Sécurité & intégrité
L'intégrité d'une preuve technique repose sur l'impossibilité technique de la modifier après sa création. Signifio est architecturé pour que toute tentative d'altération — interne ou externe — soit détectable cryptographiquement.
Les preuves sont protégées au niveau système. Aucun processus ne peut les modifier ou supprimer après création.
Chaque preuve est signée numériquement avec RSA-4096. Toute tentative de falsification est détectable instantanément.
La date et l'heure sont certifiées par une autorité tierce (TSA). Même si Signifio cessait d'exister, l'horodatage reste vérifiable.
Chaque élément est relié au précédent par empreinte SHA-256. Modifier un maillon invalide toute la chaîne — détection immédiate.
Vos données sont stockées sur des serveurs situés au Canada, soumis aux lois canadiennes de protection des données.
Toutes les communications sont protégées par TLS 1.3. Aucune interception possible entre vous et nos serveurs.
Pas même un employé de Signifio ou un administrateur système. L'immutabilité est technique, pas seulement organisationnelle.
La chaîne cryptographique rend toute falsification immédiatement visible. Chaque vérification confirme l'intégrité de l'ensemble.
L'horodatage TSA et les signatures sont vérifiables par quiconque, sans notre plateforme. Autonomie complète des preuves.
Hébergement dédié, aucun partage avec des services tiers, conformité loi 25 (Québec). Isolation totale des données probatoires.
Toute tentative de modification du contenu invalide la signature cryptographique. L'altération est détectable par n'importe quel vérificateur indépendant.
Les empreintes SHA-256 rendent toute altération non détectée techniquement impossible avec la puissance de calcul actuelle.
Les preuves sont stockées dans un système append-only à immutabilité structurelle. Aucun processus applicatif ne peut supprimer un fichier de preuve après création.
Même si un administrateur accédait au serveur, les preuves déjà signées et horodatées par TSA restent vérifiables indépendamment. La chaîne détecterait toute insertion ou modification.
Les preuves générées reposent sur des standards cryptographiques ouverts (SHA-256, RSA, RFC 3161). Leur validité ne dépend pas de l'existence ou de la disponibilité de Signifio.
Un tiers (avocat, expert judiciaire, juge) peut vérifier :
• Recalcul de l'empreinte SHA-256 du document
• Validation de la signature RSA avec la clé publique
• Vérification du jeton TSA auprès de l'autorité d'horodatage
• Reconstitution de la chaîne de preuve (vérification des hash précédents)
Outils standards utilisables : OpenSSL, bibliothèques cryptographiques publiques, vérificateurs TSA en ligne.
Chaque accès à un dossier probatoire est journalisé : qui, quand, quelle action. Traçabilité absolue.
Vérification globale d'intégrité chaque jour. Si un seul élément est altéré, le Merkle tree le détecte.
Les preuves sont conservées conformément aux exigences de la Loi concernant le cadre juridique des technologies de l'information.
Les données probatoires ne sont jamais partagées, analysées ou monétisées. Accès uniquement par le titulaire du compte.
En litige, la partie adverse peut contester la preuve sur plusieurs axes. Voici comment le système résiste à chaque type d'attaque :
« Le document a été modifié après envoi »
→ L'empreinte SHA-256, calculée au moment de l'envoi et signée RSA-4096, permet un recalcul indépendant. Si l'empreinte correspond, le contenu est intact. Vérifiable par n'importe quel expert.
« La date a été falsifiée »
→ L'horodatage est certifié par une autorité tierce (DigiCert TSA). Le jeton est vérifiable directement auprès du TSA, sans dépendance à Signifio.
« Signifio a pu fabriquer cette preuve après coup »
→ La chaîne cryptographique liée rend impossible l'insertion rétroactive. Chaque preuve contient le hash de la précédente. Insérer un maillon casserait tous les maillons suivants.
« Le système entier est compromis »
→ Les preuves déjà émises restent valides. Les signatures RSA et jetons TSA sont autonomes. L'intégrité de l'historique est vérifiable par Merkle tree quotidien.
Facilement falsifiables (Photoshop, inspection HTML). Aucune garantie d'intégrité. Aucun horodatage vérifiable. Preuve considérée faible par les tribunaux.
Un email peut être modifié avant transfert ou impression. Les headers sont manipulables. Pas de preuve que le contenu présenté correspond à l'original.
Un fichier stocké sur vos propres serveurs peut être modifié à tout moment. Sans signature externe et horodatage tiers, la preuve repose uniquement sur votre parole.
Si la preuve n'est vérifiable qu'au travers de la plateforme du fournisseur, elle perd sa valeur si le fournisseur disparaît ou refuse de coopérer.
Un expert judiciaire reçoit un dossier Signifio (export ZIP) à vérifier pour un litige :
Étape 1 — Extraire le manifeste SHA-256 du ZIP. Vérifier que chaque fichier correspond à son empreinte listée.
Étape 2 — Recalculer l'empreinte SHA-256 du contenu de la notification. Comparer avec l'empreinte stockée dans le fichier de preuve JSON.
Étape 3 — Valider la signature RSA-4096 avec la clé publique Signifio (disponible publiquement). Confirmer que la preuve a été émise par le système et non fabriquée.
Étape 4 — Soumettre le jeton TSA à l'autorité d'horodatage (DigiCert) pour confirmation indépendante de la date.
Étape 5 — Vérifier la chaîne : le hash du maillon N-1 dans le maillon N correspond bien au hash réel du maillon N-1.
Étape 6 — Comparer avec le Merkle root quotidien (si disponible) pour confirmer que le maillon existait dans l'arbre à la date indiquée.
Outils nécessaires : OpenSSL (ou équivalent), sha256sum, accès internet (vérification TSA). Aucune dépendance à Signifio.
Votre première communication certifiée est gratuite. Aucune carte de crédit requise.