en créant une signature répondant aux critères suivants :
La signature numérique est correcte. Un AC approuvé par le système d'exploitation doit signer le certificat numérique sur lequel la signature numérique est basée.
Le certificat associé à la signature numérique n'est pas expiré ou contient un horodatage indiquant que le certificat était valide au moment de la signature.
Le certificat associé avec la signature numérique n'est pas révoqué.
La personne ou l'organisation à l'origine de la signature (que l'on nomme « éditeur ») est approuvée par le destinataire.
Word 2016, Excel 2016 et PowerPoint 2016 détecter ces critères et avertir l’utilisateur en cas de problème avec la signature numérique. Les informations sur les certificats problématiques peuvent facilement être affichées dans un volet Office de certificat qui apparaît dans l’application Office 2016. Les applications Office 2016 vous permettent d’ajouter plusieurs signatures numériques au même document.
Signatures numériques dans l’environnement professionnel Office 2016
Le scénario suivant vous explique comment utiliser les signatures numériques sur des documents dans un environnement de travail :
Un employé utilise Excel 2016 pour créer une note de frais. L'employé crée ensuite trois lignes de signature : une pour lui-même, une pour son responsable et la dernière pour le service comptable. Les signatures sont utilisées pour :
identifier l'employé ayant créé le document ;
indiquer qu'aucune modification n'a été apportée au document durant son transfert vers le responsable et le service comptable ;
prouver que le responsable et le service comptable ont bien reçu et examiné le document.
Le responsable reçoit le document et y ajoute sa signature numérique, confirmant qu'il l'a lu et approuvé. Il le transmet ensuite au service de comptabilité pour le paiement.
Un représentant du service de comptabilité reçoit le document et le signe, confirmant ainsi la réception du document.
Cet exemple illustre la possibilité d’ajouter plusieurs signatures à un seul document Office 2016. En plus de la signature numérique, le signataire du document peut ajouter un graphisme de sa signature réelle ou utiliser un Tablet PC pour entrer réellement une signature dans la ligne de signature du document.
Problèmes de compatibilité avec les documents Office antérieurs à Office 2016
Office 2016, tout comme Office 2013, Office 2010 et Office 2007, utilise le format XML-DSig pour les signatures numériques. En outre, Office 2016 prend en charge XAdES (XML Advanced Electronic Signatures). Il s’agit d’un ensemble d’extensions hiérarchisées pour XML-DSig, chaque niveau étant basé sur le précédent, pour améliorer la fiabilité des signatures numériques. Pour plus d’informations sur les niveaux de XAdES pris en charge dans Office 2016, voir Planning digital signature levels in Office 2016 documents plus loin dans cet article. Pour plus d’informations sur les détails de XAdES, consultez la spécification des signatures électroniques avancées XML (XAdES).
Il est important de savoir que les signatures numériques créées dans Office 2016 sont incompatibles avec les versions d’Office antérieures à office 2007. Par exemple, si un document est signé à l’aide d’une application dans Office 2016, Office 2013, Office 2010 ou Office 2007, puis ouvert à l’aide d’une application dans Office 2003 sur laquelle le Pack de compatibilité Office est installé, l’utilisateur est informé que le document a été connecté dans une version plus récente d’Office et que la signature numérique est perdue.
La figure suivante illustre l'avertissement que l'utilisateur peut voir après avoir ouvert un document dans une version d'Office plus récente qu'Office 2007.
Avertissement de signature numérique pour les documents signés dans Office 2003 ou une version antérieure.
En outre, si vous utilisez XAdES pour une signature numérique dans Office 2016, la signature numérique ne sera pas compatible avec Office 2010 ou 2007 Office System, sauf si vous configurez le paramètre stratégie de groupe, Ne pas inclure l’objet de référence XAdES dans le manifeste et définissez-le sur Activé. Pour plus d’informations sur les paramètres de signature numérique stratégie de groupe, voir Planifier les paramètres de signature pour Office 2016 plus loin dans cet article.
Si vous souhaitez que les signatures numériques que vous créez dans Office 2016 soient compatibles avec Office 2003 et les versions antérieures, vous pouvez configurer le paramètre stratégie de groupe, Signatures au format hérité, et le définir sur Activé. Ce paramètre stratégie de groupe se trouve sous Configuration utilisateur\Stratégies\Modèles d’administration\Microsoft Office 2016\Signature. Après avoir modifié ce paramètre sur Activé, les applications Office 2016 utilisent le format binaire Office 2003 pour appliquer des signatures numériques aux documents binaires Office 97-2003 que vous avez créés dans Office 2016.
Choix des types de certificats numériques pour Office 2016
Les certificats numériques peuvent être auto-signés ou émis par des autorités de certification dans un organization, tel qu’un ordinateur Windows Server 2012 qui exécute les services de certificats Active Directory, ou par une autorité de certification publique, telle que VeriSign ou Thawte. Les certificats auto-signés sont généralement utilisés par les personnes et les petites entreprises qui ne veulent pas configurer d'infrastructure de clé publique (PKI) pour leur organisation et ne veulent pas acheter un certificat commercial.
Le principal inconvénient de l'utilisation des certificats auto-signés, c'est qu'ils sont seulement utiles si vous échangez des documents avec des utilisateurs que vous connaissez personnellement et qui sont certains que vous êtes le créateur du document que vous leur envoyez. Lorsque vous utilisez des certificats auto-signés, aucun tiers ne valide l'authenticité de votre certificat. Chaque personne recevant votre document signé doit prendre la décision d'approuver manuellement votre certificat.
Pour les organisations plus importantes, deux méthodes principales pour obtenir des certificats numériques sont disponibles : les certificats créés en utilisant l'infrastructure de clé publique (PKI) d'une organisation ou d'une corporation, et les certificats commerciaux. Les organisations souhaitant uniquement partager des documents signés au sein de leurs employés peuvent opter pour une infrastructure de clé publique (PKI) en entreprise, pour réduire les coûts. Les organisations voulant partager des documents signés avec des personnes en dehors de leur organisation peuvent opter pour des certificats commerciaux.
Certificats créés en utilisant une infrastructure de clé publique (PKI) d'organisation ou de corporation
Les organisations peuvent créer leur propre PKI. Dans ce scénario, une entreprise configure une ou plusieurs autorités de certification (AC) pouvant créer des certificats numériques pour ses ordinateurs et leurs utilisateurs. Lorsqu’elle est combinée avec active directory services (AD DS), une entreprise peut créer une solution PKI complète afin que tous les ordinateurs organization ou gérés par l’entreprise disposent de la chaîne d’autorité de certification organization ou d’entreprise installée et que les utilisateurs et les ordinateurs se voient attribuer automatiquement des certificats numériques pour la signature et le chiffrement des documents. Ceci permet à tous les employés d'une entreprise d'approuver automatiquement les certificats numériques (et donc de valider les signatures numériques) provenant d'autres employés de leur entreprise.
Certificats commerciaux
Vous pouvez acheter des certificats commerciaux auprès d'une entreprise spécialisée dans la vente de certificats numériques. L’avantage main de l’utilisation de certificats commerciaux est que le certificat d’autorité de certification racine du fournisseur de certificats commerciaux est automatiquement installé sur les systèmes d’exploitation Windows du organization. Ainsi, ses ordinateurs peuvent approuver automatiquement les AC. Contrairement à la solution de PKI pour organisation ou entreprise, les certificats commerciaux vous permettent de partager vos documents signés avec des utilisateurs externes à votre entreprise.
Il existe trois types de certificats commerciaux :
Classe 1 Les certificats de classe 1 sont émis aux personnes disposant d’adresses e-mail valides. Ces certificats sont appropriés pour les signatures numériques, le chiffrement et le contrôle d'accès électronique pour les transactions non-commerciales où aucune preuve d'identité n'est requise.
Classe 2 Les certificats de classe 2 sont émis aux personnes et aux appareils. Les certificats individuels de classe 2 sont appropriés pour les signatures numériques, le chiffrement et le contrôle d'accès électronique lors de transactions où une preuve d'identité basée sur les informations d'une base de données de validation est suffisante. Les certificats d'appareils de classe 2 sont appropriés pour l'authentification d'appareils, le contrôle d'intégrité des messages, logiciels et contenus, ainsi que le chiffrement de confidentialité.
Classe 3 Les certificats de classe 3 sont émis aux personnes, organisations, serveurs, appareils et administrateurs pour les autorités de certification et les autorités racines. Les certificats individuels de classe 3 sont appropriés pour les signatures numériques, le chiffrement et le contrôle d'accès lors de transactions où une preuve d'identité doit être vérifiée. Les certificats de serveurs de classe 3 sont appropriés pour l'authentification de serveur, le contrôle d'intégrité des messages, logiciels et contenus, ainsi que le chiffrement de confidentialité.
Pour plus d’informations sur les certificats commerciaux, consultez Rechercher des services de signature numérique ou d’ID numérique.
Planification des niveaux de signature numérique dans les documents Office 2016
Les utilisateurs peuvent signer numériquement des documents à l’aide de Excel 2016, PowerPoint 2016 et Word 2016. Ils peuvent également utiliser Excel 2016, InfoPath 2016 ou Word 2016 pour ajouter une ligne de signature ou un tampon de signature. Le fait de signer numériquement un document doté d’un certificat numérique mais n’ayant pas de ligne ou de tampon de signature est communément appelé « création de signature numérique invisible ». Les signatures numériques visibles et invisibles utilisent toutes les deux un certificat numérique pour la signature du document. Ce qui les différencie, c’est la représentation graphique dans le document lorsqu’une signature numérique visible est utilisée. Pour plus d’informations sur l’ajout d’une signature numérique, voir Ajouter ou supprimer une signature numérique dans des fichiers Office.
Par défaut, Office 2016 crée des signatures numériques XAdES-EPES quand un certificat auto-signé ou un certificat signé par une autorité de certification est utilisé lors de la création de la signature numérique.
Les niveaux de signature numérique XAdES, basés sur la norme de signature numérique XML-DSig et disponibles dans Office 2016, sont répertoriés dans le tableau suivant. Chaque niveau est basé sur le précédent et contient toutes ses capacités, ainsi que celles des niveaux précédents. Par exemple, XAdES-X contient également toutes les capacités de XAdES-EPES, XAdES-T, et XAdES-C, en plus des nouvelles fonctionnalités ajoutés dans XAdES-X.
Niveaux de signature numérique XAdES dans Office 2016
| Niveau de signature | Description |
|---|---|
| XAdES-EPES (base) |
Ajoute des informations sur le certificat de signature à la signature XML-DSig. Il s’agit de la valeur par défaut pour les signatures Office 2016. |
| XAdES-T (horodatage) |
Ajoute un horodatage aux sections XML-DSig et XAdES-EPES de la signature, offrant une protection contre l'expiration de certificat. |
| XAdES-C (complet) |
Ajoute des références à la chaîne de certification et des informations sur l'état de révocation. |
| XAdES-X (étendu) |
Ajoute un horodatage à l’élément SignatureValue XML-DSig et aux sections -T et -C de la signature. L'horodatage supplémentaire empêche la répudiation des données supplémentaires. |
| XAdES-X-L (étendu à long terme) |
Stocke dans la signature le certificat actuel et ses informations de révocation. Ceci permet de valider le certificat, même si les serveurs de certification ne sont plus disponibles. |
Planification des signatures numériques horodatées dans Office 2016
Lorsque les utilisateurs ajoutent un horodatage à une signature numérique, ils étendent sa durée de vie. Par exemple, si un certificat révoqué a déjà été utilisé pour créer une signature numérique, celle-ci contient un horodatage provenant d'un serveur d'horodatage approuvé et l'horodatage appliqué avant la révocation du certificat : la signature numérique peut donc être encore considérée comme valide. Pour utiliser la fonctionnalité d'horodatage avec les signatures numériques, vous devez procéder comme suit :
Configurez un serveur d’horodatage conforme à la norme RFC 3161.
Utilisez le paramètre de stratégie de groupe Spécifier un nom de serveur, pour entrer l'emplacement réseau du serveur d'horodatage.
Vous pouvez également configurer des paramètres d'horodatage supplémentaires en configurant un ou plusieurs des paramètres de stratégie de groupe suivants :
Configurer l'algorithme de hachage d'horodatage
Définir le délai d'attente du serveur d'horodatage
Si vous ne configurez et n'activez pas Configurer l'algorithme de hachage d'horodatage, la valeur par défaut SHA1 sera utilisée. Si vous ne configurez pas et n’activez pas Définir le délai d’expiration du serveur d’horodatage, Office 2016 attend 5 secondes que le serveur d’horodatage réponde à une demande.
Planifier les paramètres de signature pour Office 2016
Outre les paramètres de stratégie de groupe pour la configuration des paramètres liés à l’horodatage, il existe d’autres paramètres stratégie de groupe pour configurer et contrôler les signatures numériques dans un organization. Le tableau suivant répertories les noms de ces paramètres et leurs descriptions.
Paramètres de configuration de stratégie de groupe de signature numérique
| paramètre stratégie de groupe | Description |
|---|---|
| Exiger le protocole OCSP au moment de la génération des signatures |
Ce paramètre de stratégie vous permet de déterminer si Office 2016 nécessite des données de révocation OCSP (Online Certificate Status Protocol) pour tous les certificats numériques d’une chaîne lorsque des signatures numériques sont générées. |
| Spécifier le niveau XAdES minimal pour la génération des signatures numériques |
Ce paramètre de stratégie vous permet de spécifier un niveau XAdES minimal que les applications Office 2016 doivent atteindre pour créer une signature numérique XAdES. Si les applications Office 2016 ne parviennent pas à atteindre le niveau XAdES minimal, l’application Office ne crée pas la signature. |
| Vérifier les parties XAdES d'une signature numérique |
Ce paramètre de stratégie vous permet de spécifier si Office 2016 vérifie les parties XAdES d’une signature numérique lors de la validation d’une signature numérique pour un document. |
| Ne pas autoriser les certificats arrivés à expiration lors de la validation des signatures |
Ce paramètre de stratégie vous permet de configurer si les applications Office 2016 acceptent les certificats numériques expirés lors de la vérification des signatures numériques. |
| Ne pas inclure d'objet de référence XAdES dans le manifeste |
Ce paramètre de stratégie permet de déterminer si un objet de référence XAdES apparaît dans le manifeste. Vous devez configurer ce paramètre sur Activé si vous souhaitez que le système Office 2007 puisse lire les signatures Office 2016 qui contiennent du contenu XAdES. Sinon, Office System 2007 considère les signatures qui contiennent du contenu XAdES non valides. |
| Sélectionner l'algorithme de hachage de signature numérique |
Ce paramètre de stratégie vous permet de configurer l’algorithme de hachage utilisé par les applications Office 2016 pour confirmer les signatures numériques. |
| Définir le niveau de vérification de signature |
Ce paramètre de stratégie vous permet de définir le niveau de vérification utilisé par les applications Office 2016 lors de la validation d’une signature numérique. |
| Niveau XAdES demandé pour la génération des signatures |
Ce paramètre de stratégie permet de spécifier un niveau XAdES requis ou désiré pour la création d'une signature numérique. |
Les paramètres de stratégie de groupe supplémentaires suivants sont liés aux signatures numériques :
Définir le répertoire d'images par défaut
Filtrage EKU
Signatures au format hérité
Supprimer les fournisseurs de signature Office
Supprimer la commande de services de signature externe
Paramètres de registre s'appliquant aux signatures numériques
Le tableau suivant répertorie les paramètres de registre Windows relatifs aux signatures numériques et les certificats utilisés pour les chiffrer. Ces paramètres de Registre se trouvent dans HKEY_CURRENT_USER\software\policies\Microsoft\Office\16.0\common\signatures. Il n’y a aucune stratégie de groupe correspondante.
Paramètres de registre de signature numérique
| Entrée de Registre | Type | Valeur | Description |
|---|---|---|---|
| FilterIssuer |
WZ |
Vide |
Réduit l'ensemble des certificats disponibles à ceux dont le nom contient la valeur FilterIssuer. |
| MinSigningDSABits |
DWORD |
Vide |
Indique le nombre minimum d'octets autorisés pour la création d'une signature numérique DSA dans Office. |
| InvalidDSABits |
DWORD |
Vide |
Indique le nombre maximum d'octets qui seront lus dans une signature numérique DSA. Tous les octets au dessus de la valeur InvalidDSABits seront ignorés. |
| InvalidHashAlg |
WZ |
Vide |
Spécifie les algorithmes de hachage précédemment utilisés par votre organization pour créer des signatures numériques dans les versions précédentes d’Office (Office 2007, Office 2010, par exemple) que vous souhaitez rendre non valides maintenant. Si un hachage est indiqué ici, la validation des documents ou des messages électroniques utilisant ce hachage pour valider une signature numérique échouera. |
| InvalidRSABits |
DWORD |
Vide |
Indique le nombre maximum d'octets lus dans une signature numérique RSA. Tous les octets au dessus de la valeur InvalidRSABits seront ignorés. |
| LegacyDSABits |
DWORD |
Vide |
Spécifie le nombre minimal de bits qui seront traités dans une signature numérique DSA héritée, où hérité fait référence à une signature numérique créée pour un document ou un e-mail à l’aide d’Office 2007 ou Office 2010 et où l’algorithme de hachage a été spécifié dans le paramètre de clé de Registre LegacyHashAlg. |
| LegacyHashAlg |
WZ |
MD5 |
Spécifie les algorithmes de hachage utilisés par votre organization pour créer des signatures numériques dans les versions précédentes d’Office (Office 2007, Office 2010, par exemple) que vous souhaitez rendre disponibles pour valider les documents et e-mails hérités signés numériquement. |
| LegacyRSABits |
DWORD |
Vide |
Spécifie le nombre minimal de bits qui seront traités dans une signature numérique RSA héritée. Hérité fait référence à une signature numérique qui a été créée pour un document ou un e-mail à l’aide d’Office 2007 ou Office 2010 et où l’algorithme de hachage a été spécifié dans le paramètre de clé de Registre LegacyHashAlg. |
| MinSigningRSABits |
DWORD |
Vide |
Spécifie le nombre minimal de bits qui seront utilisés pour créer une signature numérique dans Office 2016. |
Voir aussi
XAdES (XML Advanced Electronic Signatures)
stratégie de groupe fichiers de modèles d’administration (ADMX/ADML) pour Office
Rechercher des services de signature numérique ou d’ID numérique
Ajouter ou supprimer une signature numérique dans des fichiers Office