Planification des paramètres de signature numérique pour Office 2013

  • Article

 

Sapplique à : Office 2013

Dernière rubrique modifiée : 2016-12-16

Résumé : explique comment prendre en charge les signatures numériques XAdES dans les documents Excel 2013, PowerPoint 2013, et Word 2013.

Public concerné : professionnels de l'informatique

Les utilisateurs peuvent se connecter numériquement à un document Office 2013Excel, PowerPoint, ou Word tout comme ils peuvent signer un document papier. Une signature numérique permet d'authentifier l'identité du créateur d'informations numériques, comme des documents, des messages électroniques et des macros, en utilisant des algorithmes de chiffrement.

Les signatures sont basées sur des certificats numériques. Ceux-ci permettent de vérifier les identités émises par des tiers approuvés, communément appelées « autorités de certification » (AC), et qui jouent le même rôle que des papiers d'identité. Par exemple, un tiers approuvé, tel qu'une entité gouvernementale ou un employeur, émet des papiers d'identité (permis de conduire, passeports ou carde ID d'employé). Ces papiers sont examinés par les personnes devant vérifier l'identité de la personne qui les possède.

Cet article inclut de nouvelles clés de registre de signature numérique pour Office 2013.

Flèche de feuille de route servant de guide vers la sécurité Office

Cet article fait partie de la Guide de sécurité Office 2013. Utilisez cette feuille de route comme point de départ pour accéder à des articles, téléchargements, affiches et vidéos qui vous aideront à évaluer la sécurité d'Office 2013.

Avez-vous besoin d'aide pour configurer des signatures numériques dans Office 2013 sur votre bureau ? Vous pouvez consulter l'un de ces articles, qui vous aideront à sécuriser Office 2013 sur votre bureau.

Contenu de cet article :

  • Présentation des signatures numériques et de leur utilisation dans Office 2013

  • Sélection de types de certificats numériques pour Office 2013

  • Planification de niveaux de signature numérique dans les documents Office 2013

Présentation des signatures numériques et de leur utilisation dans Office 2013

Les signatures numériques permettent d'établir les mesures d'authentification suivantes :

  • Authenticité   La signature numérique et son certificat numérique sous-jacent permettent de vérifier l'identité de la personne ayant signé. Ceci empêche d'autre personnes d'usurper l'identité du créateur d'un document particulier, comme pourrait le faire une contrefaçon dans le domaine de l'imprimé.

  • Intégrité   La signature numérique permet de vérifier que le contenu d'un document n'a pas été modifié ou falsifié depuis sa signature. Ceci empêche l'interception et la modification des documents à l'insu de leurs créateurs.

  • Non-répudiation   La signature numérique permet de prouver l'origine d'un document à tous les utilisateurs qui s'en servent. « Répudiation » fait référence à un refus de toute association du signataire avec le contenu signé. La signature numérique prouve que le créateur du document est le véritable créateur, et pas quelqu'un d'autre, indépendamment de ce qu'affirme le signataire. Un signataire ne peut pas répudier la signature sur ce document sans répudier sa propre clé numérique, ce qui entrainerait une répudiation de tous les documents créés en utilisant cette clé.

Configuration requise pour les signatures numériques dans Office 2013

Pour établir ces conditions, le créateur d'un contenu doit le signer numériquement en créant une signature répondant aux critères suivants :

  • La signature numérique est correcte. Un AC approuvé par le système d'exploitation doit signer le certificat numérique sur lequel la signature numérique est basée.

  • Le certificat associé à la signature numérique n'est pas expiré ou contient un horodatage indiquant que le certificat était valide au moment de la signature.

  • Le certificat associé avec la signature numérique n'est pas révoqué.

  • La personne ou l'organisation à l'origine de la signature (que l'on nomme « éditeur ») est approuvée par le destinataire.

Word 2013, Excel 2013, et PowerPoint 2013 détectent ces critères et avertissent l'utilisateur en cas de problème avec la signature numérique. Les informations relatives aux certificats problématiques peuvent être facilement consultées dans le volet Office des certificats affichés dans l'application Office 2013. Les applications Office 2013 vous permettent d'ajouter plusieurs signatures numériques au même document.

Signatures numériques dans l'environnement de travail d'Office 2013

Le scénario suivant vous explique comment utiliser les signatures numériques sur des documents dans un environnement de travail :

  1. Un employé utilise Excel 2013 pour créer une note de frais. L'employé crée ensuite trois lignes de signature : une pour lui-même, une pour son responsable et la dernière pour le service comptable. Les signatures sont utilisées pour :

    • identifier l'employé ayant créé le document ;

    • indiquer qu'aucune modification n'a été apportée au document durant son transfert vers le responsable et le service comptable ;

    • prouver que le responsable et le service comptable ont bien reçu et examiné le document.

  2. Le responsable reçoit le document et y ajoute sa signature numérique, confirmant qu'il l'a lu et approuvé. Puis, il le transmet au service comptable, qui procèdera au paiement.

  3. Un représentant du service comptable reçoit le document et le signe, confirmant la réception du document.

Cet exemple illustre la possibilité d'ajouter plusieurs signatures à un seul document Office 2013. En plus de la signature d'origine, le signataire du document peut ajouter une représentation graphique de sa véritable signature, ou utiliser une tablette pour signer de façon manuscrite sur la ligne Signature du document.

Problèmes de compatibilités avec les documents Office antérieurs à Office 2013

Office 2013, tout comme Office 2010 et Office 2007, utilise le format XML-DSig pour les signatures numériques. De plus, Office 2013 prend en charge XAdES (XML Advanced Electronic Signatures). Il s’agit d’un ensemble d’extensions hiérarchisées pour XML-DSig, chaque niveau étant basé sur le précédent, pour améliorer la fiabilité des signatures numériques. Pour plus d’informations sur les niveaux de XAdES pris en charge dans Office 2013, consultez la section Planification de niveaux de signature numérique dans les documents Office 2013 plus loin dans cet article. Pour plus d’informations sur les détails de XAdES, consultez la spécification pour XML Advanced Electronic Signatures (XAdES).

Attention : vous devez être bien conscient que les signatures numériques créées dans Office 2013 sont incompatibles avec les versions de Office antérieures à Office System 2007. Par exemple, si un document est signé en utilisant une application dans Office 2013, Office 2010, ou Office 2007, puis est ouverte en utilisant une application dans Office 2003 pour laquelle le module de compatibilité Microsoft Office est installé, l'utilisateur peut savoir que le document a été signé dans une version plus récente de Office et que la signature numérique est perdue.

La figure suivante illustre l'avertissement que l'utilisateur peut voir après avoir ouvert un document dans une version d'Office plus récente qu'Office 2007.

Avertissement de signature numérique pour les documents signés dans Office 2003 ou une version antérieure.

Figure 1 : problèmes de compatibilité

De même, si vous utilisez XAdES pour une signature numérique dans Office 2013, cette signature ne sera pas compatible avec Office 2010 ou Office System 2007, sauf si vous configurez le paramètre de stratégie de groupe Ne pas inclure d'objet de référence XAdES dans le manifeste en le définissant sur Activé. Pour plus d'informations sur la configuration du paramètre Stratégie de groupe de signature numérique, consultez la section Planification des paramètres de signature numérique dans Office 2013 plus loin dans cet article.

Si vous voulez que les signatures numériques créées dans Office 2013 soient compatibles avec Office 2003 et ses versions antérieures, vous pouvez configurer le paramètre de stratégie de groupe Signatures au format hérité en le définissant sur Activé. Ce paramètre de stratégie de groupe est situé sous User Configuration\Administrative Templates\Microsoft Office 2013\Signing. Une fois ce paramètre activé, les applications Office 2013 utiliseront le format binaire Office 2003 pour appliquer des signatures numériques aux documents binaires Office 97–2003 créés dans Office 2013. Pour plus d'informations, consultez Fichiers de modèles d'administration Office 2013 (ADMX/ADML) et outil de personnalisation Office

Sélection de types de de certificat numérique pour Office 2013

Les certificats numériques peuvent être auto-signés ou émis par des AC dans une organisation, comme un ordinateur Windows Server 2012 ou Windows Server 2008 exécutant les services de certification Active Directory, ou un AC public, comme VeriSign ou Thawte. Les certificats auto-signés sont généralement utilisés par les personnes et les petites entreprises qui ne veulent pas configurer d'infrastructure de clé publique (PKI) pour leur organisation et ne veulent pas acheter un certificat commercial.

Le principal inconvénient de l'utilisation des certificats auto-signés, c'est qu'ils sont seulement utiles si vous échangez des documents avec des utilisateurs que vous connaissez personnellement et qui sont certains que vous êtes le créateur du document que vous leur envoyez. Lorsque vous utilisez des certificats auto-signés, aucun tiers ne valide l'authenticité de votre certificat. Chaque personne recevant votre document signé doit prendre la décision d'approuver manuellement votre certificat.

Pour les organisations plus importantes, deux méthodes principales pour obtenir des certificats numériques sont disponibles : les certificats créés en utilisant l'infrastructure de clé publique (PKI) d'une organisation ou d'une corporation, et les certificats commerciaux. Les organisations souhaitant uniquement partager des documents signés au sein de leurs employés peuvent opter pour une infrastructure de clé publique (PKI) en entreprise, pour réduire les coûts. Les organisations voulant partager des documents signés avec des personnes en dehors de leur organisation peuvent opter pour des certificats commerciaux.

Certificats créés en utilisant une infrastructure de clé publique (PKI) d'organisation ou de corporation

Les organisations peuvent créer leur propre PKI. Dans ce scénario, une entreprise configure une ou plusieurs autorités de certification (AC) pouvant créer des certificats numériques pour ses ordinateurs et leurs utilisateurs. Lorsqu'ils sont combinés avec le service d'annuaire d'Active Directory, l'entreprise peut créer une solution PKI complète pour que la chaîne d'AC soit installée sur l'ensemble de ses ordinateurs et que les utilisateurs comme les ordinateurs se voient attribuer automatiquement des certificats numériques pour la signature et le chiffrement de leurs documents. Ceci permet à tous les employés d'une entreprise d'approuver automatiquement les certificats numériques (et donc de valider les signatures numériques) provenant d'autres employés de leur entreprise.

Pour plus d’informations, consultez l’article Services de certification Active Directory.

Certificats commerciaux

Vous pouvez acheter des certificats commerciaux auprès d'une entreprise spécialisée dans la vente de certificats numériques. Le principal avantage de cette méthode est que le certificat d'AC racine du fournisseur de certificat commercial est automatiquement installé sur les systèmes d'exploitation Windows de votre entreprise. Ainsi, ses ordinateurs peuvent approuver automatiquement les AC. Contrairement à la solution de PKI pour organisation ou entreprise, les certificats commerciaux vous permettent de partager vos documents signés avec des utilisateurs externes à votre entreprise.

Il existe trois types de certificats commerciaux :

  • Classe 1   Les certificats de classe 1 sont émis par des utilisateurs disposant d'adresses de messagerie correctes. Ces certificats sont appropriés pour les signatures numériques, le chiffrement et le contrôle d'accès électronique pour les transactions non-commerciales où aucune preuve d'identité n'est requise.

  • Classe 2   Les certificats de classe 2 sont émis par des utilisateurs et des appareils. Les certificats individuels de classe 2 sont appropriés pour les signatures numériques, le chiffrement et le contrôle d'accès électronique lors de transactions où une preuve d'identité basée sur les informations d'une base de données de validation est suffisante. Les certificats d'appareils de classe 2 sont appropriés pour l'authentification d'appareils, le contrôle d'intégrité des messages, logiciels et contenus, ainsi que le chiffrement de confidentialité.

  • Classe 3   Les certificats de classe 3 sont émis par des utilisateurs, des organisations, des serveurs, des appareils et des administrateurs pour les AC et les autorités racines (AR). Les certificats individuels de classe 3 sont appropriés pour les signatures numériques, le chiffrement et le contrôle d'accès lors de transactions où une preuve d'identité doit être vérifiée. Les certificats de serveurs de classe 3 sont appropriés pour l'authentification de serveur, le contrôle d'intégrité des messages, logiciels et contenus, ainsi que le chiffrement de confidentialité.

Pour plus d’informations sur les certificats commerciaux, consultez l’article Rechercher des services d’identification numérique.

Planification de niveaux de signature numérique dans les documents Office 2013

Les utilisateurs peuvent signer numériquement les documents en utilisant Excel 2013, PowerPoint 2013, et Word 2013. Ils peuvent également utiliser Excel 2013, InfoPath 2013, ou Word 2013 pour ajouter une ligne ou un tampon de signature. Le fait de signer numériquement un document doté d’un certificat numérique mais n’ayant pas de ligne ou de tampon de signature est communément appelé « création de signature numérique invisible ». Les signatures numériques visibles et invisibles utilisent toutes les deux un certificat numérique pour la signature du document. Ce qui les différencie, c’est la représentation graphique dans le document lorsqu’une signature numérique visible est utilisée. Pour plus d’informations sur l’ajout d’une signature numérique, consultez l’article Ajout ou suppression d’une signature numérique dans les fichiers Office.

Office 2013 crée par défaut des signatures numériques XAdES-EPES, lorsqu'un certificat auto-signé ou un certificat signé par un AC est utilisé durant la création de la signature numérique.

Le tableau suivant répertorie les niveaux de signature numérique XAdES, basés sur le standard de signature numérique XML-DSig et disponibles dans Office 2013. Chaque niveau est basé sur le précédent et contient toutes ses capacités, ainsi que celles des niveaux précédents. Par exemple, XAdES-X contient également toutes les capacités de XAdES-EPES, XAdES-T, et XAdES-C, en plus des nouvelles fonctionnalités ajoutés dans XAdES-X.

Niveaux de signature numérique XAdES dans Office 2013

Niveau de signature Description

XAdES-EPES (base)

Ajoute des informations sur le certificat de signature à la signature XML-DSig. Fonctionnalité par défaut pour les signatures Office 2013.

XAdES-T (horodatage)

Ajoute un horodatage aux sections XML-DSig et XAdES-EPES de la signature, offrant une protection contre l'expiration de certificat.

XAdES-C (complet)

Ajoute des références à la chaîne de certification et des informations sur l'état de révocation.

XAdES-X (étendu)

Ajoute un horodatage à l'élément SignatureValue de XML-DSig, ainsi que les sections –T et –C à la signature. L'horodatage supplémentaire empêche la répudiation des données supplémentaires.

XAdES-X-L (étendu à long terme)

Stocke dans la signature le certificat actuel et ses informations de révocation. Ceci permet de valider le certificat, même si les serveurs de certification ne sont plus disponibles.

Planification des signatures numériques horodatées dans Office 2013

Lorsque les utilisateurs ajoutent un horodatage à une signature numérique, ils étendent sa durée de vie. Par exemple, si un certificat révoqué a déjà été utilisé pour créer une signature numérique, celle-ci contient un horodatage provenant d'un serveur d'horodatage approuvé et l'horodatage appliqué avant la révocation du certificat : la signature numérique peut donc être encore considérée comme valide. Pour utiliser la fonctionnalité d'horodatage avec les signatures numériques, vous devez procéder comme suit :

  • Configurez un serveur d'horodatage compatible avec RFC 3161

  • Utilisez le paramètre de stratégie de groupe Spécifier un nom de serveur, pour entrer l'emplacement réseau du serveur d'horodatage.

Vous pouvez également configurer des paramètres d'horodatage supplémentaires en configurant un ou plusieurs des paramètres de stratégie de groupe suivants :

  • Configurer l'algorithme de hachage d'horodatage

  • Définir le délai d'attente du serveur d'horodatage

Si vous ne configurez et n'activez pas Configurer l'algorithme de hachage d'horodatage, la valeur par défaut SHA1 sera utilisée. Si vous ne configurez et n'activez pas Définir le délai d'attente du serveur d'horodatage, Office 2013 attendra la réponse du serveur d'horodatage à sa demande pendant 5 secondes.

Planification des paramètres de signature pour Office 2013

En plus des paramètres de stratégie de groupe pour la configuration des paramètres relatifs à l'horodatage, il existe d'autres paramètres de stratégie de groupe permettant de configurer la façon dont les signatures numériques sont configurées et contrôlées dans une organisation. Le tableau suivant répertories les noms de ces paramètres et leurs descriptions. Ils sont situés dans software\policies\microsoft\office\15.0\common\signatures!

Paramètres de configuration de stratégie de groupe de signature numérique

Paramètre de stratégie de groupe Description

Exiger le protocole OCSP au moment de la génération des signatures

Ce paramètre de stratégie permet de déterminer si Office 2013 exige les données de révocation OCSP (Online Certificate Status Protocol) pour tous les certificats numériques dans une chaîne lorsque les signatures numériques sont générées.

Spécifier le niveau XAdES minimal pour la génération des signatures numériques

Ce paramètre de stratégie vous permet de spécifier un niveau XAdES minimum que les applications Office 2013 doivent atteindre pour créer une signature numérique XAdES. Si les applications Office 2013 ne peuvent pas atteindre ce niveau XAdES minimum, l'application Office ne crée pas de signature.

Vérifier les parties XAdES d'une signature numérique

Ce paramètre de stratégie vous permet de spécifier si Office 2013 vérifie les portions XAdES d'une signature numérique lors de la validation d'une signature numérique pour un document.

Ne pas autoriser les certificats arrivés à expiration lors de la validation des signatures

Ce paramètre de stratégie permet de décider si les applications Office 2013 acceptent les certificats numériques expirés lors de la vérification des signatures numériques.

Ne pas inclure d'objet de référence XAdES dans le manifeste

Ce paramètre de stratégie permet de déterminer si un objet de référence XAdES apparaît dans le manifeste. Vous devez configurer ce paramètre sur Activé si vous voulez que Office System 2007 puisse lire les signatures Office 2013 contenant du XAdES. Sinon, Office System 2007 considèrera les signatures contenant du XAdES comme incorrectes.

Sélectionner l'algorithme de hachage de signature numérique

Ce paramètre de stratégie permet de configurer l'algorithme de hachage utilisé par les applications Office 2013 pour vérifier les signatures numériques.

Définir le niveau de vérification de signature

Ce paramètre de stratégie vous permet de définir le niveau de vérification utilisé par les applications Office 2013 durant la validation des signatures numériques.

Niveau XAdES demandé pour la génération des signatures

Ce paramètre de stratégie permet de spécifier un niveau XAdES requis ou désiré pour la création d'une signature numérique.

Les paramètres de stratégie de groupe supplémentaires suivants concernent les signatures numériques et sont également localisés dans \software\policies\microsoft\office\15.0\common\signatures!:

  • Définir le répertoire d'images par défaut

  • Filtrage EKU

  • Signatures au format hérité

  • Supprimer les fournisseurs de signature Office

  • Supprimer la commande de services de signature externe

Pour plus d'informations sur chaque paramètre de stratégie de groupe, consultez les fichiers d'aide contenus dans les fichiers de modèles d'administration pour Office 2013.

RemarqueRemarque :
Pour obtenir les dernières informations sur les paramètres de stratégie, consultez le classeur Excel Office2013GroupPolicyAndOCTSettings_Reference.xls, disponible dans la section Fichiers de ce téléchargement de la page de téléchargement Fichiers de modèles d'administration Office 2013 (ADMX/ADML) et outil de personnalisation Office.

Paramètres de registre s'appliquant aux signatures numériques

Le tableau suivant répertorie les paramètres de registre Windows relatifs aux signatures numériques et les certificats utilisés pour les chiffrer. Ces paramètres de registre sont situés dans HKEY_CURRENT_USER\software\policies\Microsoft\Office\15.0\common\signatures. Il n'existe pas de stratégie de groupe correspondante.

Paramètres de registre de signature numérique

Entrée de Registre Type Valeur Description

FilterIssuer

WZ

Vide

Réduit l'ensemble des certificats disponibles à ceux dont le nom contient la valeur FilterIssuer.

MinSigningDSABits

DWORD

Vide

Indique le nombre minimum d'octets autorisés pour la création d'une signature numérique DSA dans Office.

InvalidDSABits

DWORD

Vide

Indique le nombre maximum d'octets qui seront lus dans une signature numérique DSA. Tous les octets au dessus de la valeur InvalidDSABits seront ignorés.

InvalidHashAlg

WZ

Vide

Indique les algorithmes de hachage utilisés précédemment par votre organisation pour créer des signatures numériques dans les versions précédentes d'Office (par exemple, Office 2007 ou Office 2010) que vous voulez invalider. Si un hachage est indiqué ici, la validation des documents ou des messages électroniques utilisant ce hachage pour valider une signature numérique échouera.

InvalidRSABits

DWORD

Vide

Indique le nombre maximum d'octets lus dans une signature numérique RSA. Tous les octets au dessus de la valeur InvalidRSABits seront ignorés.

LegacyDSABits

DWORD

Vide

Indique le nombre minimum d'octets traités dans une signature numérique DSA héritée (où « héritée » désigne une signature créée pour un document ou un message électronique à l'aide de Office 2007 ou Office 2010 et où l'algorithme de hachage a été indiqué dans le paramètre de clé de registre LegacyHashAlg).

LegacyHashAlg

WZ

MD5

Indique les algorithmes de hachage utilisés par votre organisation pour créer des signatures numériques dans les versions précédentes d'Office (par exemple, Office 2007 ou Office 2010) que vous voulez rendre disponible pour la validation de documents et messages électroniques hérités signés numériquement.

LegacyRSABits

DWORD

Vide

Indique le nombre minimum d'octets traités dans une signature numérique RSA héritée (où « héritée » désigne une signature créée pour un document ou un message électronique à l'aide de Office 2007 ou Office 2010 et où l'algorithme de hachage a été indiqué dans le paramètre de clé de registre LegacyHashAlg).

MinSigningRSABits

DWORD

Vide

Indique le nombre minimum d'octets utilisés pour créer une signature numérique dans Office 2013.

Voir aussi

Guide de sécurité Office 2013

XAdES (XML Advanced Electronic Signatures)
Fichiers de modèles d’administration Office 2013 (ADMX/ADML) et outil de personnalisation Office
Services de certification Active Directory
Rechercher des services d’identification numérique
Ajout ou suppression d’une signature numérique dans les fichiers Office