Authentification du signataire : méthodes et enjeux

Pourquoi l'authentification est critique

L'authentification du signataire est le maillon le plus fragile de la chaîne de preuve. Sans elle, impossible de prouver qui a effectivement signé. Une plateforme de signature moderne doit offrir plusieurs mécanismes gradués.

Les méthodes disponibles

Email de confiance

Le signataire reçoit un lien unique à son adresse email. Seul le titulaire de la boîte peut cliquer. Simple, efficace pour la SES.

Risque résiduel : vol de compte email. Acceptable pour des documents à faible enjeu.

OTP par SMS

Code à usage unique envoyé au numéro de téléphone. Combiné à l'email = AES.

Risque résiduel : SIM swapping (rare mais connu pour les cibles à forte valeur).

OTP par application

Code généré par une app (Google Authenticator, Authy, Twilio Authy). Plus sûr que SMS pour les enjeux élevés.

Biométrie

Empreinte digitale, reconnaissance faciale. Utilisée sur mobile pour fluidifier l'expérience. Pas stockée côté serveur (respect RGPD).

Certificat personnel

Certificat cryptographique émis par un QTSP, stocké sur un dispositif (YubiKey, carte à puce). Obligatoire pour la QES.

Vidéo KYC

Vérification d'identité par visioconférence ou enregistrement. Utilisée pour les secteurs régulés (banque, assurance).

Identité numérique nationale

FranceConnect+, itsme (Belgique), SPID (Italie). Reconnue niveau "substantiel" par eIDAS.

Niveaux d'assurance (LoA)

eIDAS définit trois niveaux :

Niveau | Exigence | Exemple

Faible | Email ou équivalent | SES

Substantiel | Double facteur | AES (email + OTP)

Élevé | Vérification d'identité stricte | QES, KYC vidéo

Alignement avec l'enjeu

• Document interne, bon de commande : LoA faible (SES) suffit
• Contrat de travail, bail, NDA : LoA substantiel (AES)
• Acte notarial, marché public : LoA élevé (QES)

Erreurs fréquentes

• Utiliser SES pour tout (sous-dimensionné)
• Empiler les authentifications inutilement (friction)
• Ne pas journaliser les méthodes utilisées (preuve affaiblie)
• Collecter trop de données biométriques (RGPD)

Protection contre les attaques

• Phishing : former les signataires à vérifier l'expéditeur
• Man-in-the-middle : TLS 1.3 obligatoire
• SIM swapping : OTP par app pour les enjeux très élevés
• Deepfake vidéo KYC : contrôles de vivacité + cross-check

Cas concret : néo-banque

Parcours d'ouverture de compte :

1. Email de confiance
2. OTP SMS
3. Upload pièce d'identité
4. Test de vivacité (selfie)
5. Recoupement bases sanctions
6. Signature AES

LoA : substantiel. Conforme ACPR. Processus en 10 minutes.

Comment Certyneo vous aide

Certyneo offre tous les mécanismes courants : email, OTP SMS (via Twilio Verify), intégration certificats qualifiés pour QES, vidéo KYC optionnelle, FranceConnect+ en intégration. Chaque méthode est journalisée dans la piste d'audit.

Découvrir la solution de signature électronique Certyneo

FAQ

Le SMS est-il assez sûr ?

Pour l'AES oui. Pour des enjeux très élevés, préférer OTP app ou biométrie.

La biométrie est-elle stockée ?

Côté serveur non (respect RGPD). Les gabarits restent sur l'appareil.

Peut-on combiner plusieurs méthodes ?

Oui, pour renforcer la preuve.

FranceConnect+ est-il reconnu ?

Oui, niveau substantiel. Peut déclencher AES et QES.

Que se passe-t-il si l'OTP expire ?

Le signataire peut en demander un nouveau. Limites anti-brute-force en place.

Conclusion

Une bonne authentification est gradée, tracée, et adaptée à l'enjeu. Sur-authentifier crée de la friction ; sous-authentifier fragilise la preuve. L'équilibre se trouve document par document.

Essayez Certyneo pour envoyer, signer et suivre vos documents en ligne simplement, rapidement et en toute sécurité.