RFC 3161, eIDAS, blockchain, NTP : démêler le vrai du marketing.
Un créateur m'a montré un jour son « certificat d'horodatage ». Il était fier. Le service avait fermé six mois plus tôt. Vous avez horodaté votre fichier. Bien. Mais si on vous demande de le prouver devant un juge, que se passe-t-il vraiment ?
Vous cherchez à protéger une création, un contrat, un document important. Vous tombez sur des services qui promettent « horodatage qualifié », « tiers de confiance indépendant », « norme internationale », « blockchain certifiée ». Tout ça sonne sérieux. Mais ces arguments se valent-ils ? Peut-on leur faire confiance de la même façon ?
Pas vraiment. Voici pourquoi.
Le problème de base : prouver qu'un document existait à une date précise
Rappelons le besoin fondamental avant de parler technologie. Vous voulez prouver qu'un fichier (un texte, un dessin, un contrat, un code source) existait bien à telle date, sous telle forme, et que personne n'y a touché depuis.
C'est ce qu'on appelle une preuve d'antériorité.
Le défi est simple : n'importe qui peut modifier la date de son ordinateur et créer un fichier « daté » d'il y a dix ans. Il faut donc un tiers, une entité extérieure et indépendante, qui atteste que ce fichier existait bien à cette date précise.
La question est : quel tiers ? Et quelle est sa valeur réelle ?
Les quatre grandes familles de solutions
1. L'horodatage via NTP : l'horloge, rien que l'horloge
NTP (Network Time Protocol) est le protocole que votre ordinateur utilise en ce moment même pour synchroniser son horloge. Des sources de référence (l'Observatoire de Paris, le PTB en Allemagne, le NIST aux États-Unis) diffusent l'heure exacte sur internet.
Certains services mettent ça en avant comme argument de fiabilité. C'est vrai que ces sources sont précises. Mais précis ne veut pas dire prouvable.
NTP dit simplement « il est 14h32 et 18 secondes ». Il ne signe rien, ne certifie rien, ne génère aucun document vérifiable. N'importe qui peut consulter un serveur NTP, noter l'heure, et écrire ce qu'il veut à côté. Ça ne prouve pas que votre fichier existait à ce moment. Ça prouve juste que quelqu'un a regardé une horloge.
NTP est un composant technique de synchronisation. Utile en coulisses, nul comme preuve. Un service qui l'agite comme argument de confiance vous vend de l'horlogerie, pas de la certification.
Quand un service met en avant l'Observatoire de Paris ou le PTB, posez la question directement : qu'est-ce qui me prouve, concrètement, que vous avez bien enregistré mon fichier à cette heure-là ? La réponse est non.
2. Le RFC 3161 : le standard qui crée une vraie preuve signée
RFC 3161 est un protocole international standardisé (aussi connu sous la norme ISO 18014) qui définit comment une autorité d'horodatage, souvent désignée par le sigle TSA (pour Time-Stamping Authority en anglais), crée une preuve cryptographique.
Le mécanisme :
- Vous envoyez l'empreinte numérique (le hash) de votre fichier à la TSA
- La TSA combine cette empreinte avec l'heure exacte
- Elle signe numériquement le tout avec sa clé privée
- Elle vous retourne un jeton d'horodatage, un fichier contenant la preuve
Ce jeton est vérifiable par n'importe quel outil compatible RFC 3161, y compris Adobe Acrobat, des logiciels juridiques, des outils open source. Si la TSA existe toujours et que sa clé n'a pas été compromise, la preuve est solide.
C'est là qu'intervient la vraie question : qui est la TSA ?
RFC 3161 est un format. Comme PDF est un format pour les documents. Avoir un fichier PDF ne dit rien sur la qualité de son contenu. De même, avoir un jeton RFC 3161 ne dit rien sur la fiabilité de la TSA qui l'a émis. Il existe des services gratuits en ligne, très utilisés, qui émettent des jetons RFC 3161 valides techniquement — mais sans audit, sans obligation légale, sans garantie de continuité. Le format est sérieux. Le prestataire, pas forcément.
Deux jetons RFC 3161 peuvent donc avoir des valeurs probatoires très différentes.
RFC 3161 a une limite pratique : si la TSA disparaît sans avoir publié ses certificats, certains outils ne pourront plus valider le jeton. Le risque est faible pour un service sérieux et audité, beaucoup moins pour un service gratuit non audité.
3. eIDAS — la reconnaissance officielle européenne
RFC 3161 construit une preuve. eIDAS lui donne force de loi.
Le règlement européen eIDAS (Electronic IDentification, Authentication and trust Services) définit ce qu'est un prestataire de services de confiance qualifié dans l'Union européenne.
Une TSA qualifiée eIDAS doit :
- Être auditée par un organisme accrédité
- Héberger ses clés privées dans des modules matériels certifiés (HSM)
- Synchroniser son horloge sur des sources de temps traçables et auditées
- Respecter des obligations de continuité de service, y compris publier ses certificats pour que les jetons restent vérifiables même si le service ferme un jour
- Être inscrite sur une liste de confiance publiée par chaque État membre (en France, supervisée par l'ANSSI)
Ce que ça change en pratique : un jeton émis par une TSA qualifiée eIDAS bénéficie d'une présomption légale. Dans un litige, le juge présume que l'horodatage est exact. C'est à la partie adverse de prouver le contraire, et c'est quasi impossible.
Pour toutes les autres solutions non eIDAS, c'est l'inverse : c'est à vous de convaincre le juge que la preuve est fiable. Le débat reste ouvert, case par case.
eIDAS est la seule solution qui inverse automatiquement la charge de la preuve.
Un dernier mot sur le vocabulaire : quand un service se présente comme « tiers de confiance indépendant », méfiez-vous. Un « tiers de confiance » au sens légal eIDAS est une entité qualifiée par un État. Un service gratuit hébergé par un bénévole est indépendant, certes. Pas un tiers de confiance au sens légal. Vérifiez sur la liste officielle : https://eidas.ec.europa.eu/efda/trust-services/browse/eidas/tls
4. La blockchain publique : une logique radicalement différente
La blockchain est souvent présentée comme une alternative à RFC 3161. C'est mal poser la question. Ce sont deux approches avec des forces différentes, qui se complètent mieux qu'elles ne se remplacent.
RFC 3161 repose sur un tiers. Sa valeur dépend entièrement de qui est ce tiers : un service audité et reconnu, ou un service gratuit sans garantie. C'est sa force quand le prestataire est sérieux, sa faiblesse quand il ne l'est pas.
La blockchain élimine ce problème à la racine. Il n'y a pas de tiers. La preuve est inscrite dans un registre décentralisé, maintenu par des milliers de nœuds indépendants dans le monde entier. Pour falsifier la preuve, il faudrait réécrire l'histoire de la blockchain entière. Mathématiquement impossible en pratique. Et souverain : personne ne peut la modifier, la supprimer, ou la rendre inaccessible. La blockchain interdit la suppression : une preuve ancrée aujourd'hui reste vérifiable indéfiniment, sans dépendre d'aucun prestataire.
Sa limite à elle ? Pas de présomption légale automatique. Les tribunaux français ont reconnu sa valeur probatoire (décision du Tribunal judiciaire de Marseille, mars 2025), mais c'est à vous de convaincre le juge.
Deux façons d'utiliser la blockchain pour l'horodatage existent, et elles ne se valent pas.
L'arbre de Merkle (agrégation) : des milliers de preuves sont regroupées, seule leur « racine » (l'empreinte de toutes les empreintes) est inscrite sur la blockchain. La vérification nécessite des outils spécifiques, la conservation d'un fichier auxiliaire, et dépend souvent de serveurs intermédiaires pour fournir le « chemin » dans l'arbre.
La transaction dédiée : chaque preuve est inscrite dans sa propre transaction blockchain. L'empreinte de votre document est directement visible dans la transaction, lisible sur n'importe quel explorateur public, sans outil tiers, sans fichier auxiliaire.
La seconde approche est plus coûteuse (une transaction par preuve) mais offre une vérification directe et indépendante que la première ne peut pas revendiquer.
La blockchain utilisée importe aussi. Bitcoin est la plus décentralisée et la plus sécurisée, mais aussi la plus lente (confirmation en 1 à 2 heures). Des blockchains plus récentes offrent une confirmation en quelques secondes avec une sécurité comparable pour cet usage.
Et si un service se réclame d'« horodatage qualifié » en utilisant la blockchain : le mot « qualifié » a un sens précis dans le règlement eIDAS. Il désigne une TSA inscrite sur la liste de confiance européenne. Tout autre usage du mot est du marketing.
Ce qu'il faut retenir
NTP seul ne crée aucune preuve vérifiable par un tiers. Point. C'est de l'horlogerie, pas de la certification.
RFC 3161 et blockchain sont deux chemins parallèles, avec des forces différentes. RFC 3161 donne une preuve formelle reconnue par les outils juridiques, mais dépend de la survie du prestataire. La blockchain donne une preuve permanente et souveraine, reconnue par les tribunaux français depuis mars 2025, mais sans présomption légale automatique. Combinés, ils se complètent parfaitement.
RFC 3161 et blockchain produisent des éléments techniques solides pour construire un dossier de preuve. C'est au juge de décider de leur poids.
eIDAS qualifié est le graal. La seule solution qui vous donne une présomption légale automatique en Europe, où c'est à la partie adverse de prouver que l'horodatage est faux. C'est la référence pour les secteurs régulés, ou dès qu'un litige judiciaire est possible.
Tout est une question de curseur. Un ancrage blockchain seul suffit pour la plupart des usages courants, tout comme un horodatage RFC 3161 non qualifié eIDAS. Deux approches valides, deux forces différentes, deux coûts modestes.
Ajouter eIDAS par-dessus, c'est la présomption légale automatique, utile pour un dépôt de brevet ou un litige commercial à six chiffres.
Choisissez votre niveau de protection en connaissance de cause. Le reste, c'est du marketing.