Enquête sur un PDF manipulé

 (mjg59.dreamwidth.org)
2 points par GN⁺ 2025-09-28 | 1 commentaires | Partager sur WhatsApp
  • En Californie, un litige a éclaté parce que l’obligation de restituer la caution sous 21 jours et de notifier une inspection préalable n’a pas été respectée, et comme le bail ne contenait pas les informations du propriétaire, la communication s’est d’abord faite avec l’agence (International Executive Rentals)
  • L’agence a affirmé qu’elle ne conservait pas la caution et a envoyé une copie du contrat, mais ce document faisait apparaître une contradiction entre la clause principale indiquant que « la caution est conservée sur le compte fiduciaire d’IER » et un avenant (Addendum), ce qui a éveillé des soupçons
  • La page de certification apposée par la plateforme de signature RightSignature affichait le même checksum, mais l’analyse des métadonnées PDF a révélé des différences de date de modification, de balises d’identifiant (ID0/ID1) ainsi qu’une incohérence de fuseau horaire, montrant des indices d’édition a posteriori
  • Le démontage et la comparaison de la structure interne du PDF ont mis en évidence sur la page 3 la balise touchUp_TextEdit et un changement dans la convention de nommage des polices, ainsi qu’un renommage de la police Courier utilisée lors de l’insertion de la signature, fournissant des indices prouvant une édition après signature
  • La vérification, via les outils de développement, de la concordance entre le fichier base.pdf original et l’« Original checksum » a montré que l’avenant n’existait pas à l’origine ; même pendant un partage d’écran, la date d’upload et la présence de deux entrées Draft/Completed ont renforcé l’hypothèse d’une manipulation possible

Contexte de l’affaire et cadre juridique

  • Bien qu’il s’agisse d’une location de courte durée, les règles californiennes de protection des locataires s’appliquent, avec un délai légal de 21 jours pour restituer la caution et l’obligation de notifier une inspection avant le départ
    • Le bailleur est la partie responsable de la conservation et de la restitution de la caution ; l’agence n’assume pas cette responsabilité au plan légal
    • L’absence du nom et de l’adresse du bailleur dans le contrat a toutefois créé une situation où seule l’agence pouvait être contactée valablement
  • Le dirigeant de l’agence a envoyé un e-mail affirmant que « nous ne conservons pas la caution », mais le contrat joint contenait à la fois une clause indiquant que IER la conserve et un Addendum stipulant que la caution est conservée par le bailleur, d’où une contradiction manifeste

Le document litigieux et les clauses contradictoires

  • Clause principale : une mention de conservation institutionnelle indiquant que la caution… est conservée sur l’IER Trust Account
  • Zone de case à cocher en bas de page : via Addendum 1, une case cochée indique que la caution est conservée par le bailleur
    • Dans la copie détenue par l’auteur, Addendum 1 est vide, tandis que dans la copie fournie par l’agence, il est coché et rempli

Forensique 1 : comparaison des métadonnées PDF

  • Outil : extraction de CreationDate/ModDate et ID0/ID1 avec pdftk dump_data
    • Copie de l’auteur : date de création et de modification identiques, en UTC, avec ID0=ID1
    • Copie de l’agence : même date de création, mais une date de modification correspondant au lundi récent, avec mention PDT, ID0 identique mais ID1 différent
  • Interprétation : ID0 est attribué à la création initiale et reste inchangé, tandis que ID1 change en cas de modification ; cela étaye l’idée d’un même original modifié ultérieurement

Forensique 2 : comparaison structurelle page par page

  • Outil : décomposition des objets et diff avec pdfalyzer
    • Les différences se concentrent uniquement sur la page 3, les autres pages ayant une structure identique
    • La présence de la balise touchUp_TextEdit sur la page 3 permet d’identifier une trace d’édition Acrobat
  • Objection possible : il pourrait s’agir d’une édition avant signature, par exemple pour insérer le nom du bailleur, ce qui impose de trouver un indice plus décisif

Forensique 3 : convention de nommage des polices et datation de la signature

  • Les polices de la plupart des pages suivent une convention de nommage cohérente, alors que seule la page 3 adopte un renommage typique d’Acrobat
  • La police Courier insérée par RightSignature à la finalisation de la signature porte le même nom dans tout le document, sauf sur la page 3 où la convention diffère
    • Comme Courier n’existe qu’après la signature, ce renommage sur la page 3 indique une édition postérieure à la signature

Forensique 4 : récupération du fichier original avant signature

  • Le base.pdf de RightSignature a été localisé et téléchargé via l’onglet réseau du visualiseur (F12)
    • Son sha256sum correspond exactement à l’Original checksum de la page de certification, et il s’agit de l’original sans Addendum
  • Preuve décisive : malgré une page de certification conçue de manière peu vérifiable, la correspondance entre l’original interne à la plateforme et le checksum démontre que l’avenant n’était pas présent dans l’original

Arguments de l’agence et éléments supplémentaires

  • Agence : elle soutient que « RightSignature re-scelle le document à chaque téléchargement », ce qui expliquerait l’apparence d’une modification
    • Mais les changements de fuseau horaire, de ID1, les différences structurelles limitées à la page 3 et la modification du nommage des polices après signature ne sont pas compatibles avec cette explication
  • Éléments visibles pendant le partage d’écran : « Uploaded: 09/22/25 », présence du bouton Send for signature, et deux entrées Draft/Completed
    • Le document Completed ne contient pas d’Addendum, tandis que le document Draft en contient un, ce qui renforce les soupçons

Motivation supposée et risques

  • Hypothèse : après avoir réalisé que la mention « conservée par IER » pouvait engager sa responsabilité dans la restitution de la caution, l’agence aurait pu tenter d’insérer l’Addendum après coup
    • En voulant éviter une responsabilité civile potentiellement limitée, elle s’exposerait au risque bien plus grave d’une falsification de document
    • Même si la responsabilité juridique finale incombe au bailleur, une manipulation documentaire peut créer un risque juridique distinct

Enseignements pratiques et conseils de réponse

  • Lors de l’utilisation d’une plateforme de signature électronique, il devient important de conserver hors ligne l’original (base.pdf) et son checksum immédiatement après signature
  • Points clés de forensique PDF
    • Vérifier le fuseau horaire et la synchronisation des horodatages de création/modification
    • Comparer ID0/ID1 pour estimer l’historique des modifications
    • Détecter les diff par page, les balises d’édition (touchUp_TextEdit) et les changements de convention de nommage des polices
  • À l’argument selon lequel « la plateforme re-scelle les documents », on peut répondre par une validation croisée entre l’original de la plateforme et le checksum de certification
    • L’onglet réseau des outils de développement peut permettre de récupérer l’original avant signature, ce qui peut constituer la preuve décisive

À lire aussi

1 commentaires

 
GN⁺ 2025-09-28
Avis Hacker News

  • Recommande de contacter le High Technology Theft Apprehension and Prosecution Program de Californie, l’Internet Crime Complaint Center du FBI, ainsi que la Financial Crimes Unit de San Francisco ; comme RightSignature a été racheté par Citrix, cela vaut aussi la peine d’en informer Citrix ; les faits semblent clairement en votre faveur, donc il y a de bonnes chances d’aboutir même sans frais d’avocat, et une demande de dommages-intérêts serait aussi envisageable (High Technology Theft Apprehension and Prosecution Program, Internet Crime Complaint Center, Financial Crimes Unit, article sur l’acquisition par Citrix, infos sur le GC de Citrix)

    • Il s’agit très probablement d’une affaire pénale ; l’État mènera directement la procédure répressive, et il serait aussi possible d’engager une action civile ; avec un avocat, cela peut prendre un peu de temps, mais il devrait être tout à fait possible d’obtenir une indemnisation raisonnable sans coût supplémentaire, avec en plus un véritable enjeu de sanction

    • Si cela est arrivé à une personne, cela a probablement touché bien d’autres gens aussi ; en enquêtant suffisamment, une action collective semblerait envisageable

  • C’est pour cela que les documents importants doivent être établis en trois exemplaires — un pour chaque partie, et une troisième copie détenue par le notaire ; c’est le rôle d’un service de signature de documents, et il arrive très rarement qu’il faille témoigner pour dire qui détient la copie authentique ; quand je travaillais dans une société similaire, je n’ai entendu parler que d’un seul litige sur une signature, et jamais d’un litige sur le contenu ; même si le fonctionnement d’un hash me paraît clair, un juge peut ne pas comprendre les aspects techniques, donc au final l’entreprise doit prendre position officiellement

    • Cette pratique des trois exemplaires remonte au moins aux contrats en indenture du XIVe siècle ; le mot « indenture » vient de la découpe en dents irrégulières ; on recopiait le document à la main trois fois, on le signait dans son ensemble puis on le découpait ; cela rendait la duplication difficile, et l’usage de capitales latines au milieu du texte compliquait aussi la falsification ; si deux exemplaires ne correspondaient pas, c’est que quelqu’un mentait ; ce troisième exemplaire était conservé chez l’officier public afin de déterminer qui disait vrai ; les contrats d’indentured servant fonctionnaient aussi de cette manière

    • C’est précisément pour cela que RightSignature n’est pas un service auto-hébergé bon marché, mais un SaaS coûteux ; l’essentiel est de fournir un tiers capable d’attester qui a signé quelle version

    • Je comprends enfin l’explication des trois exemplaires, ça répond à une question que je me posais ; j’avais été trop occupé pour chercher jusque-là

  • Cela me rappelle un billet où Gwern se demandait pourquoi les gens n’essayaient pas plus souvent ce genre de chose (blog de Gwern : réflexions sur la falsification de PDF)

    • Je pense que le cas de l’OP répond précisément à cette question ; il est choquant qu’une falsification ait pu passer par un service d’authentification, et pour enquêter correctement sur une situation pareille et le prouver, il faut quelqu’un de très compétent en logiciel et en forensic, passant par d’innombrables étapes de vérification, pour y parvenir à grand-peine ; et malgré cela, il n’y a encore eu ni accord ni condamnation ; comme dans l’affaire Craig Wright, même une simple modification ou antidatation demande une expertise forensic considérable, alors qu’éditer un PDF original peut se faire en cinq minutes par un débutant

    • Gwern semblait surtout s’intéresser à la falsification de documents publics, comme des PDF d’articles ; dans ce cas, il vaut mieux créer un nouveau PDF pour empêcher toute comparaison avec l’original, mais pour des documents officiels servant de preuve juridique, il faut au contraire les falsifier de façon aussi identique que possible à l’original pour ne pas se faire repérer ; cela dit, ce type de document n’est généralement pas publié sur Internet

    • À la question « pourquoi n’existe-t-il pas de Photoshop pour PDF », la réponse est Xournal++

  • J’ai vécu quelque chose de similaire récemment ; j’ai passé un an au Portugal, et un agent immobilier a modifié des factures d’électricité et d’eau pour me fournir de faux PDF ; j’ai découvert la falsification grâce aux métadonnées du PDF, mais je ne suis pas allé plus loin et j’ai simplement récupéré mon argent ; j’ai aussi appris que les métadonnées pouvaient être réécrites facilement ; je me demande comment se protéger en toute sécurité contre ce type de problème

    • Une solution consiste à utiliser des factures électroniques avec signature numérique ; par exemple, Factur-X en France (appelé ZUGFeRD en Allemagne) intègre dans le PDF des données XML signées ; cela permet de vérifier facilement si l’émetteur de la facture est bien le bon ; plusieurs pays européens adoptent ce système pour le traitement de la TVA, et des données de signature lisibles par machine sont bien plus fiables que des documents papier ; une autre mesure consiste à signaler ce genre de cas pour que les personnes concernées soient poursuivies pour fraude

    • Les juristes ont la réponse depuis des siècles : tous les documents doivent exister en plusieurs exemplaires, conservés par chaque partie au moment de la signature ; moi aussi je reçois les contrats en double, les deux parties les signent, puis chacune conserve son exemplaire ; c’est pareil en cas de modification ; chacun est responsable de la conservation de sa copie, et ce processus doit aussi s’appliquer au numérique

  • Dans un cas comme celui-ci, j’aurais l’impression qu’il faudrait poursuivre pour fraude fondée sur l’utilisation d’un document falsifié ; même si cela n’a pas marché contre vous, il peut y avoir de nombreuses autres victimes du même procédé

    • Si vous ne voulez pas vous battre pour les autres locataires, vous pouvez au moins « menacer » d’intenter une action ; cela pourrait pousser l’agent immobilier à révéler les informations du propriétaire ou à restituer la caution

    • L’objectif final est de récupérer la caution qui doit être restituée, ou d’obtenir une réparation civile liée à une wire-fraud (fraude pénale)

  • Il semble y avoir des preuves claires sur le site de RightSignature, mais il faudrait aussi un moyen de vérifier l’authenticité d’un document même si le site disparaît ; la page de vérification actuellement fournie devient inutile si le site n’existe plus

    • Si cela paraît difficile, c’est parce que la page de vérification est incluse dans le PDF, mais qu’elle ne peut pas contenir son propre hash ou sa propre signature ; un hash seul ne suffit pas non plus, puisqu’on peut modifier le fichier et changer le hash en même temps ; il faudrait un moyen d’extraire une charge utile explicitement signée, mais RightSignature n’a pas été conçu sur une base cryptographique et il faudrait le repenser entièrement

    • Le format PDF prend lui-même en charge la vérification de signature, et Adobe Reader le reconnaît ; DocuSign utilise cette approche, et on peut voir directement la version signée dans Reader (guide Adobe sur les documents signés, aperçu de signature : exemple Adobe Reader)

  • Je suis très curieux de savoir s’il y a eu une conclusion concernant l’agence de location

    • Il ne s’est encore rien passé ; une plainte officielle est en cours auprès du service compétent en matière immobilière, et je n’ai plus eu de réponse de l’agence

  • Je pense qu’il est pratiquement impossible de fabriquer délibérément une collision sha256 ; même SHAttered a nécessité l’équivalent de 110 années de puissance GPU sur SHA-1 ; il me semble plus probable que RightSignature ait simplement téléversé le mauvais document par erreur, par exemple en sélectionnant le mauvais fichier ou en mettant en ligne une version incorrecte par inadvertance puis en se trompant sur ce qu’elle était

    • L’OP précise clairement dans son billet que ce brouillon a été téléversé bien plus tard, donc cela ne peut pas être une simple confusion ; et si quelqu’un avait délibérément remis en ligne une nouvelle version, je ne vois pas quelle intention rationnelle il pourrait y avoir à republier une version modifiée après que le bail signé a déjà été entièrement finalisé

    • Le hash effectivement utilisé pour la signature correspond au document original — la version sans signature du locataire et sans clause frauduleuse ajoutée — et ne correspond à aucune autre version

  • À ce stade, l’agence n’a que deux options : (A) restituer immédiatement la caution de son propre chef, puis, si l’agent n’était qu’un intermédiaire, se retourner ensuite contre le propriétaire ; (B) fournir toutes les informations sur le propriétaire et exiger clairement de lui la restitution légale ; l’aspect falsification de PDF et le bras de fer avec l’agence sont intéressants, mais l’objectif reste la récupération de la caution

  • J’ai essayé d’y accéder, mais j’obtiens une erreur 403 (lien Web Archive)

    • Moi, non plus