{{tag>Jammy tutoriel matériel sécurité}}
----
{{ https://img2.freepng.fr/20180624/wuy/kisspng-smart-card-electronic-identification-computer-icon-5b2f69c1e2d9b5.4842458815298339219292.jpg?200}}
====== L'identification électronique : utiliser une carte d'identité électronique belge ======
La carte d'identité belge et son logiciel offrent une méthode sûre d'authentification des citoyens belges. Elle consiste en l'utilisation d'une clef privée et d'une clef publique signée ([[:gnupg|voir authentification par clef publique et clef privée]]) par l'autorité de certification propre à l'État belge.
L'ensemble peut être utilisée pour signer électroniquement des documents lorsque la carte d'identité est introduite dans le lecteur. Cette signature a une valeur légale, faites attention !\\
Cette page a pour but de décrire la procédure d'installation du lecteur de carte d'identité électronique belge. Les applications de la carte d’identité électronique belge (eID) sont par exemple la Tax-On-Web (Déclaration à l'Impôt), la gestion de dossiers de sécurité sociale (mutuelle, syndicat, ONP, Registre National) etc. Ce lecteur fonctionne également avec les cartes de crédit.
===== Pré-requis =====
* Disposer d'un lecteur de cartes compatibles [[wpfr>PC/SC|PC/SC]]
* Avoir [[:tutoriel:comment_installer_un_paquet|installé les paquets]] **[[apt>pcscd,libccid,libacsccid1|pcscd libccid libacsccid1]]**.
=====Installation=====
Pour installer le logiciel permettant d'accéder à la carte, il faut d'abord installer un paquet qui va ajouter les [[:depots|dépôts]] requis :
* Téléchargez le paquet **eid-archive.deb** fourni par l'État Belge (le nom du fichier peut être légèrement différent (ex: eid-archive_2023.1_all.deb). Il est disponible [[https://eid.belgium.be/fr/installation-du-logiciel-eid-sous-linux|ici : https://eid.belgium.be/fr/installation-du-logiciel-eid-sous-linux]]
* Depuis le terminal, installez ce package avec **sudo dpkg -i 'eid-archive.deb'**.
* Vérifier que la dernière ligne du fichier **/etc/apt/sources.list.d/eid.list** n'est pas mise en commentaire (elle doit ressembler à quelque chose comme "deb https://files.eid.belgium.be/debian jammy main", sans # au début de la ligne). Si cette lignée est commentée, décommentez là, et reconfigurez l'archive avec **dpkg-reconfigure eid-archive**.
* Puis [[:tutoriel:comment_modifier_sources_maj#recharger_la_liste_des_paquets|rechargez la liste des paquets]] avec **apt update**
Installez enfin le logiciel, en suivant les instructions affichées dans le terminal à l'installation du package.
* [[:tutoriel:comment_installer_un_paquet|Installez le paquet]]. Pour la version 2023, utilisez la commande **apt-get install eid-mw eid-viewer**
==== Test ====
vérifiez que le logiciel fonctionne. Avec la carte insérée dans le lecteur, lancez l'eID Viewer en tapant la commande suivante dans le terminal :
eid-viewer
Vous devriez voir apparaître une fenêtre montrant les informations contenue dans votre carte d'identité (nom, prénom, photo, etc).
==== Echec du test ====
Si le viewer ne fonctionne pas, il se peut que votre démon pcscd ne soit pas lancé.
Il faut alors passer les deux commandes suivantes:
sudo systemctl enable pcscd
sudo systemctl start pcscd
puis relancer l'EID viewer:
eid-viewer
===== Intégration dans les navigateurs web =====
Pour s'authentifier, les [[:navigateur|navigateurs web]] doivent accéder aux certificats de votre carte d'identité électronique.
De manière générale, un navigateur web installé via [[:snap|Snap]] ou [[:flatpak|Flatpak]] ([[:firefox|Firefox]] et [[:chromium-browser|Chromium]] par défaut sur [[:jammy|Ubuntu 22.04]]) et versions suivantes, ne pourra accéder aux certificats de votre carte d'identité (Voir la page FAQ du [[https://eid.belgium.be/fr/faq/pourquoi-lutilisation-de-leid-est-elle-impossible-avec-des-logiciels-de-snap-etou-flatpak#7636|site officiel de eID]]). D'où la nécessité de la procédure qui suit.
Pour une utilisation d'Eid avec un [[:navigateur|navigateurs web]], on doit installer ce dernier:
* soit via un [[:ppa|ppa]]: voici la marche à suivre pour installer [[:firefox#installer_firefox_en_.deb_classique_au_lieu_de_snap|Firefox]] ou [[:chromium-browser#Installation|Chromium]] depuis leurs [[:ppa|ppa]] officiels.
* soit de manière directe : télécharger la version autonome de Firefox sur le site officiel [[https://www.mozilla.org/fr/firefox/new/ | Firefox]]. Il est très facilement "installable" dans un contexte mono-utilisateur décrit [[https://doc.ubuntu-fr.org/firefox_quelques_astuces#contexte_utilisateur_unique_installation_dans_sa_session_uniquement| ici]] ou avec quelques manipulations dans un contexte multi-utilisateurs décrit [[https://doc.ubuntu-fr.org/firefox_quelques_astuces#contexte_multi-utilisateurs_installation_pour_tous_les_utilisateurs|| ici]]. Test EID belge Ok sur 24.04 LTS.=)
====Firefox====
L'installation du paquet intègre l'extension pour Mozilla. Si le module n’apparaît tout de même pas dans le gestionnaire de modules de Firefox faites ce qui suit :
* Téléchargez et installez l'extension **eID Belgique** [[https://addons.mozilla.org/fr/firefox/addon/belgium-eid/|ici]] ou via votre gestionnaire de modules :
* Redémarrer Firefox et connectez-vous une première fois à ''https://my.belgium.be/'' : ça ne marche pas, et __c’est normal__ : les certificats viennent seulement d’être ajoutés, il reste à les autoriser…
* Pour cela allez dans //Menu Firefox (à droite) -> Préférences -> Avancé -> Certificats -> Afficher les certificats -> Chercher les Certificats Belgian Root (CA, CA1, CA2, CA3 et/ou CA4)//,
* Pour chacun d’eux cliquez sur la ligne située sous la petite flèche de ce certificat. Cliquez sur //Modifier la confiance//, cochez les trois cases et cliquez sur « OK ». Cliquez deux fois sur « OK » pour refermer le Gestionnaire de certificats et les Options.
* Redémarrer Firefox ... :-D
Le lecteur de carte et la carte insérée doit être branché AVANT de lancer firefox !!!
==== Chrome / Chromium ====
* Ajoutez le support NSS en [[:tutoriel:comment_installer_un_paquet|installant le paquet]] **[[apt>libnss3-tools]]**.
* Configurez ensuite [[:google_chrome|chrome]] ou [[:chromium]], en fonction de l'architecture de votre système, comme décrit ci-dessous.
Il est **impératif** de fermer le navigateur avant de lancer les commandes ci-dessous, sous peine de corrompre les bases de données de sécurité sous-jacentes.
Sur une installation 32bits :
modutil -dbdir sql:.pki/nssdb/ -add "Belgium eID" -libfile /usr/lib/libbeidpkcs11.so
Sur une installation 64bits :
modutil -dbdir sql:.pki/nssdb/ -add "Belgium eID" -libfile /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so.0
Si l'intégration s'est bien passée, le résultat de cette commande (AVEC la carte d'identité dans le lecteur) : modutil -dbdir sql:.pki/nssdb/ -list
devrait ressembler à ceci :
Listing of PKCS #11 Modules
-----------------------------------------------------------
1. NSS Internal PKCS #11 Module
slots: 2 slots attached
status: loaded
slot: NSS Internal Cryptographic Services
token: NSS Generic Crypto Services
slot: NSS User Private Key and Certificate Services
token: NSS Certificate DB
2. Belgium eID
library name: /usr/lib/libbeidpkcs11.so
slots: 1 slot attached
status: loaded
slot: ACS ACR38U 00 00
token: BELPIC
-----------------------------------------------------------
====Navigateurs Brave et Opera====
Ne pas installer ces [[:navigateur|navigateurs]] à l'aide d'un [[:snap|snap]], mais bien de celle de leur [[:depots|dépôts]] officiels, ou du [[:deb|Paquet Debian]] de ces navigateurs.
Les navigateurs [[:brave|Brave]] et [[:opera|Opera]] sont basés sur le navigateur [[:Chromium-browser|Chromium]]. Une fois l'installation du logiciel eID effectuée (voir plus haut), ces navigateurs reconnaissent nativement l'utilisation d'une carte d'identité électronique belge (aucune extension nécessaire).
===== Utilisation =====
Lancez l'application comme indiqué [[:tutoriel:comment_lancer_application|ici]] ou via le [[:terminal]] (toutes [[:versions]] ou [[:variantes]] d'Ubuntu) avec la [[:commande_shell|commande]] suivante : eid-viewer
Elle vous permet de vérifier le fonctionnement du lecteur en lisant les informations et les certificats contenus dans votre carte d'identité et en pouvant changer le code PIN.
====Utilisation dans diverses application====
===Utilisation dans la messagerie Evolution===
Pour pouvoir signer vos courriels dans [[:Evolution]], il vous faut tout d'abord installer le module dans [[#Firefox]] (voir ci-dessus).
Ensuite (Evolution doit être fermé!!!), copiez le fichier //secmod.db// du répertoire de Firefox dans le répertoire d'Evolution (dossiers cachés) avec la commande suivante dans un [[:terminal]] :
cp ~/.mozilla/firefox/dossier_au_nom_aléatoire.default/secmod.db ~/.evolution
Adaptez //dossier_au_nom_aléatoire.default// à votre nom de dossier.
Une fois ce fichier //secmod.db// copié dans le dossier ~/.evolution, et **les droits correctement attribués**, réouvrez Evolution (lecteur de carte branché et carte d'identité dans le lecteur). Allez dans le menu Edition/préférence/certificat et constatez que vos certificats sont présents.
Ensuite, dans les préférences de votre compte mail (ou de chacun pour ceux qui en possèdent plusieurs), sous l'onglet sécurité, sélectionnez parcourir pour la signature S/MIME et sélectionnez le module adéquat (authentifier ou signer... suivant que vous désiriez utiliser votre carte pour signer numériquement ou simplement authentifier votre courriel ((Valeur juridique identique à une signature manuscrite, voir [[http://www.belgium.be/fr/economie/commerce_et_consommation/protection_du_consommateur/commerce_electronique/siganture_electronique/|ici]]))
Il vous faut désormais certifier que vous autorisez le certificat d'autorité (CA) nommé Belgium root à 'authentifier la validité des certificats'. Pour ce faire, dans //Édition->Préférence->Certificat//, sélectionnez, sous l'onglet 'autorité', //belgium root// et éditez-le. Cochez le fait que vous l'autorisez à identifier les auteurs de mails...
A présent, lors de l'écriture d'un courriel, juste avant son envoi, sélectionnez //Sécurité// puis cochez //Signer par S/MIME//, //Envoyer// et là Evolution vous demandera votre code PIN de la carte d'identité...
===Utilisation dans Thunderbird===
Pour pouvoir signer vos courriels dans [[:Thunderbird]], il vous faut tout d'abord installer le module dans [[#Firefox]] (voir ci-dessus).
Ensuite suit :
* Allez dans //Préférences->Préférences->Avancé->Certificats->Périphériques de sécurité//,
* Choisissez dans l'encadré à gauche : ''Module name: Belgium Identity Card PKCS#11 Module filename: /usr/lib/libbeidpkcs11.so'',
* Cliquez sur //Charger//.
Pour Thunderbird 60.7 sous Ubuntu 18.04, ensuite suit :
* Allez dans //Editer->comptes//,
* Sélectionnez le label //Sécurité// dans le compte souhaité
* Sur le panneau de droite, cliquez sur //Security device//
* Un nouveau panneau s’ouvre, choisissez dans l'encadré à gauche : ''Module name: Belgium Identity Card PKCS#11 Module filename: /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so'',
* Cliquez sur //Charger// - le panneau se ferme.
* Insérez votre carte eID dans le lecteur,
* Toujours sur le panneau //sécurité// du compte, sélectionnez votre certificat pour la signature ou le chiffrement.
===Utilisation dans LibreOffice===
Il faut d'abord définir le chemin vers le certificats, soit à partir du profil de Thunderbird (par défaut) soit à partir de Firefox. Pour paramétrer cela allez dans //Outils → Options → Sécurité → Chemin du certificat//
Vous pouvez ensuite indiquer numériquement que vous êtes l'auteur d'un document Writer ou Calc.
Après avoir créé le document dans [[:LibreOffice]] et l'avoir sauvé sur disque (obligatoire), choisissez le menu //Fichier -> Signatures numériques//.
===Signer un PDF ===
Il est obligatoire en Belgique de signer les documents PDF concernant les déclarations fiscales.
Soit vous utilisez Libreoffice et vous l'exportez en pdf, soit vous passez par [[:acroread|Acrobat reader]].
\\Pour pouvoir le faire avec [[:acroread|Acrobat Reader]].
Il faut aller dans //Document -> Paramètres -> PKCS #11// et ajouter le module ''/usr/lib/libbeidpkcs11.so'' ou /usr/lib/libbeidpkcs11.so.3 avec la nouvelle version.
À la signature du PDF on vous demande sous quel nom enregistrer le document, vous devez donner le nom du document ouvert, et donc accepter de l'écraser
Le gouvernement belge propose également de signer ses pdf en ligne (on les téléverse, et ils nous les reproposent au téléchargement, signés). Le service se trouve à l'adresse suivante: ''https://sign.belgium.be/''.
=====Voir aussi=====
* [[http://www.bxlug.be/?Installer-Eid-lecteur-de-carte-d|Page Complémentaire à ce tutoriel]],
* [[https://eid.belgium.be/fr/quest-ce-que-la-eid|Page générale d'information sur la carte d'identité électronique belge ]]
* [[https://xubuntu.fr/forum/viewtopic.php?f=2&t=2674|une procédure simple et efficace sur xubuntu.fr]]
* [[http://wiki.yobi.be/wiki/Belgian_eID|le wiki Yobi]].
----
//Contributeurs principaux: [[:utilisateur:svergeylen]] Refonte pour Ubuntu 14.04 LTS ; [[utilisateurs:equipc]] utilisation dans Thunderbird et OpenOffice ;
[[:utilisateurs:efhache84|Efhache84]] (utilisation dans Evolution) ; [[:utilisateurs:sparky]] (Signature avec Acrobat) ; [[:utilisateurs:A Pirard|André]] (Version 4, conflit Firefox avec Apparmor, danger de apturl).
//