← Back to all articles

Validation PDF à long terme : pourquoi un PDF conforme aujourd'hui peut échouer à la vérification en 2035

SealDoc Team · · 7 min read

Une archive documentaire n’est utile que si les documents qu’elle contient peuvent être vérifiés au moment où un auditeur les demande. Pas au moment où vous les avez créés. Pas quand vos avocats en ont besoin. Quand quelqu’un extérieur à votre organisation vous demande de prouver quelque chose.

Pour les documents signés numériquement et horodatés, la vérification a une durée de vie. Les mécanismes cryptographiques qui rendent un document PDF/A-3 digne de confiance aujourd’hui dépendent de certificats, d’algorithmes et de chaînes de confiance susceptibles d’expirer, d’être révoqués ou dépréciés. Construire une archive documentaire sans planifier pour cela, c’est construire une archive qui échouera au pire moment possible.

Le problème de la vérification dépendante des certificats

Une signature numérique PDF est vérifiée à l’aide d’une chaîne de certificats : le certificat du signataire, le certificat de l’AC émettrice et le certificat de l’AC racine. Chaque certificat a une période de validité, généralement d’un à trois ans pour les certificats d’entité finale.

Si vous vérifiez une signature après l’expiration du certificat du signataire, la vérification échouera sauf si le vérificateur peut établir que le certificat était valide au moment de la signature. Pour cela, il faut :

  1. Savoir quand le document a été signé (un horodatage fiable)
  2. Disposer du statut de révocation du certificat au moment de la signature (réponse OCSP ou LCR)
  3. Disposer de la chaîne complète de certificats telle qu’elle existait au moment de la signature

Cinq ans après la signature, le certificat a expiré depuis longtemps. L’AC n’est peut-être plus en activité. Le répondeur OCSP ne sert plus de réponses pour ce certificat. Le statut de révocation au moment de la signature n’existe nulle part en ligne.

Sans ces informations, un vérificateur strict refusera de confirmer la signature, même si elle était parfaitement valide lors de son apposition.

Validation à Long Terme (LTV)

La Validation à Long Terme (LTV) est la technique permettant d’intégrer directement dans le document les preuves nécessaires à une vérification future. La norme pour le PDF est définie dans l’ETSI EN 319 132 (PAdES) et l’ISO 32000.

Un document PDF/A-3 avec LTV contient :

  • Les jetons de signature et d’horodatage (comme toujours)
  • La chaîne complète de certificats de chaque certificat impliqué dans la signature et l’horodatage
  • Les informations de révocation (réponses OCSP ou instantanés de LCR) capturées au moment de la signature, lorsque les certificats étaient encore valides et les répondeurs OCSP encore opérationnels

Avec ces informations intégrées, un vérificateur en 2035 peut reconstruire la chaîne de confiance complète telle qu’elle existait en 2026, sans aucun accès réseau.

L’ajout d’informations LTV nécessite de les intégrer avant l’expiration des certificats concernés. Cela se fait généralement immédiatement après la signature, ou dans un court délai, et non des années plus tard.

Dépréciation des algorithmes

SHA-1 a été déprécié comme algorithme de signature en 2017. Les certificats signés avec SHA-1 ne sont plus approuvés par les principaux vérificateurs. Tout PDF signé avec un certificat SHA-1 est désormais invérifiable en mode strict.

SHA-256 est le standard actuel et devrait rester sécurisé pour l’avenir prévisible, mais “avenir prévisible” en cryptographie est un terme relatif. Le NIST travaille sur des normes cryptographiques post-quantiques depuis 2016, et la transition vers des algorithmes résistants aux ordinateurs quantiques devrait intervenir dans les 10 à 15 prochaines années.

Pour un document devant rester vérifiable jusqu’en 2040, l’algorithme de signature choisi en 2026 pourrait avoir été déprécié avant la fin de la période d’archivage. La mesure d’atténuation est l’horodatage d’archivage : l’application d’un nouvel horodatage avant que l’algorithme du précédent ne soit déprécié, le nouvel horodatage couvrant le document plus l’ancien horodatage. Cela préserve la chaîne de confiance lors des transitions d’algorithmes.

Horodatage d’archivage

Un horodatage d’archivage prolonge la validité d’un document horodaté au-delà du point où l’algorithme ou le certificat de l’horodatage original pourrait être considéré comme faible.

Le processus :

  1. Le document possède un horodatage RFC 3161 existant de 2026
  2. Avant que SHA-256 ne soit déprécié (hypothétiquement, vers 2036), vous demandez un nouvel horodatage
  3. Le nouvel horodatage couvre le document plus le jeton d’horodatage de 2026 existant
  4. Le nouvel horodatage utilise l’algorithme recommandé actuel (résistant aux ordinateurs quantiques, vers 2036)
  5. Un vérificateur en 2040 vérifie : l’horodatage de 2036 (utilisant l’algorithme de 2036) couvrait l’horodatage de 2026, qui couvrait le document avec son hachage original

Cette chaîne emboîte la confiance : chaque nouvel horodatage garantit tous les précédents. Vous n’avez pas besoin de re-signer le document original ; vous devez seulement ajouter un nouvel horodatage avant que le précédent devienne cryptographiquement insuffisant.

Pour une archive fiscale de 10 ans, un seul ré-horodatage à mi-parcours est généralement suffisant. Pour des archives de 20 ou 30 ans (dossiers médicaux, immobilier, marchés publics), un calendrier de ré-horodatage devrait être établi au moment de l’archivage initial.

Stabilité des polices et des profils colorimétriques

Indépendamment des considérations cryptographiques, PDF/A-3 présente un avantage plus simple à long terme par rapport au PDF ordinaire : il impose que toutes les polices et tous les profils colorimétriques soient intégrés dans le fichier. Un PDF qui référence une police externe ou utilise un profil colorimétrique système peut s’afficher différemment dans dix ans lorsque la police n’est plus installée ou que le profil colorimétrique a été mis à jour.

PDF/A-3 interdit les références externes, JavaScript, et tout contenu nécessitant une résolution à l’exécution. Ce qui est dans le fichier est tout ce qui est nécessaire pour le rendre de manière identique sur n’importe quel lecteur conforme, maintenant et à l’avenir.

C’est pourquoi PDF/A-3 est le bon format d’archivage pour tout document devant être lisible par un auditeur humain dans des années. Un PDF ordinaire valide aujourd’hui peut sembler incorrect ou être illisible en 2035, non pas à cause de la cryptographie, mais parce qu’un moteur de rendu de polices a changé.

Validation des archives à long terme

VeraPDF est l’implémentation de référence pour la validation PDF/A. Il est open source, maintenu par la PDF Association et l’Open Preservation Foundation, et est l’outil utilisé par les archives nationales et les organes de réglementation à travers l’Europe.

L’exécution de VeraPDF sur une archive PDF/A-3 confirme :

  • La conformité du document à la norme ISO 19005-3 (PDF/A-3)
  • L’intégration de toutes les polices
  • L’autonomie des profils colorimétriques
  • L’absence de fonctionnalités interdites (JavaScript, contenu externe, chiffrement)
  • La validité des métadonnées XMP et l’identification correcte du niveau de conformité

VeraPDF ne valide pas les signatures cryptographiques ni les horodatages. Pour ceux-ci, utilisez un vérificateur compatible PAdES tel que l’API de validation de signatures ETSI ou DSS (Digital Signature Service), la bibliothèque open source maintenue par la Commission européenne.

Un flux de validation à long terme complet exécute les deux : VeraPDF pour la conformité PDF/A, DSS pour la vérification des signatures et des horodatages.

Construire des archives qui survivent à leur période de conservation

La liste de contrôle pratique pour une archive documentaire qui restera vérifiable à la fin de sa période de conservation :

  1. Utiliser PDF/A-3 pour tous les documents archivés (toutes les polices et profils colorimétriques intégrés)
  2. Appliquer des signatures PAdES avec les informations LTV intégrées au moment de la signature
  3. Utiliser des horodatages RFC 3161 provenant de TSA de la liste de confiance de l’UE
  4. Inclure la chaîne complète de certificats et les données de révocation dans le document au moment de l’archivage
  5. Stocker les documents dans un stockage WORM avec des verrous de conservation en mode conformité
  6. Inclure un calendrier de ré-horodatage dans votre politique de conservation, déclenché avant qu’un certificat intégré ou un algorithme n’approche de la dépréciation
  7. Vérifier périodiquement l’archive (annuellement pour les archives à longue conservation) à l’aide de VeraPDF et DSS

Les étapes 1 à 4 sont exécutées au moment de l’archivage. Les étapes 5 à 7 sont des engagements opérationnels pour toute la durée de vie de l’archive.

SealDoc et la validité à long terme

SealDoc génère des documents PDF/A-3 avec des signatures LTV activées et des horodatages RFC 3161 provenant de TSA qualifiées de l’UE. Les chaînes de certificats et les réponses OCSP sont intégrées au moment de la création du document, et non rétroactivement.

Le pack de preuves inclut le matériel de vérification : la chaîne complète de certificats, les instantanés de révocation et les jetons d’horodatage dans leur encodage CMS original. Un auditeur en 2035 peut vérifier le pack à l’aide de VeraPDF, DSS ou OpenSSL sans accès réseau ni dépendance à l’infrastructure de SealDoc.

Le ré-horodatage pour les archives à longue conservation est disponible en tant qu’opération planifiée via l’API SealDoc, permettant aux organisations de maintenir la validité algorithmique des archives qui s’étendent au-delà de la durée de vie prévue des normes cryptographiques actuelles.

← Back to all articles