Le tribunal administratif de Toulouse a rejeté un référé contre le CNRS, dans une affaire de marchés publics, au motif que le CNRS a pu valablement rejeter la soumission électronique de cette société car celle-ci avait signé électroniquement l'ensemble de l'archive Zip soumise et non chacun des fichiers individuellement.

De mon point de vue, pour des applications nécessitant une sécurité modérée (p.ex. pas des secrets militaires à conserver 50 ans), il n'y a pas de différence sensible de fiabilité entre signer avec un moyen de signature cryptographiquement sûr une collection de documents et signer chacun de ces documents. La seule différence technique appréciable est qu'en cas de signature d'une archive, il est impossible de vérifier individuellement l'authenticité de chaque fichier : il faut disposer de l'archive entière. Ceci peut être gênant dans certains contextes d'utilisation (p.ex. si pour des raisons de confidentialité, certains des documents ne doivent pas être adressés à certains services qui doivent pourtant vérifier l'authenticité de ceux qui les concernent).

Cette décision suscite une question amusante : celle des fichiers OpenDocument (les fameux .odt, .ods, etc. manipulés par OpenOffice ou LibreOffice, format normalisé par norme ISO). Ceux-ci sont des archives Zip (plus exactement, Jar) stockant dans des fichiers différents le texte du document, les styles, les images et autres objets inclus. Faut-il signer séparément chacun des fichiers ? :-)

PS Je ne vais pas blâmer les juristes : ils doivent débrouiller par rapport à la vie réelle un maquis de lois et réglements adoptés à d'autres époques, parfois pour répondre à des problèmes d'actualité, et sans grand souci de cohérence. Quand on voit ce que l'on fait avec les normes en informatique, et nos architectures matérielles et logicielles qui sont en grande partie conçues pour émuler les machines d'il y a 20, 30 voire 40 ans...