Signatures X.509 dans un PDF : le certificat intégré prouve qui a signé

19 avril 2026

La signature numérique est désormais devenue la norme dans les organisations modernes. Les contrats, bons de commande, procès-verbaux, documents RH et offres sont de plus en plus souvent traités entièrement de manière numérique. Mais une question reste cruciale : comment être certain de l’identité exacte du signataire, et comment le prouver plus tard ?

La réponse réside dans les signatures électroniques basées sur X.509, intégrées directement dans le document PDF. Lorsqu’un document est signé avec un certificat X.509, il s’agit d’une signature électronique qualifiée telle que définie dans le règlement eIDAS européen. Grâce à cette signature qualifiée, vous pouvez à tout moment vérifier de manière incontestable dans Adobe Acrobat Reader qui a signé le document et si son contenu n’a pas été modifié depuis la signature.

Avec OKSign, vous pouvez faire signer des documents via itsme® eSign et Smart‑ID. Ces solutions placent un certificat X.509 du signataire directement dans le document PDF, ce qui rend la signature automatiquement une signature électronique qualifiée conforme au règlement eIDAS.

Qu’est‑ce qu’une signature X.509 dans un PDF ?

X.509 est une norme internationale pour les certificats numériques. Un tel certificat contient notamment :

• L’identité du signataire (personne ou organisation)
• La clé publique associée à la clé privée utilisée pour signer
• L’autorité de certification (CA) qui a émis le certificat
• La période de validité et les paramètres techniques

Lorsqu’une personne signe un PDF avec un certificat X.509, une signature cryptographique est ajoutée au document. Cette signature est mathématiquement liée à :

• le contenu du PDF (intégrité)
• le certificat du signataire (identité)

Point important : le certificat X.509 est intégré dans le document PDF lui‑même. Il accompagne donc toujours le document, où qu’il soit envoyé. Vous n’avez pas besoin de fournir des fichiers de certificat séparés : tout est contenu dans un seul fichier PDF.

Le certificat intégré : un contrôle permanent, pour tout le monde

Comme le certificat X.509 est intégré dans le PDF, toute personne qui ouvre le document peut vérifier la signature. Aucun logiciel coûteux n’est nécessaire : Adobe Acrobat Reader, gratuit, suffit.

Dans un PDF signé, vous pouvez dans Acrobat Reader :

• Sélectionner la signature dans le panneau des signatures
• Consulter les détails de la signature, y compris son statut (valide, modifiée, expirée…)
• Ouvrir le certificat intégré du signataire et vérifier l’identité, l’émetteur et la validité

Concrètement, cela signifie :

• Vous voyez qui a signé (nom, et souvent organisation)
• Vous voyez quelle autorité de certification a émis le certificat
• Vous voyez si le certificat est encore valide et non révoqué
• Vous voyez si le document a été modifié après la signature

Comme le certificat est intégré dans le PDF, ce contrôle reste possible même si le document est rouvert des années plus tard, sur un autre ordinateur ou par une autre partie. La preuve voyage littéralement avec le document.

Signature électronique qualifiée selon eIDAS

Au sein de l’Union européenne, le règlement eIDAS constitue le cadre juridique pour l’identification électronique et les services de confiance. eIDAS distingue trois niveaux de signatures électroniques :

• Signature électronique simple
• Signature électronique avancée
• Signature électronique qualifiée

Une signature électronique qualifiée est le niveau le plus élevé et offre la plus grande sécurité juridique. Elle repose sur :

• Un certificat qualifié pour signatures électroniques
• Émis par un prestataire de services de confiance qualifié (QTSP)
• Et appliqué avec un dispositif qualifié (carte à puce sécurisée, token matériel ou signature cloud qualifiée)

L’avantage majeur : selon eIDAS, une signature électronique qualifiée a la même valeur juridique qu’une signature manuscrite. Dans l’UE, une signature qualifiée doit en principe être acceptée de la même manière qu’une signature classique sur papier.

Lorsque vous signez un document PDF avec une signature électronique qualifiée basée sur X.509, vous combinez :

• Sécurité technique : cryptographie, contrôle d’intégrité et certificat intégré consultable par tous.
• Sécurité juridique : une signature conforme eIDAS, équivalente à une signature manuscrite.

Pourquoi cela est si puissant en pratique

Pour les entreprises, administrations et organisations, cette approche offre plusieurs avantages très concrets :

• Vérification transparente : toute personne disposant d’Adobe Acrobat Reader peut vérifier la signature et le certificat intégré, sans outils supplémentaires.
• Identification fiable : l’identité du signataire est liée à un certificat X.509 intégré dans le document.
• Intégrité du document : toute modification après la signature est détectée et rend la signature invalide.
• Force juridique : une signature électronique qualifiée conforme eIDAS a la même valeur qu’une signature manuscrite.
• Archivage et transférabilité : la preuve accompagne le fichier PDF ; même après envoi, archivage ou partage, tout reste vérifiable.

À quoi ressemble la signature itsme® dans un document PDF ?

Une signature X.509 qualifiée est ajoutée à la fin du document, sur une page séparée (voir capture d’écran).

À l’endroit où vous avez placé les zones de signature dans l’Éditeur OKSign (ou via l’API), un message apparaît indiquant que la signature se trouve sur la dernière page du document signé.

Pour chaque mention « signature voir dernière page », une référence (A, B, C, …) est ajoutée et reprise dans la signature sur la dernière page afin de faciliter la correspondance entre les signatures et leurs positions dans le document.

Le logo du mode de signature (logo eID ou logo itsme®) est affiché pour chaque signature sur la dernière page.

Après la première signature X.509, toutes les signatures suivantes seront toujours placées sur la dernière page, même si la signature est réalisée avec un « Stylo » (signature sur écran tactile) ou via TAN/SMS :

Comment vérifier qui a signé un document PDF avec le service itsme® eSign ?

Dans Acrobat Reader, vous pouvez à tout moment consulter les détails du certificat (voir capture ci‑dessous).

Procédez comme suit :

1. Ouvrez le document OKSign signé dans A.Reader et cliquez sur la signature sur la dernière page
2. Une fenêtre apparaît : cliquez sur Signature Properties
3. Cliquez sur Show Signer's Certificate
4. Cliquez sur Details puis sur Subject pour lire les détails (nom, numéro de registre national) du signataire.

Notez également que sur la capture 1, en haut, figure Signed and all signatures are valid et sur la capture 2 The document has not been modified since this signature was applied.

Cela indique que la signature est juridiquement valable et que le document n’a pas été modifié après la signature.

La signature comporte également un horodatage intégré (Embedded timestamp), ce qui lui confère une « date fixe ».

Conclusion

Les signatures X.509 intégrées dans un document PDF constituent la base d’une signature numérique fiable. Comme le certificat X.509 est intégré dans le fichier PDF, il accompagne toujours le document. Toute personne ouvrant le document avec Adobe Acrobat Reader peut à tout moment vérifier qui a signé le document et si son contenu est resté inchangé.

Lorsque cette signature est en outre une signature électronique qualifiée conforme au règlement eIDAS, vous disposez d’une solution à la fois techniquement et juridiquement très solide. Pour les organisations souhaitant digitaliser leurs processus sans compromettre la sécurité, la confiance et la validité juridique, les signatures qualifiées basées sur X.509 dans les PDF constituent un choix logique et pérenne.

Articles connexes :

1. Service itsme® eSign – Signature électronique qualifiée (QES)
2. Activer itsme® : Votre identité numérique sécurisée à portée de main
3. Smart‑ID – Une nouvelle manière sûre et fluide de signer des documents dans OK!Sign
4. Signer des documents avec l’application Smart-ID et OK!Sign