Ceci est une ancienne révision du document !



kisspng-smart-card-electronic-identification-computer-icon-5b2f69c1e2d9b5.4842458815298339219292.jpg

L'identification électronique : utiliser une carte d'identité électronique belge

La carte d'identité belge et son logiciel offrent une méthode sûre d'authentification des citoyens belges. Elle consiste en l'utilisation d'une clef privée et d'une clef publique signée (voir authentification par clef publique et clef privée) par l'autorité de certification propre à l'État belge.

L'ensemble peut être utilisée pour signer électroniquement des documents lorsque la carte d'identité est introduite dans le lecteur. Cette signature a une valeur légale, faites attention !
Cette page a pour but de décrire la procédure d'installation du lecteur de carte d'identité électronique belge. Les applications de la carte d’identité électronique belge (eID) sont par exemple la Tax-On-Web (Déclaration à l'Impôt), la gestion de dossiers de sécurité sociale (mutuelle, syndicat, ONP, Registre National) etc. Ce lecteur fonctionne également avec les cartes de crédit.

La bibliothèque libacsccid1 remplace les anciennes bibliothèques libacr38u et libacr38ucontrol0 qui ne sont plus disponibles dans les dépôts à partir de Bionic 18.04 LTS. Cette nouvelle bibliothèque supporte une multitude de lecteurs de carte utilisant des puces du fabricant ACS1).
La gestion de cette transition ne s'est pas faite correctement.

D'une part, la communauté aurait dû plus participer pour signaler que le retrait de ces bibliothèques allait engendrer un impact sur l'utilisation de certains logiciels. Il aurait fallu demander qu'un paquet de transition redirigeant libacr38u et libacr38ucontrol0 vers libacsccid1 soit crée pour le temps de la transition.
  • Un bug a été introduit sur Launchpad. Si vous êtes affecté par ce problème, vous pouvez le signaler en allant cliquer sur "This bug affects you" (+1) pour que celui-ci ait une chance d'être corrigé.

D'autre part, le service fédéral en charge du développement du paquet eid-mw aurait dû enlever dans les recommandations du paquet pour la version Bionic 18.04 LTS le paquet libacr38u (qui n'existe plus) et y mettre à la place le paquet libacsccid1.

  • Vous pouvez également signaler que vous êtes affecté par ce problème en contactant le bureau d'assistance du Registre National (Belpic) via leur formulaire en ligne.

Ajout du dépôt

Pour installez les pilotes nécessaires au bon fonctionnement de votre carte il faut installer un paquet qui va ajouter les dépôts requis :

  • Téléchargez le paquet eid-archive.deb fourni par l'État belge Installation du logiciel eID sous Linux.
  • Lancer la commande depuis un terminal a l'endroit ou se trouve l'archive: java -jar eid-web-browser-mw-install-1.2.0.jarFIXME on ne trouve pas cette archive en 2020.<br>

Il faut évidemment cliquer eid-archive.deb, il n'y a pas de java — a_pirard Le 15/07/2020, 22:16 Il faut le télécharger, puis l’installer par sudo dpkg -i eid-archive_XYZ….deb

sudo apt-get update

Installation des pilotes

Il suffit d'installer d’abord le paquet, eid-mw, puis eid-viewer, ou méthode conseillée : Ouvrez une fenêtre terminal et introduisez la commande suivante :

sudo apt-get install eid-mw eid-viewer

Pour s'authentifier, les navigateurs doit pouvoir accéder aux certificats de votre carte d'identité électronique. D'où la necessité de la procédure qui suit.

Firefox

(FIXME : ce qui suit n'est peut-être plus utile. André confirme que le paquet eid-mw de 2018 contient déjà l'extension et qu'il faut en désinstaller une autre; on peut maintenant brancher le lecteur "en marche" mais il faut insérer la carte à temps. Cependant, yureee a dû installer l'extension Firefox sur Xubuntu 18.04 LTS.)

  • Téléchargez et installez l'extension eID Belgique ici ou via votre gestionnaire de modules :
  • Redémarrer Firefox et connectez-vous une première fois à https://my.belgium.be/index.html : ça ne marche pas, et c’est normal : les certificats viennent seulement d’être ajoutés, il reste à les autoriser…
  • Pour cela allez dans Menu Firefox (à droite) → Préférences → Avancé → Certificats → Afficher les certificats → Chercher les Certificats Belgian Root (CA, CA1, CA2, CA3 et/ou CA4),
  • Pour chacun d’eux cliquez sur la ligne située sous la petite flèche de ce certificat. Cliquez sur Modifier la confiance, cochez les trois cases et cliquez sur « OK ». Cliquez deux fois sur « OK » pour refermer le Gestionnaire de certificats et les Options.
  • Redémarrer Firefox … :-D
Le lecteur de carte doit être branché AVANT de lancer firefox !!!

Chrome / Chromium

Ajoutez le support NSS en installant le paquet, libnss3-tools, puis configurez chrome ou chromium avec la commande modutil. Il faudra fermer Chrome pour que cette configuration puisse être réalisée.

Sur une installation 32bits :

modutil -dbdir sql:.pki/nssdb/ -add "Belgium eID" -libfile /usr/lib/libbeidpkcs11.so

Sur une installation 64bits :

modutil -dbdir sql:.pki/nssdb/ -add "Belgium eID" -libfile /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so.0

Si l'intégration s'est bien passée, le résultat de cette commande (AVEC la carte d'identité dans le lecteur) :

modutil -dbdir sql:.pki/nssdb/ -list

devrait ressembler à ceci :

Listing of PKCS #11 Modules
-----------------------------------------------------------
  1. NSS Internal PKCS #11 Module
	 slots: 2 slots attached
	status: loaded

	 slot: NSS Internal Cryptographic Services
	token: NSS Generic Crypto Services

	 slot: NSS User Private Key and Certificate Services
	token: NSS Certificate DB

  2. Belgium eID
	library name: /usr/lib/libbeidpkcs11.so
	 slots: 1 slot attached
	status: loaded

	 slot: ACS ACR38U 00 00
	token: BELPIC
-----------------------------------------------------------

Lancez l'application nommée eiD Card Reader via le tableau de bord (Unity) ou bien via la section Accessoires des menus classiques d'applications.

Elle vous permet de vérifier le fonctionnement du lecteur en lisant les informations et les certificats contenus dans votre carte d'identité et en pouvant changer le code PIN.

Sans redémarrage du PC, le logiciel de lecture apparaît bien dans le menu et il fonctionne, mais dès que vous essaierez de lire la carte d'identité électronique, si une "erreur inconnue" apparaît, redémarrer votre ordinateur. Vous pouvez utiliser la commande suivante pour éviter le redémarrage :
sudo /etc/init.d/pcscd restart

Utilisation dans diverses application

Utilisation dans la messagerie Evolution

Pour pouvoir signer vos courriels dans Evolution, il vous faut tout d'abord installer le module dans Firefox (voir ci-dessus).

Ensuite (Evolution doit être fermé!!!), copiez le fichier secmod.db du répertoire de Firefox dans le répertoire d'Evolution (dossiers cachés) avec la commande suivante dans un terminal :

cp ~/.mozilla/firefox/dossier_au_nom_aléatoire.default/secmod.db ~/.evolution

Adaptez dossier_au_nom_aléatoire.default à votre nom de dossier.

Une fois ce fichier secmod.db copié dans le dossier ~/.evolution, et les droits correctement attribués, réouvrez Evolution (lecteur de carte branché et carte d'identité dans le lecteur). Allez dans le menu Edition/préférence/certificat et constatez que vos certificats sont présents.

Ensuite, dans les préférences de votre compte mail (ou de chacun pour ceux qui en possèdent plusieurs), sous l'onglet sécurité, sélectionnez parcourir pour la signature S/MIME et sélectionnez le module adéquat (authentifier ou signer… suivant que vous désiriez utiliser votre carte pour signer numériquement ou simplement authentifier votre courriel 2) Il vous faut désormais certifier que vous autorisez le certificat d'autorité (CA) nommé Belgium root à 'authentifier la validité des certificats'. Pour ce faire, dans Édition→Préférence→Certificat, sélectionnez, sous l'onglet 'autorité', belgium root et éditez-le. Cochez le fait que vous l'autorisez à identifier les auteurs de mails…

A présent, lors de l'écriture d'un courriel, juste avant son envoi, sélectionnez Sécurité puis cochez Signer par S/MIME, Envoyer et là Evolution vous demandera votre code PIN de la carte d'identité…

Utilisation dans Thunderbird

Pour pouvoir signer vos courriels dans Thunderbird, il vous faut tout d'abord installer le module dans Firefox (voir ci-dessus). Ensuite suit :

  • Allez dans Préférences→Préférences→Avancé→Certificats→Périphériques de sécurité,
  • Choisissez dans l'encadré à gauche : Module name: Belgium Identity Card PKCS#11 Module filename: /usr/lib/libbeidpkcs11.so,
  • Cliquez sur Charger.

Pour Thunderbird 60.7 sous Ubuntu 18.04, ensuite suit :

  • Allez dans Editer→comptes,
  • Sélectionnez le label Sécurité dans le compte souhaité
  • Sur le panneau de droite, cliquez sur Security device
  • Un nouveau panneau souvre, choisissez dans l'encadré à gauche : Module name: Belgium Identity Card PKCS#11 Module filename: /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so,
  • Cliquez sur Charger - le panneau se ferme.
  • Insérez votre carte eID dans le lecteur,
  • Toujour sur le panneau sécurité du compte, sélectionnez votre certificat pour la signature ou le chiffrement.

Utilisation dans LibreOffice

Vous pouvez indiquer numériquement que vous êtes l'auteur d'un document Writer ou Calc. Après avoir créé le document dans LibreOffice et l'avoir sauvé sur disque (obligatoire), choisissez le menu Fichier → Signatures numériques.
La procédure détaillée (en images) est très simple, vous pouvez la trouver sur le site de l'eID.

Utilisation dans Acrobat Reader

Il est obligatoire en Belgique de signer les documents PDF concernant les déclarations fiscales. Pour pouvoir le faire avec Acrobat Reader. Il faut aller dans Document → Paramètres → PKCS #11 et ajouter le module /usr/lib/libbeidpkcs11.so ou /usr/lib/libbeidpkcs11.so.3 avec la nouvelle version.

À la signature du PDF on vous demande sous quel nom enregistrer le document, vous devez donner le nom du document ouvert, et donc accepter de l'écraser

Le gouvernement belge propose également de signer ses pdf en ligne (on les téléverse, et ils nous les reproposent au téléchargement, signés). Le service se trouve à l'adresse suivante: https://sign.belgium.be/.

Conflit de Firefox avec Apparmor

Apparmor est un programme surveillant certains programmes, dont Firefox, pour les empêcher de faire des choses non prévues, surtout en cas d'attaque par un virus. Malheureusement, Apparmor ne prévoit pas que Firefox puisse faire accès à un lecteur de carte, du moins d'une certaine manière. Si vous observez dans le journal (log) de votre système des messages comme ceci :

kernel: [ 2614.129968] type=1503 audit(1310392211.087:64):  operation="open" pid=6150 parent=1 profile="/usr/lib/firefox-3.6.18/firefox-*bin" requested_mask="::r" denied_mask="::r" fsuid=1000 ouid=0 name="/var/run/pcscd/pcscd.pid"
kernel: [ 2614.130016] type=1503 audit(1310392211.087:65):  operation="open" pid=6150 parent=1 profile="/usr/lib/firefox-3.6.18/firefox-*bin" requested_mask="::r" denied_mask="::r" fsuid=1000 ouid=0 name="/var/run/pcscd/pcscd.pub"
kernel: [ 4421.849208] type=1503 audit(1310394018.807:76):  operation="exec" pid=6934 parent=6897 profile="/usr/lib/firefox-3.6.18/firefox-*bin" requested_mask="x::" denied_mask="x::" fsuid=1000 ouid=1000 name="/tmp/.raised-beid-askaccess"

Ajoutez les lignes suivantes en tête de /etc/apparmor.d/usr.bin.firefox (p.ex.: après "for networking")

# pour BeID:
/var/run/pcscd/pcscd.* r,
/tmp/* ix,

Puis, tapez la commmande:

sudo apparmor_parser -r /etc/apparmor.d/usr.bin.firefox

5.2 Problème résolu avec Firefox pour ubuntu 18.04 (par Baudouin de BOSA)

31 Mars 2020 Le paquet à utiliser a changé. La librairie libacr38u pour les puces ACR38U est remplacée par la librairie libacsccid1, qui n'est pas automatiquement installée. Après avoir installé la dernière version et afin de s'assurer que les mises à jour sont bien prises en compte, exécuter les commandes suivantes:

sudo apt-get update

Si cela n'a pas résolu le problème, on peut effectuer les commandes suivantes :

sudo dpkg-reconfigure eid-archive
sudo apt-get update
sudo apt-get dist-upgrade

Si cela n'est pas suffisant, il faut alors supprimer tout le software de l'eiD comme cela est expliqué dans la page : https://eid.belgium.be/fr/faq/comment-supprimer-le-logiciel-eid-0#7553 et donc aussi le pack "eid-archive":

sudo apt-get --purge remove libbeidpkcs11-bin
sudo apt-get --purge remove eid-archive

Ensuite il faut re-télécharcher et installer eid-archive du site officiel belge: https://eid.belgium.be/fr/installation-du-logiciel-eid-sous-linux ensuite, à nouveau:

sudo apt-get update
sudo apt-get install eid-mw eid-viewer 

Si cela ne marche toujours pas, contacter BOSA, ils répondent rapidement.

FIXME Tester la page https://mart-e.be/post/2012/02/14/beid-linux-1/ , la deuxième partie propose une méthode pour signer les PDF avec EID.


Contributeurs principaux: svergeylen Refonte pour Ubuntu 14.04 LTS ; equipc utilisation dans Thunderbird et OpenOffice ; Efhache84 (utilisation dans Evolution) ; sparky (Signature avec Acrobat) ; André (Version 4, conflit Firefox avec Apparmor, danger de apturl).


2)
Valeur juridique identique à une signature manuscrite, voir ici
  • tutoriel/utiliser_carte_identite_electronique_belge.1602487786.txt.gz
  • Dernière modification: Le 12/10/2020, 09:29
  • par 81.164.203.229