DeepValidator renvoie un résultat invalide, alors que je vois visuellement la signature dans le document. À quoi cela est-il dû ?

La vérification de la signature affiche un résultat invalide, alors qu’une signature est visible dans le PDF, lorsqu’il n’existe pas derrière cette représentation visuelle de signature une signature technique vérifiable, ou plus aucune signature valide.

Causes les plus fréquentes

Simple image, pas de vraie signature
Certains outils n’insèrent qu’une image (« image de signature ») sans créer de signature cryptographique conforme au standard PDF/ETSI. Dans ce cas, un validateur peut voir une représentation de signature, mais ne trouve pas de conteneur de signature vérifiable — le résultat est alors « aucune signature / signature invalide ».

Document modifié après la signature
Si un PDF est modifié après sa signature (contenu, pages, objets), la somme de contrôle (valeur de hachage) ne correspond plus à la signature d’origine, et tout validateur de confiance doit signaler un résultat invalide — même si l’image de signature reste affichée inchangée.

Certificat expiré ou révoqué
Si le certificat du signataire a expiré ou a été révoqué, la signature visuelle peut toujours apparaître dans le document, mais la validation cryptographique renverra « invalide » ou « non fiable ».

Création de signature défectueuse ou incomplète
Certaines solutions de signature n’intègrent pas correctement la signature sur le plan technique (chaîne de certificats incomplète, attributs de signature incorrects, etc.). Le PDF affiche malgré tout une zone de signature, mais la validation échoue en raison d’incohérences techniques.

La signature ne répond pas aux exigences ZertES ou eIDAS

• Non conforme à eIDAS (UE) signifie généralement :
  Il ne s’agit que d’une signature électronique simple (par exemple une image scannée ou une signature par clic), sans l’identification forte, le contrôle exclusif de la clé de signature et la garantie d’intégrité requis pour une signature avancée ou qualifiée. Ou bien aucun certificat approprié d’un prestataire de services de confiance reconnu n’a été utilisé, ou le certificat/profil de certificat ne répond pas aux exigences d’une AdES/QES selon eIDAS.

• Non conforme à ZertES (Suisse) signifie de manière analogue :
  La signature ne satisfait pas aux exigences d’une signature électronique avancée/qualifiée au sens du droit fédéral suisse (par exemple, aucune autorité de certification suisse reconnue, aucun certificat qualifié, aucun dispositif de création de signature autorisé, profil non autorisé, etc.).

Conséquence pratique :
Le document peut rester électroniquement « signé » et conserver une certaine valeur probante, mais il n’est pas reconnu comme signature qualifiée ou avancée au sens d’eIDAS/ZertES et ne bénéficie donc pas du statut juridique particulier prévu, par exemple l’équivalence à une signature manuscrite dans le cas d’une QES.

Comment procéder

1. Vérifier dans les détails de la signature d’un lecteur PDF s’il existe réellement une signature numérique avec certificat derrière l’image, ou s’il ne s’agit que d’une image.
2. Vérifier si le document a été modifié après la signature (par exemple, un message dans DeepValidator ou dans le lecteur PDF tel que « le document a été modifié après la signature »).
3. Consulter les détails du certificat (période de validité, statut de révocation, émetteur).