En cas d'échec du contrôle de la signature, il ne faut en aucun cas utiliser

le cache : un scénario est par exemple que quelqu'un ou quelque chose a eu
accès au système de stockage du cache et l'a altéré.  Donc, si la signature
est invalide, on jette.

(cf. https://core.spip.net/projects/spip/repository/revisions/21067 )