Détectez et analysez les signatures électroniques d'un PDF : type PKCS#7/CAdES, signataire, date, raison. 100% local, aucun upload serveur.
Vérificateur de signature PDF
Glissez-déposez votre PDF ici
ou
PDF uniquement · max 50 Mo · 100% local
Signature électronique PDF : tout comprendre pour bien vérifier
Un document PDF peut embarquer une ou plusieurs signatures électroniques directement dans sa structure binaire. Ces signatures garantissent l'identité du signataire et l'intégrité du document depuis la date de signature. Mais comment savoir, concrètement, si un PDF que vous avez reçu est bien signé, et si cette signature est valide ?
Cet outil analyse la structure interne du fichier PDF — sans jamais l'envoyer vers un serveur — pour détecter la présence de signatures numériques, identifier leur type (PKCS#7, CAdES, horodatage RFC 3161) et extraire les métadonnées visibles : nom du signataire, raison, date et localisation.
Qu'est-ce qu'une signature électronique dans un PDF ?
La norme PDF (ISO 32000) définit un mécanisme de signature numérique basé sur AcroForm : un formulaire interactif intégré au document. Chaque champ de signature contient un objet de type /Sig qui stocke :
- Un filtre (
/Filter) : bibliothèque utilisée pour créer la signature (ex.Adobe.PPKLite) - Un sous-filtre (
/SubFilter) : algorithme et format de la signature (ex.adbe.pkcs7.detached) - Un ByteRange : les plages d'octets du fichier couvertes par la signature
- Des métadonnées : nom (
/Name), raison (/Reason), localisation (/Location), date (/M) - Le blob cryptographique PKCS#7 ou CAdES contenant le certificat du signataire
Les différents types de signatures PDF
| SubFilter | Standard | Cas d'usage | Statut |
|---|---|---|---|
adbe.pkcs7.detached |
Adobe / PKCS#7 | Signature classique Acrobat, le plus répandu | Actuel |
etsi.cades.detached |
ETSI EN 319 122 | Signature avancée eIDAS (CAdES), administration française | Actuel |
etsi.rfc3161 |
RFC 3161 | Horodatage qualifié — complète une signature principale | Horodatage |
adbe.pkcs7.sha1 |
Adobe legacy | Ancienne signature SHA-1, présente dans les vieux PDF | Obsolète |
adbe.x509.rsa.sha1 |
Adobe legacy | Signature X.509 RSA SHA-1 (Acrobat < 6) | Déprécié |
Le ByteRange : clé de l'intégrité du document
Le ByteRange est le mécanisme qui garantit qu'un PDF signé n'a pas été modifié après signature. Il s'agit d'un tableau de quatre entiers [offset1 length1 offset2 length2] qui délimitent les octets du fichier inclus dans le calcul du condensat cryptographique (hash).
Comment fonctionne le ByteRange ?
Lors de la signature, Adobe Acrobat ou un autre outil PDF :
- Réserve un espace fixe dans le fichier pour le blob cryptographique (entre les deux plages)
- Calcule le hash SHA-256 (ou SHA-1 pour les anciens formats) sur tous les octets sauf cet espace réservé
- Chiffre ce hash avec la clé privée du signataire → blob PKCS#7
- Insère le blob dans l'espace réservé
Pour valider la signature, un vérificateur recalcule le hash sur les mêmes plages de bytes et compare avec le hash déchiffré depuis le blob. Si le fichier a été modifié (même un seul octet hors de l'espace réservé), les hashs ne correspondent plus.
Signatures multiples et révisions incrémentielles
Un contrat impliquant plusieurs parties peut nécessiter des signatures successives. Le format PDF supporte ce cas via les mises à jour incrémentielles (incremental updates) : chaque signature couvre les octets précédents, formant une chaîne de confiance. La dernière signature couvre l'intégralité du document jusqu'à ce point.
Cet outil affiche chaque signature individuellement, en indiquant son index et son type, ce qui permet d'identifier les workflows de signature multi-parties.
Conformité eIDAS : signature simple, avancée et qualifiée
Le règlement européen eIDAS n°910/2014 définit trois niveaux de signature électronique, avec des exigences légales et techniques croissantes :
Signature électronique simple (SES)
La forme la plus basique — un scan d'une signature manuscrite ou un champ de formulaire. Aucune cryptographie n'est impliquée. Elle n'est pas détectée par cet outil car elle ne génère pas d'objet /Sig dans la structure PDF.
Signature électronique avancée (AdES)
Correspond aux signatures adbe.pkcs7.detached et etsi.cades.detached détectées par cet outil. Elle est :
- Liée de manière unique au signataire
- Créée à partir de données sous le contrôle exclusif du signataire (clé privée)
- Capabale de détecter toute modification ultérieure du document signé
La variante PAdES (PDF Advanced Electronic Signature, ETSI EN 319 132) est le standard recommandé pour les PDF signés conformes eIDAS en Europe.
Signature électronique qualifiée (QES)
Le niveau le plus élevé. Elle repose sur un certificat qualifié délivré par un prestataire de services de confiance (TSP) référencé sur la liste de confiance de l'État membre (liste TL, publiée par l'ANSSI en France). Elle a la même valeur juridique qu'une signature manuscrite au sein de l'UE.
Cet outil ne peut pas distinguer une AdES d'une QES à partir des métadonnées seules — la qualification du certificat nécessite une vérification en ligne contre la liste TL nationale.
Checklist vérification eIDAS
- ✅ Signature détectée par cet outil (SubFilter
etsi.cades.detached) - ✅ Horodatage RFC 3161 présent (
etsi.rfc3161) - ✅ Certificat non révoqué (vérification OCSP/CRL — nécessite Adobe Acrobat)
- ✅ Certificat émis par un TSP sur la liste de confiance ANSSI
- ✅ ByteRange couvre l'intégralité du document
Comment utiliser cet outil pas à pas
Étape 1 — Sélectionner le fichier PDF
Cliquez sur la zone de dépôt ou glissez-déposez votre fichier PDF directement dessus. Les fichiers jusqu'à 50 Mo sont acceptés. Le fichier reste entièrement sur votre appareil — aucun octet n'est envoyé sur Internet.
Étape 2 — Lancer l'analyse
Cliquez sur "Analyser le PDF". Le script JavaScript lit le fichier via l'API FileReader, le convertit en buffer binaire et recherche les patterns de signature dans les octets bruts du document.
Étape 3 — Interpréter les résultats
Trois cas possibles :
- ✅ Signatures détectées : le document contient au moins une signature numérique. Le détail de chaque signature s'affiche (type, signataire, date, raison).
- ⚠️ Aucune signature : le PDF ne contient pas de champ
/Signi deByteRange. Il n'est pas signé numériquement (mais peut comporter une "signature" manuscrite scannée). - ❌ Fichier non reconnu : le fichier ne commence pas par l'entête
%PDF-, il est probablement corrompu ou n'est pas un PDF.
Étape 4 — Aller plus loin
Pour valider cryptographiquement la signature (révocation OCSP, chaîne PKI, intégrité du ByteRange), ouvrez le même PDF dans Adobe Acrobat Reader (Affichage → Outils → Certificats → Valider les signatures). Sur Linux ou en ligne de commande, vous pouvez utiliser pdfsig (poppler-utils) ou la bibliothèque Python pyhanko.
Questions fréquentes sur les signatures PDF
Quelle est la différence entre signature numérique et cachet électronique ?
Une signature numérique est apposée par une personne physique avec sa clé privée personnelle. Un cachet électronique (eIDAS : electronic seal) est créé par une organisation (personne morale) via un certificat émis au nom de l'entité — typiquement utilisé pour les factures électroniques ou les documents émis automatiquement.
Un PDF signé peut-il être modifié ?
Oui, via les révisions incrémentielles. Il est techniquement possible d'ajouter du contenu après une signature sans l'invalider — si le nouveau contenu est ajouté en dehors du ByteRange couvert. C'est pourquoi des outils comme Adobe Acrobat signalent les modifications post-signature dans un panneau dédié.
La signature détectée prouve-t-elle l'identité du signataire ?
La signature prouve que le document a été signé avec la clé privée associée au certificat. L'identité du signataire est attestée par l'autorité de certification (CA) qui a émis le certificat — sous réserve que le certificat soit valide et non révoqué au moment de la signature.
Quels outils utiliser pour créer une signature PDF conforme eIDAS ?
En France : DocuSign, Yousign, Universign (TSP référencés ANSSI). Pour les signatures avancées sans tiers de confiance : Adobe Acrobat Pro, LibreOffice (via certificat X.509 local), ou la bibliothèque open-source pyhanko en Python.
Peut-on vérifier une signature sans connexion Internet ?
La détection de la présence d'une signature est 100% hors ligne — c'est ce que fait cet outil. La validation complète (révocation OCSP, CRL) nécessite une connexion pour interroger le serveur de l'autorité de certification, sauf si les informations de révocation sont embarquées dans le PDF via OCSP Stapling.
Pourquoi mon PDF affiche une signature dans Acrobat mais pas ici ?
Certains outils créent des structures de signature légèrement non standard. Cet outil recherche les patterns /Type /Sig et /ByteRange dans les bytes bruts. Si l'encodage interne du PDF utilise des flux compressés (FlateDecode) qui encapsulent ces objets, ils ne sont pas détectables par cette méthode. Dans ce cas, utilisez Adobe Acrobat Reader pour la validation.
Conclusion
Vérifier la présence d'une signature électronique dans un PDF est une opération qui ne devrait pas nécessiter l'installation d'un logiciel lourd ni l'envoi de vos documents vers un serveur tiers. Cet outil vous permet de le faire directement dans votre navigateur, en quelques secondes, en préservant la confidentialité totale de vos fichiers.
Pour une vérification cryptographique complète avec validation de la chaîne de certificats, nous recommandons Adobe Acrobat Reader (gratuit) ou des solutions open-source comme pdfsig et pyhanko. La conformité eIDAS complète reste du ressort d'un TSP qualifié.
