Attestation CO₂e — Vérification technique

Guide de vérification technique

Cette page fournit une explication complète, au niveau implémentation, de la manière de vérifier techniquement une attestation CO₂e Certif-Scope. Elle s’adresse aux développeurs, auditeurs, équipes sécurité et relecteurs techniques nécessitant une vérification hors ligne, indépendante et reproductible.

1. Vue d’ensemble du modèle de vérification

Cette section explique le modèle global de vérification utilisé par Certif-Scope. Elle définit ce qu’est une attestation, comment la confiance est établie, et pourquoi la vérification peut être réalisée de manière indépendante, hors ligne, et sans service externe.

Une attestation CO₂e Certif-Scope est émise sous la forme d’un document PDF signé numériquement. Le fichier PDF constitue l’unique objet de vérification. Aucun registre en ligne, aucune API, aucune blockchain et aucune base externe ne sont requis.

La vérification repose sur une signature cryptographique déterministe appliquée au moment de l’émission. Toute modification du document — même un seul octet — invalide la signature.

Le modèle de vérification évite volontairement toute dépendance à l’infrastructure Certif-Scope après l’émission. Cela garantit que :

  • Le document reste vérifiable même si Certif-Scope est indisponible
  • La vérification peut être effectuée hors ligne
  • Aucune donnée personnelle ou financière n’a besoin d’être interrogée
  • Aucun compte ni autorisation n’est nécessaire pour les tiers

La confiance est établie via une clé publique unique de vérification publiée par Certif-Scope. Cette clé permet à toute partie de vérifier que :

  • L’attestation a bien été émise par Certif-Scope
  • Le contenu n’a pas été altéré depuis l’émission
  • L’ID d’attestation correspond à la charge utile signée

Important : la vérification confirme l’authenticité et l’intégrité du document. Elle ne valide pas les données économiques fournies par l’utilisateur et ne constitue ni un audit, ni une mission d’assurance, ni une évaluation de conformité réglementaire.

2. Fondements cryptographiques

Cette section décrit les primitives cryptographiques utilisées pour sécuriser les attestations Certif-Scope. Elle explique les algorithmes impliqués, leur rôle dans le processus de vérification, ainsi que les raisons de leur sélection.

Chaque attestation Certif-Scope est protégée par cryptographie asymétrique. Cela permet à l’émetteur de signer un document avec une clé privée, tandis que tout tiers peut vérifier cette signature à l’aide de la clé publique correspondante.

Le système cryptographique est volontairement simple, déterministe et basé sur des standards largement adoptés afin de garantir une vérifiabilité à long terme et une interopérabilité maximale.

Algorithmes utilisés

  • Fonction de hachage : SHA-256, utilisée pour produire une empreinte de taille fixe à partir de la charge utile canonique.
  • Algorithme de signature : Ed25519, utilisé pour signer l’empreinte et garantir l’authenticité et l’intégrité.
  • Encodage : Base64 pour la représentation de la clé publique et de la signature.

Ces algorithmes ont été sélectionnés car ils sont :

  • Cryptographiquement robustes et largement audités
  • Efficaces et adaptés à une vérification hors ligne
  • Supportés par les bibliothèques cryptographiques courantes
  • Stables et peu susceptibles d’être dépréciés à court terme

Modèle de signature déterministe

Certif-Scope utilise une approche de signature déterministe. Une même charge utile canonique produira toujours la même empreinte et le même identifiant d’attestation. Cela garantit la reproductibilité et rend la vérification indépendante de tout état côté serveur.

Note de sécurité : la clé privée de signature n’est jamais intégrée dans le PDF, jamais transmise et jamais exposée. Seules la signature générée et la clé publique de vérification sont nécessaires pour effectuer la vérification.

La couche cryptographique garantit que toute modification du contenu du document — y compris les métadonnées, les valeurs ou le formatage affectant la charge signée — invalidera la signature lors de la vérification.

3. Structure des données signées

Cette section définit précisément quelles données sont signées cryptographiquement dans une attestation Certif-Scope. La compréhension de cette structure est essentielle pour vérifier correctement l’intégrité et l’authenticité du document.

Certif-Scope ne signe pas l’intégralité du fichier PDF de manière arbitraire. Le système signe une charge utile canonique : une structure de données strictement définie et normalisée, extraite du contenu de l’attestation.

Cette approche garantit une vérification déterministe, indépendante des différences de rendu du PDF, et reproductible sur différentes plateformes et langages de programmation.

Définition de la charge utile canonique

La charge utile canonique est un objet JSON avec des clés fixes, un ordre fixe et des valeurs normalisées. Toute modification de la structure, de l’ordre ou du format des valeurs produit une empreinte différente et invalide la signature.

{
  "issuer": "Certif-Scope",
  "standard": "CS-SB-v1",
  "attestationId": "CS-2026-XXXXXXXX",
  "companyName": "Example Company",
  "country": "FR",
  "year": "2026",
  "totalCO2e": "15.2",
  "issuedDate": "2026-01-25T14:32:10.000Z"
}

Toutes les valeurs sont traitées comme des chaînes de caractères dans la charge utile canonique, y compris les valeurs numériques. Cela évite toute ambiguïté liée aux représentations flottantes ou aux formats régionaux.

Processus de hachage

La charge utile canonique est sérialisée en UTF-8 puis hachée avec SHA-256. L’empreinte obtenue représente l’état exact des données signées.

Toute modification portant sur :

  • les valeurs des champs,
  • les noms des champs,
  • l’ordre des champs,
  • les espaces ou l’encodage,

produira une empreinte différente et entraînera l’échec de la vérification de la signature.

Relation avec le document PDF

La charge signée correspond à des champs visibles du document PDF (émetteur, entité, année, total CO₂e, identifiant d’attestation et date d’émission).

Les éléments visuels, la mise en page, les polices ou les textes explicatifs non signés ne font pas partie de la charge utile canonique et n’affectent pas la vérification tant que les données signées restent inchangées.

Important : l’identifiant d’attestation est dérivé de l’empreinte cryptographique de la charge utile canonique. Toute incohérence entre l’identifiant affiché et les données signées indique une altération du document ou une attestation invalide.

Cette séparation stricte entre les données signées et leur présentation garantit une vérifiabilité à long terme, même si les moteurs de rendu PDF ou les mises en page évoluent dans le temps.

4. Clé publique et modèle de confiance

Cette section explique comment la confiance est établie dans les attestations Certif-Scope et comment la clé publique de vérification permet de valider l’authenticité sans dépendre d’un service en ligne.

Certif-Scope utilise un modèle cryptographique asymétriquebasé sur l’algorithme de signature numérique Ed25519.

Dans ce modèle, les attestations sont signées à l’aide d’une clé privée détenue exclusivement par Certif-Scope, tandis que la vérification est effectuée à l’aide d’une clé publique correspondante, librement distribuée.

Rôle de la clé publique

La clé publique permet à tout tiers de vérifier que :

  • L’attestation a bien été émise par Certif-Scope
  • Les données signées n’ont pas été modifiées depuis l’émission
  • La signature correspond exactement à la charge utile signée

La clé publique ne permet pas de générer de nouvelles attestations ni de créer des signatures. Elle est utilisée uniquement pour la vérification.

Immutabilité de la clé et continuité

Certif-Scope fonctionne avec une clé publique de vérification unique et durable. Cette clé est :

  • publiquement accessible,
  • non révoquée pour les attestations déjà émises,
  • valide pour une vérification hors ligne et dans le temps.

Une fois l’attestation émise, sa vérifiabilité ne dépend plus du fonctionnement continu des serveurs, API ou bases de données Certif-Scope.

Principe de conception : un tiers doit pouvoir vérifier une attestation plusieurs années après son émission, uniquement avec le fichier PDF et la clé publique, même si Certif-Scope n’existe plus.

Établissement de la confiance

La confiance dans une attestation Certif-Scope repose sur :

  • la confiance initiale dans Certif-Scope en tant qu’émetteur,
  • la vérification indépendante de la signature via la clé publique,
  • la cohérence entre les données signées et les informations visibles du document.

Certif-Scope n’opère pas d’autorité de certification (CA), de registre public ni de liste de révocation. Le modèle est volontairement simple et transparent.

Ce que la clé publique ne garantit pas

Il est essentiel de distinguer l’authenticité technique de la validité du contenu.

  • La clé publique vérifie l’intégrité du document
  • Elle ne valide pas l’exactitude des données d’entrée
  • Elle ne certifie pas la conformité réglementaire
  • Elle ne remplace pas un audit ou une mission d’assurance

Ces limites sont explicites et intentionnelles afin de garantir un mécanisme de vérification robuste, auditable et sans ambiguïté.

5. Ce qui est vérifié (et ce qui ne l’est pas)

Cette section définit précisément le périmètre de la vérification technique d’une attestation CO₂e Certif-Scope. Elle clarifie ce que la vérification cryptographique garantit — et ce qu’elle ne couvre pas volontairement.

Éléments vérifiés cryptographiquement

Lorsqu’une attestation Certif-Scope est vérifiée à l’aide de la clé publique et de la signature numérique, les éléments suivants sont strictement vérifiés :

  • Intégrité du document : le contenu du PDF n’a pas été modifié depuis sa signature
  • Authenticité de l’émetteur : l’attestation a été émise par Certif-Scope à l’aide de sa clé privée
  • Cohérence des données : la charge utile signée correspond aux données visibles dans le document (nom de l’entreprise, année, valeur CO₂e, identifiant d’attestation, date d’émission)
  • Identifiant d’attestation : l’Attestation ID est cryptographiquement lié aux données signées

Ces garanties sont objectives, reproductibles et indépendantes de tout système ou base de données en ligne.

Éléments non vérifiés

Le processus de vérification ne cherche volontairement pas à valider les éléments suivants :

  • L’exactitude ou l’exhaustivité des données financières saisies
  • La validité de l’activité ou du secteur déclaré
  • L’exhaustivité des sources d’émissions
  • La conformité aux cadres CSRD, ESRS ou autres réglementations
  • La cohérence avec des inventaires Scope 1, 2 ou 3
  • L’existence d’un audit ou d’une assurance tierce

Ces exclusions ne constituent pas une limite technique, mais des frontières fonctionnelles intentionnelles alignées avec l’usage prévu de l’attestation.

Nature indicative et non réglementaire

Les attestations Certif-Scope représentent une estimation CO₂e indicative basée sur les dépenses. Elles sont conçues pour répondre à des demandes d’information standardisées, et non pour remplacer un reporting réglementaire ou un bilan carbone audité.

Distinction importante : une attestation peut être techniquement authentique et vérifiable tout en restant non réglementaire et non auditée. Ces deux notions doivent être clairement distinguées.

Pourquoi ces limites existent

La définition explicite du périmètre de vérification permet :

  • de garantir une vérification objective et reproductible,
  • d’éviter toute implication réglementaire implicite,
  • de prévenir les mauvaises interprétations par des tiers,
  • d’assurer un usage sûr dans les processus de procurement et de due diligence.

Ce cadrage explicite constitue une condition essentielle pour l’acceptabilité institutionnelle et la confiance à long terme.

6. Flux de vérification

Cette section décrit les flux pratiques de vérification utilisés par différents types d’utilisateurs. Tous reposent sur les mêmes garanties cryptographiques, mais diffèrent par les outils utilisés et le niveau de technicité requis.

Vue d’ensemble des modes de vérification

Certif-Scope prend en charge plusieurs modes de vérification afin de permettre une adoption large par des utilisateurs non techniques, des institutions et des équipes techniques.

  • Vérification standard via lecteur PDF (achats, banques, assurances)
  • Vérification cryptographique manuelle (auditeurs, équipes sécurité)
  • Vérification automatisée ou scriptée (développeurs, systèmes de conformité)

Flux A — Validation standard de la signature PDF

Il s’agit du flux principal pour la majorité des destinataires d’une attestation.

  1. Ouvrir le fichier PDF dans un lecteur PDF standard
  2. Accéder au panneau de signature numérique
  3. Valider la signature
  4. Vérifier que le document est indiqué comme « signé et non modifié »

Le lecteur PDF effectue automatiquement les vérifications cryptographiques à partir de la signature intégrée et des informations de clé publique.

Ce flux est suffisant pour confirmer l’authenticité et l’intégrité du document dans les contextes de procurement, bancaire, assurantiel ou de due diligence.

Flux B — Vérification cryptographique manuelle

Ce flux est destiné aux utilisateurs avancés souhaitant contrôler explicitement le processus de vérification.

Étapes typiques :

  1. Extraction de la charge utile signée depuis le PDF
  2. Extraction de la signature numérique
  3. Recalcul du hash du payload canonique
  4. Vérification de la signature Ed25519 avec la clé publique

Ce processus est entièrement hors ligne et reproductible sur toutes les plateformes.

Flux C — Vérification automatisée ou scriptée

Pour les organisations traitant un volume important d’attestations, la vérification peut être automatisée via des scripts ou des outils internes.

Caractéristiques principales :

  • Aucune dépendance aux serveurs Certif-Scope
  • Vérification par lot possible
  • Résultats déterministes
  • Intégration possible dans des pipelines internes ou d’audit

Des exemples d’implémentation en Python, Node.js et en ligne de commande sont présentés dans la section suivante.

Pourquoi plusieurs flux sont supportés

La coexistence de plusieurs modes de vérification permet :

  • une vérification simple pour les utilisateurs non techniques,
  • un contrôle complet pour les institutions,
  • une intégration technique sans dépendance fournisseur,
  • une vérification possible même en absence d’infrastructure Certif-Scope.

Tous les flux reposent sur la même vérité cryptographique, seuls les outils et l’interface diffèrent.

7. Vérification pas à pas (CLI & code)

Cette section fournit des instructions concrètes et reproductibles pour vérifier une attestation Certif-Scope de bout en bout à l’aide d’outils en ligne de commande et d’exemples de code. Ces étapes s’adressent aux auditeurs, développeurs et équipes conformité.

Pré-requis

  • Le PDF original de l’attestation
  • Un accès à un terminal (Linux, macOS, Windows ou Termux)
  • Un outillage crypto standard (OpenSSL ou équivalent)
  • La clé publique de vérification Certif-Scope

Toutes les étapes sont réalisables hors ligne. Aucun accès réseau aux systèmes Certif-Scope n’est requis.

Étape 1 — Obtenir le PDF original

Vérifiez que vous travaillez sur le PDF original tel qu’il a été délivré. Toute modification, re-sauvegarde, optimisation ou conversion peut invalider la signature.

Étape 2 — Vérifier avec un lecteur PDF standard

Ouvrez le PDF dans un lecteur prenant en charge les signatures numériques (ex. Adobe Acrobat, Foxit).

  • Ouvrir le panneau « Signature » ou « Sécurité »
  • Confirmer que le document est indiqué comme signé
  • Vérifier que le statut de signature est « valide »

Cette étape confirme l’authenticité (émetteur) et l’intégrité (contenu non modifié) selon le lecteur PDF.

Étape 3 — Contrôle d’intégrité par hash (exemple CLI)

Pour un contrôle explicite d’intégrité, vous pouvez calculer le hash SHA-256 du fichier local et le comparer à l’empreinte affichée dans l’attestation (si elle est imprimée dans le document).

Exemple (comparaison de hash) :

# Calculer le hash SHA-256 du PDF
sha256sum certif-scope-attestation.pdf

Comparez le résultat avec l’empreinte attendue indiquée par le document / le système de référence.

Un hash identique confirme l’intégrité du fichier, mais ne prouve pas à lui seul l’authenticité de l’émetteur. La validation de signature est nécessaire pour une vérification complète.

Étape 4 — Vérification cryptographique de la signature (avancé)

La vérification avancée consiste à vérifier la signature Ed25519 par rapport au payload canonique et à la clé publique Certif-Scope.

Ce flux implique généralement :

  • Extraire le payload signé depuis le PDF
  • Récupérer et décoder la signature (Base64)
  • Vérifier la signature avec la clé publique

L’implémentation peut se faire en Python, Node.js, ou via des outils crypto dédiés, selon vos exigences d’audit interne.

Exemple — Vérification en Python (conceptuel)

from nacl.signing import VerifyKey
import base64

public_key_b64 = "MCowBQYDK2VwAyEAbKp2pg4wmzE5Kqo9tEwv7JJjxQyT2cBmwiLLHp4cSac="
verify_key = VerifyKey(base64.b64decode(public_key_b64))

payload = b"...octets du payload canonique..."
signature = base64.b64decode("...signature...")

verify_key.verify(payload, signature)

Si la vérification réussit, cela confirme que le payload a été signé par Certif-Scope et qu’il n’a pas été altéré.

Notes pour Termux et environnements mobiles

Les mêmes étapes s’appliquent dans Termux sur Android :

  • Transférer le PDF sur l’appareil
  • Installer les paquets nécessaires (openssl, python, libsodium)
  • Exécuter les mêmes contrôles de hash et de signature

Les résultats de vérification sont identiques sur toutes plateformes.

Résultat de la vérification

Une attestation entièrement vérifiée confirme :

  • Le document a été émis par Certif-Scope
  • Le contenu n’a pas été modifié
  • L’identifiant d’attestation est authentique
  • La vérification est indépendante et réalisable hors ligne

Aucun service en ligne ni hypothèse de confiance additionnelle n’est requis pour réaliser la vérification.

8. Hypothèses de sécurité & modèle de menace

Cette section définit explicitement les hypothèses de sécurité, le modèle de menace et les limites de confiance applicables aux attestations CO₂e Certif-Scope. Elle précise ce que le système protège, ce qu’il ne protège pas et comment interpréter la vérification dans un contexte institutionnel.

Hypothèses de sécurité fondamentales

  • La clé privée de signature Certif-Scope reste confidentielle et n’est pas compromise.
  • La clé publique de vérification publiée par Certif-Scope est authentique et n’a pas été substituée.
  • Les primitives cryptographiques standard (Ed25519, SHA-256) restent sûres face aux attaques pratiques.
  • Les vérificateurs travaillent sur le PDF original sans modification.

Ces hypothèses sont explicites et vérifiables. Aucune confiance implicite dans une infrastructure, une base de données ou une API Certif-Scope n’est requise.

Limites de confiance

Certif-Scope établit une frontière de confiance stricte au niveau du document PDF signé :

  • Le PDF est l’unique objet de confiance
  • Aucun registre en ligne ni endpoint de validation n’est autoritatif
  • La vérification ne dépend pas de la disponibilité de Certif-Scope

Une fois émise, l’attestation existe indépendamment de l’émetteur.

Modèle de menace

Les scénarios suivants sont explicitement considérés :

  • Modification du contenu du PDF après émission
  • Falsification d’une attestation via des données altérées
  • Rejeu ou réutilisation d’une attestation déjà émise
  • Usurpation ou confusion de l’identité de l’émetteur

Ces attaques sont mitigées par la signature cryptographique du payload de l’attestation.

Menaces hors périmètre

Les risques suivants sont volontairement hors périmètre et ne sont pas mitigés par le système d’attestation :

  • Données d’entrée incorrectes ou trompeuses fournies par l’utilisateur
  • Fraude comptable ou données d’activité fausses à la source
  • Interprétation erronée des résultats par des tiers
  • Usage réglementaire ou marketing au-delà du périmètre déclaré

La vérification cryptographique garantit l’intégrité et l’authenticité, pas l’exactitude factuelle des données métier sous-jacentes.

Gestion des clés et rotation

Certif-Scope utilise une clé de signature d’émetteur par version d’émission.

  • La clé publique est publiée et immuable pour une version donnée
  • Une rotation de clé implique une nouvelle version d’attestation
  • Les attestations anciennes restent vérifiables indéfiniment

Ce modèle empêche tout changement silencieux de confiance et préserve la vérifiabilité long terme.

Interprétation en contexte institutionnel

Pour les achats, banques, assureurs et auditeurs, la vérification confirme :

  • Le document est authentique et non altéré
  • L’émetteur est identifiable de manière unique
  • L’attestation correspond à un événement d’émission spécifique

La vérification n’implique pas une conformité réglementaire, une assurance d’audit, ni une exhaustivité du reporting des émissions.

Ce modèle de menace explicite vise la transparence, l’auditabilité et l’acceptabilité dans des contextes institutionnels et conformité européens.

Vérification technique — Attestation CO₂e | Certif-Scope