Méthodologie de capture certifiée

Preuvex applique une méthodologie rigoureuse, conforme à la norme NF Z67-147 et au règlement eIDAS, pour garantir l'intégrité et la recevabilité des captures.

1. Environnement de capture

Chaque capture est réalisée dans un environnement serveur contrôlé :

  • Navigateur isolé : instance Chromium dédiée, démarrée pour chaque session
  • Résolution fixe : 1920 x 1080 pixels
  • Horloge synchronisée : synchronisation NTP avant chaque session
  • Réseau contrôlé : accès internet uniquement, pas d'accès au réseau interne

L'utilisateur interagit avec le navigateur via un flux vidéo en temps réel (WebSocket). Il ne peut pas modifier le DOM ou les données de la page avant la capture.

2. Données capturées

Pour chaque page, le système capture côté serveur :

  • Screenshot full-page en PNG haute résolution
  • Code source HTML complet
  • Headers HTTP de la réponse
  • Certificat SSL du serveur (émetteur, validité, fingerprint)
  • Résolution DNS (enregistrements A, AAAA, MX, NS)
  • WHOIS du domaine
  • Adresse IP du serveur distant
  • Date et heure UTC précise
  • Version du navigateur

3. Calcul d'intégrité

L'ensemble des données capturées est assemblé en un package JSON structuré. Un hash SHA-256 est calculé sur ce package, garantissant que toute modification, même minime, serait détectable.

4. Horodatage qualifié

Le hash SHA-256 est envoyé à une autorité d'horodatage qualifiée eIDAS (inscrite sur la Trusted List nationale) via le protocole RFC 3161.

L'autorité retourne un jeton d'horodatage signé qui prouve :

  • Que le hash existait à la date et l'heure indiquées
  • Que les données n'ont pas été modifiées depuis

Ce jeton est vérifiable de manière indépendante avec OpenSSL, sans aucune dépendance à Preuvex.

5. Rapport PDF certifié

Un rapport complet est généré au format PDF/A-1b (ISO 19005, archivage long terme) et signé avec une signature PAdES-LTV embarquant le jeton d'horodatage.

Le rapport contient :

  • Page de garde avec référence, hash et autorité d'horodatage
  • Captures visuelles de chaque page
  • Informations techniques complètes
  • Code source HTML
  • Annexe : jeton RFC 3161 et instructions de vérification

6. Vérification indépendante

N'importe qui peut vérifier l'authenticité d'un rapport Preuvex :

  • En ligne : via la page Vérification de Preuvex
  • Hors ligne : avec OpenSSL et le certificat de l'autorité d'horodatage (instructions incluses dans le rapport)

7. Conformité

Norme / Règlement Application
NF Z67-147 (AFNOR) Mode opératoire de capture internet
Règlement eIDAS (UE) n° 910/2014 Horodatage électronique qualifié
ISO 19005 (PDF/A) Archivage long terme du rapport
RFC 3161 Protocole d'horodatage
RGPD Protection des données personnelles