Retour au blog
Fonctionnalités

Certifiez vos emails avec Junyr — preuve cryptographique RFC 3161, PDF avec QR code

3 mai 20265 min

Comment la Junyr Suite horodate chaque email reçu et envoyé selon la norme RFC 3161 : empreinte SHA-256, arbre de Merkle, jeton TSA, PDF certifié et vérificateur public sans compte.

Certifiez vos emails avec Junyr — preuve cryptographique RFC 3161, PDF avec QR code

En bref — la Junyr Suite horodate cryptographiquement vos emails (norme RFC 3161) : chaque message reçu ou envoyé peut être prouvé — son contenu n'a pas bougé, sa date est attestée par un tiers indépendant, et vous téléchargez un PDF certifié vérifiable par n'importe qui, y compris un avocat sans compte Junyr.

C'est l'une des briques de souveraineté de la Junyr Suite, la suite IA de gestion d'entreprise européenne : vos preuves sont autoporteuses et restent vérifiables hors de la plateforme.

Le problème : « j'ai bien envoyé ce devis le 12 mars »

Imaginez le scénario. Trois mois après l'envoi d'un devis, votre client conteste : « je n'ai jamais reçu cet email », ou pire « la version que vous montrez n'est pas celle que j'ai eue ». Sans preuve cryptographique, c'est sa parole contre la vôtre. Les en-têtes d'email peuvent être falsifiés a posteriori (vous éditez le .mbox, le timestamp change). Les logs SMTP de votre serveur sont contestables — c'est vous qui les détenez.

Pour être opposable juridiquement, il faut un horodatage signé par un tiers de confiance, sur un hash cryptographique du contenu. C'est exactement ce que définit la norme RFC 3161.

La solution : horodatage Merkle nocturne

Chaque nuit, Junyr fait quatre opérations en chaîne :

  1. Hash de chaque email — pour chaque message reçu/envoyé sur les boîtes ayant opté in dans les dernières 24 heures, Junyr calcule un SHA-256 sur les octets RFC 5322 canoniques (corps + en-têtes + pièces jointes). C'est l'empreinte unique du message.
  2. Construction d'un arbre de Merkle — tous les hashes du jour sont combinés en un arbre binaire. La racine de l'arbre résume cryptographiquement l'ensemble du lot.
  3. Envoi de la racine à un service d'horodatage RFC 3161 — Junyr envoie cette racine à Freetsa.org (Phase 1, gratuit). Le service signe la racine avec son certificat TSA et renvoie un jeton horodaté.
  4. Stockage de la preuve par email — pour chaque email individuel, Junyr stocke son chemin Merkle (les hashes frères qui permettent de reconstruire la racine) + le jeton TSA. C'est la preuve compacte par message.

Pour prouver qu'un email donné existait à la date X avec le contenu Y, il suffit de : (1) recalculer le hash du .eml, (2) parcourir le chemin Merkle pour reconstruire la racine, (3) vérifier la signature TSA sur cette racine. Trois étapes, trois minutes en ligne de commande, vérifiable indépendamment de Junyr.

Le PDF certifié

Depuis n'importe quel email portant le badge « Certifié » (icône verte avec un sceau), un clic sur « Télécharger preuve PDF » génère un document Typst contenant :

  • L'email lui-même, mis en page proprement (en-têtes, corps, pièces jointes listées avec leurs propres hashes).
  • Le bloc d'audit : empreinte SHA-256 du .eml, chemin Merkle complet, racine Merkle du batch, identifiant du jeton TSA, date d'horodatage UTC, nom du fournisseur TSA.
  • Un QR code qui pointe vers junyr.app/verify/{token} — un identifiant aléatoire 192 bits, distinct pour chaque email.

Vous pouvez imprimer ce PDF, l'envoyer à un avocat, le déposer en pièce jointe d'un mémoire judiciaire. Il est autoporteur.

Le vérificateur public

/verify/{token} est une page publique : pas d'authentification, pas de compte requis, rate-limitée à 10 requêtes par minute par IP. Elle affiche :

  • L'identité du TSA et la date signée.
  • Le hash attendu.
  • Une zone de glisser-déposer : déposez le .eml original, votre navigateur recalcule le hash en local (Web Crypto API : crypto.subtle.digest('SHA-256')), et confirme s'il correspond. Aucun envoi serveur, aucune fuite de contenu. Le vérificateur tourne entièrement dans le navigateur de la personne qui vérifie.

Si le hash ne correspond pas : soit l'email a été modifié, soit ce n'est pas le bon .eml. Le verdict est binaire et immédiat.

Phase 1 vs Phase 2

Phase 1 (aujourd'hui) utilise Freetsa.org, un TSA non qualifié. La preuve est cryptographiquement valide — n'importe quel ingénieur peut la vérifier en quelques minutes — mais elle n'a pas la qualification juridique au sens de l'Article 41 du Règlement européen 910/2014 (eIDAS).

Phase 2 (à venir, sur opt-in client) basculera la racine Merkle vers Universign, prestataire de confiance qualifié inscrit sur la EU Trusted List. La preuve aura alors valeur probatoire pleine devant tout tribunal européen, sans contestation possible.

L'architecture est conçue pour permettre la bascule sans recertifier les anciens emails — ils restent valides en Phase 1, les nouveaux passent en Phase 2.

Comment activer

Réglages → Email → « Horodatage cryptographique » → activer le toggle. C'est inclus dans tout abonnement à la Junyr Suite (un batch par jour). Le premier email horodaté apparaîtra avec le badge « Certifié » au plus tard 24 heures après activation.

Et parce que vos emails certifiés vivent dans la même souveraineté que le reste de vos données, vous gardez la main sur leur confidentialité : voyez nos trois niveaux de confidentialité (Simple, Sécurisée, Totale) pour choisir comment l'IA traite — ou ne traite pas — chaque boîte. Découvrez aussi la Junyr Suite dans son ensemble.

Activez l'horodatage dans Réglages → Email — c'est inclus dans votre abonnement, et chaque email envoyé devient une preuve exportable.

FAQ

La certification d'email RFC 3161 de Junyr a-t-elle valeur juridique ?

La preuve est cryptographiquement valide et vérifiable indépendamment dès aujourd'hui (Phase 1, via un TSA non qualifié). La valeur probatoire pleine au sens de l'eIDAS arrive en Phase 2, sur opt-in, avec bascule vers un prestataire de confiance qualifié inscrit sur la EU Trusted List — sans recertifier les anciens emails.

Comment vérifier un email certifié sans compte Junyr ?

Ouvrez la page publique /verify/{token} (pas d'authentification requise) et déposez le .eml original dans la zone de glisser-déposer. Votre navigateur recalcule le hash SHA-256 en local via la Web Crypto API et confirme s'il correspond — aucun envoi serveur, aucune fuite de contenu.

L'horodatage cryptographique est-il inclus dans la Junyr Suite ?

Oui, l'horodatage RFC 3161 est inclus dans tout abonnement à la Junyr Suite, sans option payante supplémentaire. Voir le détail des tarifs (Junyr Société 179 €/mois HT, tout inclus, ou sur devis pour l'offre Entreprise).

Mes emails certifiés restent-ils confidentiels ?

Oui : la certification ne traite que l'empreinte cryptographique du message, pas son contenu en clair, et la Junyr Suite est une suite IA souveraine européenne où vos données restent sécurisées. Vous choisissez par boîte l'un des trois niveaux de confidentialité.

#certification#rfc-3161#horodatage#merkle-tree#preuve-email#conformite
JT

Junyr Team

Plateforme IA

L'equipe Junyr conçoit des outils d'IA qui permettent aux TPE/PME européennes de recruter, former et piloter des agents IA autonomes pour leurs tâches quotidiennes.

Articles liés

Email Professionnel Intégré : L'Avantage Junyr Suite

Pourquoi Junyr Suite fournit l'email professionnel souverain (serveur Stalwart, JMAP/SMTP) au cœur de la suite IA de gestion, au lieu de se connecter à Gmail ou Outlook comme Zapier/Make/n8n.

Lire l’article →

Workflow 3-Step : La Garantie Qualité de la Junyr Suite

Comment le Workflow 3-Step de la Junyr Suite garantit la qualité : un Junyr Agent clarifie et exécute la tâche, puis une IA distincte relit et corrige le résultat avant livraison.

Lire l’article →

Universal Inbox : Vue 360° vs Données Éparpillées

L'Universal Inbox de la Junyr Suite réunit emails, documents, projets et données client dans une seule vue 360° — fini la chasse au trésor dans 5 apps. Une suite IA de gestion d'entreprise souveraine et européenne.

Lire l’article →