Contenu | Rechercher | Menus

Comment utiliser la carte d'identité électronique (Belgique)

Il faut installer la version 4 au moins du logiciel libre fourni gratuitement par le Gouvernement Belge.

Pré-requis

Installation (Ubuntu 14.04)

Installation des pilotes du lecteur de cartes

Si votre lecteur de cartes est de type comptabile CCID, installez ces paquets

sudo apt-get install pcscd libccid

Si votre lecteur de cartes est plus ancien (bleu/mauve, avec inscription www.eid.irisnet.be), installez ce paquet

sudo apt-get install libacr38u libacr38ucontrol0

Installation des logiciels belges

Middleware

Récupérez la dernière version du Middleware pour Ubuntu à l'adresse suivante http://eid.belgium.be/fr/utiliser_votre_eid/installer_le_logiciel_eid/linux/

Dans la section "Logiciel EID" (qui veut dire middleware, ici), cliquez sur : "Ubuntu(64) / Debian(64) (DEB, 766.59 Kb))" et exécutez ce fichier (double-clic ouvre la logithèque Ubuntu, cliquez sur Installer, confirmer, attendre, fermer)

Après installation de ce paquet "archive", il faut installer manuellement le middelware:

sudo apt-get install eid-mw

Installation du logiciel EID viewer

L'EID Viewer n'est pas nécessaire pour s'authentifier ou signer des documents avec sa carte d'identité, mais il permet d'afficher le contenu de votre carte d'identité et d'en modifier le code à 4 chiffres. Récupérez la dernière version de l'EID Viewer pour Ubuntu sur la même page que précédemment : http://eid.belgium.be/fr/utiliser_votre_eid/installer_le_logiciel_eid/linux/

Dans la section "EID Viewer", cliquez sur "Ubuntu(64) / Debian(64) (DEB, 9.34 MB))" et exécutez ce fichier. Lancez l'application EID (tapez EID dans le dash) et vérifiez que le contenu de votre carte d'identité est bien affiché à l'écran.

Intégration dans le navigateur

Pour s'authentifier, le navigateur doit pouvoir accéder aux certificats de votre carte d'identité électronique.

Chrome / Chromium

Installez le support NSS depuis les depots, puis configurez chrome avec la commande modutil. Il faudra fermer Chrome pour que cette configuration puisse être réalisée.

sudo apt-get install libnss3-tools
cd
modutil -dbdir sql:.pki/nssdb/ -add "Belgium eID" -libfile /usr/lib/libbeidpkcs11.so

Si l'intégration s'est bien passée, le resultat de cette commande (AVEC la carte d'identité dans le lecteur)

modutil -dbdir sql:.pki/nssdb/ -list

devrait ressembler à ceci :

Listing of PKCS #11 Modules
-----------------------------------------------------------
  1. NSS Internal PKCS #11 Module
	 slots: 2 slots attached
	status: loaded

	 slot: NSS Internal Cryptographic Services
	token: NSS Generic Crypto Services

	 slot: NSS User Private Key and Certificate Services
	token: NSS Certificate DB

  2. Belgium eID
	library name: /usr/lib/libbeidpkcs11.so
	 slots: 1 slot attached
	status: loaded

	 slot: ACS ACR38U 00 00
	token: BELPIC
-----------------------------------------------------------

Firefox

Installez le greffon Firefox. L'intégration est automatique.

https://addons.mozilla.org/fr/firefox/addon/belgium-eid/

Utilisation

La carte d'identité belge et son logiciel est une méthode sure d'authentification des citoyens Belges. Elle consiste en l'utilisation d'une clef privée et d'une clef publique signée (voir authentification par clef publique et clef privée) par l'autorité de certification propre à l'état belge.

L'ensemble peut être utilisée pour signer électroniquement des documents lorsque la carte d'identité est introduite dans le lecteur. Cette signature a une valeur légale, faites attention!

Lecture de votre carte

Vous trouverez une application "eiD Card Reader" pour la version 4, dans "Applications > Accessoires".

Elle vous permet de lire les informations et les certificats contenus dans votre carte d'identité, sauf le code PIN que vous pouvez changer.

Sans redémarrage du PC, le logiciel de lecture apparaît bien dans le menu et il fonctionne, mais dès que vous essaierez de lire la carte d'identité électronique, si une "erreur inconnue" apparaît, redémarrer votre ordinateur.

Vous pouvez utiliser la commande suivante pour éviter le redémarrage

sudo /etc/init.d/pcscd restart

Applications web gouvernementales

Utilisation dans la messagerie Evolution

Pour pouvoir signer vos e-mails dans Evolution, il vous faut tout d'abord l'activer dans Firefox (voir ci-dessus).

Ensuite (Evolution doit être fermé!!!), copier le fichier secmod.db du répertoire de Firefox dans le répertoire d'évolution (dossiers cachés). Pour ce faire, utilisez nautilus en mode sudo

gksudo nautilus

ou la commande cp en console

cp ~/.mozilla/firefox/dossier_au_nom_aléatoire/secmod.db ~/.evolution

Par exemple, mon fichier secmod.db se trouvait dans ~/.mozilla/firefox/r4ijo032.default.

Une fois ce fichier secmod.db copié dans le dossier ~/.evolution, et les droits correctement attribués, réouvrez Evolution (lecteur de carte branché et carte d'identité dans le lecteur). Allez dans le menu Edition/préférence/certificat et constatez que vos certificats sont présents.

Ensuite, dans les préférences de votre compte mail (ou de chacun pour ceux qui en possèdent plusieurs), sous l'onglet sécurité, sélectionnez parcourir pour la signature S/MIME et sélectionnez le module adéquat (authentifier ou signer… suivant que vous désiriez utiliser votre carte pour signer numériquement ou simplement authentifier votre email (moindre poids juridique que la signature??)) Il vous faut désormais certifier que vous autorisez le certificat d'autorité (CA) nommé Belgium root à 'authentifier la validité des certificats'. Pour ce faire, dans 'Edition/Préférence/Certificat', sélectionnez, sous l'onglet 'autorité', belgium root et éditez-le. Cochez le fait que vous l'autorisez à identifier les auteurs de mails…

Et voilà, c'est prêt, lors de l'écriture d'un mail, juste avant son envoi, sélectionnez 'sécurité' puis cochez 'signer par S/MIME', 'envoyer' et là evolution vous demandera votre code PIN de la carte d'identité…

Utilisation dans Thunderbird

Pour signer électroniquement vos courriels, il suffit de suivre la procédure indiqué sur le site de l'eID.

http://eid.belgium.be/fr/binaries/eID_LIN_Thunderbird_FR_tcm146-22460.pdf

Utilisation dans OpenOffice

Vous pouvez indiquer numériquement que vous êtes l'auteur d'un document Writer ou Calc. La procédure détaillée (en images) est très simple et est fournie sur le site de l'eID. Il n'y a rien à installer pour son utilisation !

http://eid.belgium.be/fr/binaries/eID_LIN_OpenOffice_FR_tcm146-22459.pdf

Utilisation dans Acrobat Reader

Il est obligatoire en Belgique de signer les documents PDF concernant les déclarations fiscales. Pour pouvoir le faire avec AcrobatReader. Il faut aller dans Document → paramètre → PKCS #11 et ajouter le module /usr/lib/libbeidpkcs11.so

/usr/lib/libbeidpkcs11.so.2 sous Hardy et, apparemment, /usr/lib/libbeidpkcs11.so.3 avec le nouveau middelware

A la signature du PDF on vous demande sous quel nom enregistrer le document, vous devez donner le nom du document ouvert, et donc accepter de l'écraser

Si cela ne marche pas, que vous êtes pressés et que par contre l'intégration de votre eid dans firefox est au point, le gouvernement belge propose également de signer ses pdf en ligne (on les upload, et ils nous les reproposent au téléchargement, signés). Le service se trouve à l'adresse suivante:https://sign.belgium.be/

Voir aussi

Troubleshooting

Firefox

Redémarrer Firefox et réessayer une fois.

Pour être utilisé avec Firefox, le lecteur de cartes doit être branché au démarrage de Firefox démarre et non à l'utilisation.

Les modules ne sont opérationnels qu'après un redémarrage de Firefox.

beid-tool

Beid-tool est un logiciel qui permet de débugger les cartes d'identités. Si vous n'êtes pas développeur, passer-vous en!

Qt

L'installation du middelware 3.5.x crée des problèmes avec les librairies Qt. Les utilisateurs de GNOME auront des problèmes d'affichage avec VLC et ne pourront plus ouvrir Skype. Mais pour les utilisateurs de KDE, c'est carrément dangereux: ils ne pourront tout simplement plus ouvrir leur session! Restons-en donc à la méthode d'installation officielle. Si vous désirez détailler l'installation de la nouvelle version, faites-le dans un paragraphe séparé en précisant bien les dangers ou créez une nouvelle page. Virez ce truc et installez la version 4. sur ce forum une solution au problème.

Addon Firefox

FIXME peu clair!!! Il faut installer quoi finalement???!!! Personnellement, même pas vu le problème…

Installez cet addon et redémarrez Firefox

Méthode automatique

Exécutez le fichier beid-pkcs11-register.html se trouvant dans le répertoire "/usr/share/beid/".
Cette méthode a la particularité d'accumuler les rapports de non-fonctionnement.

Méthode manuelle

Utilisation de l'eID dans Firefox

Ensuite, pour utiliser des applications sécurisées sur internet qui vous demandent de vous authentifier, il faut dans firefox :

Édition > Préférences > Avancé > Chiffrement > Périphériques de sécurité > Charger

Comme nom de module, mettre "Belgium Identity Card PKCS#11", et comme nom de fichier de module, mettre "/usr/local/lib/libbeidpkcs11.so.2" (pour la version 2 installée via les dépôts) ou "/usr/local/lib/libbeidpkcs11.so.3.5.3" (pour la version installée à partir du site officiel beId). (Remarque, JuanD 01072009: chez moi, Ubuntu 8.04 et 9.04, ce fichier se trouvait sur "/usr/lib/libbeidpkcs11.so.2")

Ensuite, vous pouvez aller voir sur le site Fedict et consulter votre dossier par exemple, ou remplir votre déclaration d'impôts…

il faut bien évidemment lancer firefox via [gk]sudo IL FAUT BIEN ÉVIDEMMENT NE JAMAIS LANCER FIREFOX EN MODE ROOT, C'EST TRÈS DANGEREUX !!! Les configurations en question se font en mode utilisateur.

Ne pas oublier d'aller dans: Édition > Préférences > Avancé > Chiffrement>Afficher les certificats Y chercher: "Belgium Root CA2"; pour "Belgium Root CA" cliquer sur "Modifier la confiance" et cocher les 3 choix.

Pour les utilisateurs de Firefox 4.0 et plus: il y a eu une modification du protocole SSL. Vous aurez donc une erreur "ssl_error_renegotiation_not_allowed" lors des tentatives de connexion. Il faut: taper dans la barre d'adresse "about:config"; chercher la clé "security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref" et la faire passer en True (False par défault)

8/05/2011: Sous Natty, après avoir installé le addon et redémarré firefox, le module était déjà créé. La version des dépôts est la 3.5.2.

Conflit de Firefox avec Apparmor

Apparmor est un programme surveillant certains programmes, dont Firefox, pour les empêcher de faire des choses non prévues, surtout en cas d'attaque par un virus. Malheureusement, Apparmor ne prévoit pas que Firefox puisse faire accès à un lecteur de carte, du moins d'une certaine manière. Si vous observez dans le journal (log) de votre système des messages comme ceci :

kernel: [ 2614.129968] type=1503 audit(1310392211.087:64):  operation="open" pid=6150 parent=1 profile="/usr/lib/firefox-3.6.18/firefox-*bin" requested_mask="::r" denied_mask="::r" fsuid=1000 ouid=0 name="/var/run/pcscd/pcscd.pid"
kernel: [ 2614.130016] type=1503 audit(1310392211.087:65):  operation="open" pid=6150 parent=1 profile="/usr/lib/firefox-3.6.18/firefox-*bin" requested_mask="::r" denied_mask="::r" fsuid=1000 ouid=0 name="/var/run/pcscd/pcscd.pub"
kernel: [ 4421.849208] type=1503 audit(1310394018.807:76):  operation="exec" pid=6934 parent=6897 profile="/usr/lib/firefox-3.6.18/firefox-*bin" requested_mask="x::" denied_mask="x::" fsuid=1000 ouid=1000 name="/tmp/.raised-beid-askaccess"

Ajoutez les lignes suivantes en tête de /etc/apparmor.d/usr.bin.firefox (p.ex.: après "for networking")

# pour BeID:
/var/run/pcscd/pcscd.* r,
/tmp/* ix,

Puis, tapez la commmande:

sudo apparmor_parser -r /etc/apparmor.d/usr.bin.firefox

Contributeurs principaux: svergeylen Refonte complète de l'installation, pour la sortie d'Ubuntu 14.04 LTS ; equipc (remise en forme, utilisation dans Thunderbird et OpenOffice) ; Efhache84 (utilisation dans Evolution) ; sparky (Signature avec Acrobat) ; André (Version 4, conflit Firefox avec Apparmor, danger de apturl) ;



Le contenu de ce wiki est sous licence : CC BY-SA v3.0