Les avocats exerçant devant les juridictions dont la procédure relève de la procédure écrite sont dans l'obligation de transmettre certains actes de procédure par voie électronique aux juridictions judiciaires (concernant les juridictions administratives, un identifiant de connexion peut être demandé directement auprès de votre tribunal administratif territorialement compétent évitant d’utiliser rpva)

Ce transfert se fait par connexion internet via un navigateur web, vers un serveur sécurisé en charge de la gestion des échanges entre les avocats et les juridictions.

Le système nécessitait deux dispositifs de sécurité : un boitier NAVISTA faisant office de VPN et une clef de certification fournies par l'ordre des avocats utilisé par le navigateur internet pour le chiffrage et la sécurisation de la connexion au serveur.

Me CUIFF a fait un descriptif assez complet de l'architecture du dispositif

Le boitier NAVISTA n'est plus nécessaire depuis le mois d'avril 2016. Désormais la connexion au RPVA ne nécessite que l'installation d'une clef de sécurité permettant l'identification de l'utilisateur.

Cette clef est commandée auprès du CNB - organisme national fédérant les différentes organisations locales des avocats (les barreaux).

L'avocat va récupérer auprès de son ordre local, une clef USB et des instructions d'installation et d'activation pour Windows et MacOs.

Sur Linux, la clef de certification nécessite d'être reconnue par le navigateur web. À ce jour, cette solution n'a été testée qu'avec Firefox.

La présente documentation est reprise de l'association CYBERTRON qui édite en open-source une solution de gestion d'activité de cabinets d'avocats et dont le wiki est consultable ici

Les clés (aussi appelées "token") RPVA concernées par ce tutoriel et qui requièrent l'installation de pilotes spécifiques concernent de nombreux modèles, dont : - modèle IDGO 800 - modèle IDPrime 940 (type ID Prime MD) - modèle eToken5100

(Cliquer et télécharger le lien) : `https://www.digicert.com/StaticFiles/Linux_SAC_10.9_GA.zip`

Décompressez l'archive qui se trouve dans votre dossier de téléchargement.

Aller dans le sous-dossier correspondant à votre version d'UBUNTU (jusqu'à la 22.04) :

'`SAC_10_8_28_GA_Build/SAC 10.9 GA Build/Installation/Standard/Ubuntu-2204`'

Cliquez avec le bouton droit sur le fichier (ou toute version plus récente)

 safenetauthenticationclient_10.9.4723_amd64.deb 

Cliquer sur 'Ouvrir avec Installation de l'application' (ou tout autre nom apparaissant en première ligne'

Une fenêtre s'ouvre avec le nom 'safentauthenticationclient - SAS PKCS#11 middleware'

Cliquer sur Installer.

c'est qu'il vous manque des dépendances, car le driver fourni par le CNB a besoin de ressources logicielles externes anciennes et obsolètes qu'il faudra installer juste pour ce driver.

Vous pouvez installer les paquets manquants en remplacant "paquet manquant" par le nom de la dépendance manquante signalée lors de l'installation :

 # wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.0g-2ubuntu4_amd64.deb 

 # sudo dpkg -i libssl1.1_1.1.0g-2ubuntu4_amd64.deb 

Relancer l'installation de SAC prévue au dessus.

La console renvoie une erreur.

Lancer la commande :

 # sudo apt --fix-broken install  

et le problème est réglé !

Il faut d'abord installer quelques dépendances si elles ne le sont pas déjà :

 # sudo apt install pcscd pcsc-tools 

Tapez ensuite :

 # systemctl status pcscd 

Dans la réponse : vérifiez que le service est bien actif :

 # pcscd.service - PC/SC Smart Card Daemon 

 Loaded: loaded (/usr/lib/systemd/system/pcscd.service; indirect; vendor preset: disabled) 

 Active: active (running) since Mon 2019-05-27 22:22:27 -03; 1h 23min ago 

 Docs: man:pcscd(8)

 Main PID: 25347 (pcscd)

 Tasks: 8 (limit: 4915)

 CGroup: /system.slice/pcscd.service 

 └─25347 /usr/sbin/pcscd –foreground 

Insérer la clé RPVA puis tapez :

 lsusb 

vérifiez que le résultat comprend bien la ligne suivante

 Gemalto GemPC Key SmartCard Reader 

comme dans l'exemple ci-dessous :

Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 005: ID 08e6:3438 Gemalto (was Gemplus) GemPC Key SmartCard Reader
Bus 002 Device 004: ID 0e0f:0008 VMware, Inc. VMware Virtual USB Mouse
Bus 002 Device 003: ID 0e0f:0002 VMware, Inc. Virtual USB Hub
Bus 002 Device 002: ID 0e0f:0003 VMware, Inc. Virtual Mouse 
Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

Tapez ensuite :

 # pcsc_scan 

Vérifiez que le résultat comprend bien la mention "Gemalto USB Shell Token V2" comme dans l'exemple ci-dessous :

`Using reader plug'n play mechanism` `Scanning present readers…` `0: Gemalto USB Shell Token V2 (B21C5FA8) 00 00` `Thu Jan 30 17:50:27 2020` `Reader 0: Gemalto USB Shell Token V2 (B21C5FA8) 00 00`

`Event number: 0`
`Card state: Card inserted, Shared Mode,`
`ATR: 3B 7F 96 00 00 80 31 80 65 B0 85 03 00 EF 12 0F FE 82 90 00'`

Il faut ensuite télécharger le pilote que l'on trouve à l'adresse suivante :

* version 10.9 : https://knowledge.digicert.com/general-information/how-to-download-safenet-authentication-client

`https://www.digicert.com/StaticFiles/Linux_SAC_10.9_GA.zip` ou `wget https://www.digicert.com/StaticFiles/Linux_SAC_10.9_GA.zip`

Il faut ensuite installer le paquet téléchargé (à modifier selon la version) :

Ubuntu 22.04 `dpkg -i safenetauthenticationclient_10.9.4723_amd64.deb` ou en cliquant avec le bouton droit sur le fichier et choisir l'installateur de programmes Fedora `dnf install SafenetAuthenticationClient-10.9.4723-1.el9.x86_64.rpm` ou en cliquant avec le bouton droit sur le fichier et choisir l'installateur de programmes

Pour finir, il faut encore installer les certificats dans le navigateur FIREFOX (voir ci-après).

Vous pouvez installer les paquets manquants en remplacant "paquet manquant" par le nom de la dépendance manquante signalée lors de l'installation :

Vous pouvez installer les paquets manquants en remplacant "paquet manquant" par le nom de la dépendance manquante signalée lors de l'installation :

` wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.0g-2ubuntu4_amd64.deb` ` sudo dpkg -i libssl1.1_1.1.0g-2ubuntu4_amd64.deb`

Relancer l'installation de SAC prévue au dessus.

La console renvoie une erreur.

Lancer la commande :

`sudo apt –fix-broken install `

et le problème est réglé !

D'autres liens pour creuser :

- https://descartes-avocats.com/tag/rpva/ - https://adnotech.adwin.fr/post/RPVA-LINUX - https://github.com/OpenSC/OpenSC/wiki/Installing-OpenSC-PKCS%2311-Module-in-Firefox,-Step-by-Step - https://doc.ubuntu-fr.org/avocats_sur_ubuntu - https://en.wikipedia.org/wiki/PKCS_11 - http://docs.oasis-open.org/pkcs11/pkcs11-base/v2.40/os/pkcs11-base-v2.40-os.html

Un GUI permettant une gestion des clefs par l'interface graphique existe également.

Il est téléchargeable ici : https://keystore-explorer.org/downloads.html

Une fois installé, il permet de vérifier l'installation et d'accéder aux informations contenues sur la clef, extraire des certificats, générer des paires de clefs…

28-02_2024 : le packet SNAP de Firefox ne permet pas de connecter la clef. Il faut donc désinstaller la version SNAP et installer la version DEB de Firefox.

[Mozilla vous explique](https://support.mozilla.org/en-US/kb/install-firefox-linux?) comment installer la version .deb qui permet d'éviter que la version Snap ne vous empêche d'utiliser votre clef RPVA]

Pour obtenir la version française il faut remplacer, au sein du tutorial, le nom `firefox` par `firefox-l10n-fr`

{.is-warning}

Puis lancer Firefox et suivre le processus standard :

- Aller dans Paramètres

- Aller dans Vie privée et sécurité/Sécurité (côté droit, en bas de la page)/Certificats puis cliquez sur Afficher les certificats.

- Dans l’onglet Autorités, cliquez sur Importer.

- Importer tour à tour les quatre certificats en validant à chaque fois (touche Ok).

Liens de téléchargement des certificats :

- https://www.certeurope.fr/reference/certeurope_root_ca_3.cer - https://www.certeurope.fr/reference/CertEurope_eID_Root.cer - https://www.certeurope.fr/reference/certeurope_advanced_v4.cer - https://www.certeurope.fr/reference/CertEurope_eID_User.cer

La clé toujours insérée, allez dans le menu Outils/Options du menu Firefox puis dans Vie privée/Sécurité (côté droit, en bas de page), puis cliquez sur Périphériques de sécurité. Dans l’onglet Certificats, cliquez sur Périphériques de Sécurité.

- Cliquez sur Charger pour définir le nouveau dispositif. Entrez le nom du module: TKM

- Cliquez sur Parcourir et rechercher libeTPkcs11.so dans `usr/lib64`. Validez.

- En cas de soucis, vous pouvez essayer de trouver le pilote dans `usr/lib/pkcs11/`

N.B. : lors de votre connexion au RPVA, le mot de passe de votre utilisateur Ubuntu/Debian peut vous être demandé.

S’il demande à nouveau le mot de passe, il s’agit du code PIN à 4 chiffres de la clé.

Choisir le second certificat proposé (le nom le plus court).

- Fermer les paramètres.

- Aller sur https://www.cnb.avocat.fr/

- Cliquer sur Connexion (en haut à droite) et "s'identifier avec E-DENTITAS"

En cliquant sur l'identification, une boite de dialogue vous demandera votre code PIN.

Vous êtes connectés !

- Si vous êtes renvoyés sur la page de connexion OTP (celle où on vous demande votre identifiant CNBF), il faut vider l'historique de Firefox (Menu Hamburger - Historique - vider l'historique récent - sélectionner "tout")

N.B. : l'utilisation de la nouvelle clé fournie en 2023 par le CNB ralentit à l'extrême l'utilisation de Firefox. Nous ne pouvons que conseiller Chromium dans l'attente d'une meilleure solution.

{.is-warning}

Fedora 38 comprend un gestionnaire de modules pkcs11 qui doit être utilisé de préférence pour gérer la clé RPVA (l'utilitaire modutil vient créer une entrée concurrente, ce qui n'est pas conseillé - cet utilitaire doit être réservé aux anciennes versions de Fedora - 34 et inférieures).

Après avoir installé le pilote avec le paquet .rpm (cf. ci-dessus - adaptez la procédure en ligne de commande en utilisant la commande `dnf install` au lieu de `apt install` et/ou `dpkg -i`), il faut créer un module dédié :

`sudo nano /etc/pkcs11/modules/rpva.module`

Copier ensuite ceci dans la première ligne de ce nouveau fichier :

`module: /lib/pkcs11/libIDPrimePKCS11.so`

Puis quitter en sauvegardant le fichier : ctrl+o.

Redémarrez le navigateur et la clé devrait fonctionner !

Contrairement à FIREFOX, Chrome ne propose aucun menu pour ajouter un pilote de clé. Il faut donc installer le pilote en ligne de commande.

Pour commencer, il faut fermer tous les navigateurs ouverts

Il faut ensuite utiliser l'utilitaire modutil. Il n'est pas installé par défaut. Il est donc peut être nécessaire d'installer le paquet nss-tools qui contient modutil

`sudo dnf install nss-tools`

Voici ensuite la commande à lancer pour installer le pilote dans chrome.

`modutil -dbdir sql:/home/$USER/.pki/nssdb/ -add "RPVA" -libfile /usr/lib/pkcs11/libIDPrimePKCS11.so`

N.B. : Sur Firefox, il faut "décharger" le module "p11-kit-proxy" dans la fenêtre "périphériques de sécurité" de l'onglet "vie privée et sécurité" du menu "Paramètres" pour que la clef soit reconnue.

{.is-warning}

Fedora 41 comprend un gestionnaire de modules pkcs11 qui doit être utilisé de préférence pour gérer la clé RPVA, sauf pour la petite clef eToken5110 qui n'est pas (encore) compatible.

{.is-info}

Après avoir installé le pilote avec le paquet .rpm (cf. ci-dessus - adaptez la procédure en ligne de commande en utilisant la commande `dnf install` au lieu de `apt install` et/ou `dpkg -i`).

Pour utiliser le driver il faut ajouter manuellement le driver qui se trouve à cet emplacement de votre machine locale :

/usr/lib64/libeToken.so.10.8.1050

Pour ce faire aller au menu

"Paramètres / Vie Privée et Sécurité / Périphériques de sécurité"

Cliquer sur "Charger" Indiquer le chemin /usr/lib64/libeToken.so.10.8.1050 et donnez un nom au périphérique

Après validation il faut retourner dans la fenêtre de dialogue qui aura disparu sous les autres en maintenant ensemble les touches Alt et ^2^ (sélection des fenêtres de l'application)

{.is-warning}

Ensuite il faut désactiver le périphérique PKCS11 en cliquant sur "Décharger" ou "Unload" du périphérique

Si vous relancez Firefox en mode normal, il rechargera le périphérique et il faudra le désactiver à nouveau. Par contre si vous lancez le navigateur en mode "navigation privée" il n'y aura pas besoin de désactiver à nouveau.

{.is-warning}

## THUNDERBIRD (78.8.1 sur UBUNTU 20.04.02)

Allez dans le Menu "Edition - Préférences"

Cliquez sur "Vie Privée et Sécurité"

Au niveau "Certifcats" cliquez sur "Périphériques de sécurité"


Si vous avez effectué le processus dans Firefox, le périphique s'y affiche. Sinon il faut reproduire la mnoeuvre en chargeant le module et en indiquant le chemin où se trouve libeTPkcs11.so

Une fois l'installation terminée, vous pouvez utiliser la clef pour signer vos mails.

Aller dans 'Outil' - 'Options' - 'Libreoffice' - 'Sécurité'


Dans 'Chemin du certificat' cliquer sur 'Certificat…'

Sélectionner 'firefox:default-release'


#### SIGNER UN DOCUMENT ODT

Le document doit avoir été sauvegardé une fois

Sélectionner dans 'Fichier' - 'Signatures numériques' - 'Signatures numériques'

Cliquer sur 'Signer le document'

ATTENTION : une boite de dialogue s'est ouverte et peut avoir été cachée par l'interface sous la boite de dialogue précédente. Elle demande le code PIN de la clef. Entrer le code et appuyer sur ENTER. Les certifcats de la clef s'affichent et sont sélectionnables

ASTUCE : AMt-œ (la touche au dessus de tabulation) permet de faire remonter la fenêtre au premier plan. Vous pouvez aussi la faire apparaitre en cliquant sur la roue dentée qui apparait dans la barre de tache de Ubuntu (sous les icones des applicatons). Vous pouvez aussi bouger la fenêtre de gestion des certifcats avec la souris, pour faire apparaitre la boite de dialogue du code en dessous.

Sélectionner 'Fichier' - 'Signatures numériques' - 'Signer un PDF existant'

Libreoffice ouvrira le PDF

En haut du document, une barre bleue apparait : 'Ce PDF est ouvert en mode lecture seule pour autoriser la signature du fichier existant'. Cliquer sur le bouton à droite 'Signer le document'.

Dans la boite de dialogue, cliquer sur 'Signer le document'.

ATTENTION : une boite de dialogue s'est ouverte et peut avoir été cachée par l'interface sous la boite de dialogue précédente. Elle demande le code PIN de la clef. Entrer le code et appuyer sur ENTER. Les certifcats de la clef s'affichent et sont sélectionnables

ASTUCE : AMt-œ (la touche au dessus de tabulation) permet de faire remonter la fenêtre au premier plan. Vous pouvez aussi la faire apparaitre en cliquant sur la roue dentée qui apparait dans la barre de tache de Ubuntu (sous les icones des applicatons). Vous pouvez aussi bouger la fenêtre de gestion des certifcats avec la souris, pour faire apparaitre la boite de dialogue du code en dessous.

Votre PDF est signé numériquement.

La clé est une IDGO 800 qui nécessite de nouveaux drivers.

Installer les dépendances :

$ sudo apt install pcscd pcsc-tools

Vérifier que le service pcsc est actif :

$ systemctl status pcscd

Résultat (vérifier la présence de la mention active / running) :

 pcscd.service - PC/SC Smart Card Daemon
   Loaded: loaded (/usr/lib/systemd/system/pcscd.service; indirect; vendor preset: disabled)
   Active: active (running) since Mon 2019-05-27 22:22:27 -03; 1h 23min ago
     Docs: man:pcscd(8)
 Main PID: 25347 (pcscd)
    Tasks: 8 (limit: 4915)
   CGroup: /system.slice/pcscd.service
           └─25347 /usr/sbin/pcscd –foreground

Insérer la clé RPVA et vérifier que le résultat de la commande lsusb comprend bien la ligne Gemalto GemPC Key SmartCard Reader (seconde ligne dans l'exemple de résultat ci-dessous) :

$ lsusb

Résultat :

Bus 001 Device 001: ID 1d6b:0002 Linux Foundation 2.0 root hub
Bus 002 Device 005: ID 08e6:3438 Gemalto (was Gemplus) GemPC Key SmartCard Reader 
Bus 002 Device 004: ID 0e0f:0008 VMware, Inc. VMware Virtual USB Mouse
Bus 002 Device 003: ID 0e0f:0002 VMware, Inc. Virtual USB Hub
Bus 002 Device 002: ID 0e0f:0003 VMware, Inc. Virtual Mouse 
Bus 002 Device 001: ID 1d6b:0001 Linux Foundation 1.1 root hub

Vérifier la reconnaissance de la clé par pcsc (on doit trouver la mention Gemalto USB Shell Token V2 dans le résultat) :

$ pcsc_scan

Résultat :

Using reader plug'n play mechanism
Scanning present readers...
0: Gemalto USB Shell Token V2 (B21C5FA8) 00 00
Thu Jan 30 17:50:27 2020
 Reader 0: Gemalto USB Shell Token V2 (B21C5FA8) 00 00
  Event number: 0
  Card state: Card inserted, Shared Mode, 
  ATR: 3B 7F 96 00 00 80 31 80 65 B0 85 03 00 EF 12 0F FE 82 90 00

### Version 10.8

Aller sur le site de support où trouver le driver :https://knowledge.digicert.com/general-information/how-to-download-safenet-authentication-client

Cliquez et téléchargez sur la version correspondant à votre architecture (pour la suite on a chosi la 10.8.28 amd64 et l'installation indiquée pour Ubuntu 20.04)

Décompressez l'archive qui se trouve dans votre dossier de téléchargement.

Aller dans le sous-dossier : `SAC_10_8_28_GA_Build/SAC 10.8.28 GA Build/Installation/Standard/Ubuntu-2004`

Cliquez avec le bouton droit sur le fichier `safenetauthenticationclient_10.8.28_amd64.deb`

Cliquer sur 'Ouvrir avec Installation de l'application' (ou tout autre nom apparaissant en première ligne'

Une fenêtre s'ouvre avec le nom 'safentauthenticationclient - SAS PKCS#11 middleware'

Cliquer sur Installer.

Ou en ligne de commande dans le dossier de téléchargement :

$ dpkg -i SafenetAuthenticationClient-10.8.28_amd64.deb

c'est qu'il vous manque des dépendances, car le driver fourni par le CNB a besoin de ressources logicielles externes anciennes et obsolètes qu'il faudra installer juste pour ce driver.

Vous pouvez installer les paquets manquants en remplacant "paquet manquant" par le nom de la dépendance manquante signalée lors de l'installation :

` wget http://archive.ubuntu.com/ubuntu/pool/main/o/openssl/libssl1.1_1.1.0g-2ubuntu4_amd64.deb` ` sudo dpkg -i libssl1.1_1.1.0g-2ubuntu4_amd64.deb`

Relancer l'installation de SAC prévue au dessus.

La console renvoie une erreur.

Lancer la commande :

`sudo apt –fix-broken install `

et le problème est réglé ! (Merci Romain Winczewski)

Allez dans Vie privée et sécurité/Sécurité (côté droit, en bas de la page)/Certificats puis cliquez sur Afficher les certificats.

Dans l’onglet Autorités, cliquez sur Importer.

Importer tour à tour les quatre certificats en validant à chaque fois (touche Ok).

Liens de téléchargement des certificats :

http://www.certeurope.fr/reference/certeurope_root_ca_3.cer

https://www.certeurope.fr/reference/CertEurope_eID_Root.cer

http://www.certeurope.fr/reference/certeurope_advanced_v4.cer

https://www.certeurope.fr/reference/CertEurope_eID_User.cer

La clé toujours insérée, allez dans le menu Outils/Options du menu Firefox puis dans Vie privée/Sécurité (côté droit, en bas de page), puis cliquez sur Périphériques de sécurité. Dans l’onglet Certificats, cliquez sur Périphériques de Sécurité.

Cliquez sur Charger pour définir le nouveau dispositif. Entrez le nom du module: TKM (ou autre, je ne crois pas que cela change quoi que ce soit).

Cliquez sur Parcourir et rechercher libeTPkcs11.so dans usr/lib64. N.B. : libeTPkcs11.so peut également se trouver ici: /usr/lib/libeTPkcs11.so. Valider.

N.B. : lors de votre connexion au RPVA, le mot de passe de votre utilisateur Ubuntu/Debian peut vous être demandé.

S’il demande à nouveau le mot de passe, il s’agit du code à 4 chiffres de la clé.

Choisir le second certificat proposé (le nom le plus court).

Vous êtes connectés !

Vous voilà, en principe, en mesure de vous connecter avec la plateforme E-Barreau.

Vous pourrez ainsi consulter votre messagerie avec les juridictions.

Dans l'attente du RPVA V2, la contenance totale de la boite de messagerie est TRES limitée. Il convient donc d'exporter régulièrement vos mails dans une archive si vous ne voulez pas les voir disparaitre.

L'interface est très limitée pour ce faire, vous obligeant à limiter le nombre de mails affichés et téléchargés.

Une astuce pour télécharger l'ensemble de vos mails en une fois est d'ouvrir la console de Firefox (F12), sélectionner console, et entrer la ligne de commande :

mail_nbMailGenericParPage=10000; gotoInboxWithParam(0,"dateMsg","DESC");

Vous pourrez ainsi sélectionner tous les messages et les télécharger en une fois.

• Cela a été le cas pour moi (kiceki) de 2012 à 2018.
• Testé et fonctionnel en janvier 2020 sur UBUNTU 16.04, UBUNTU 19.04 et UBUNTU 19.10

Bonjour tout le monde. Il semblerait que le logiciel ecofax (fourni avec ovh) empêche le processus d'installation.

L'installation d'autres logiciels peut interférer avec cette installation et la rendre non-fonctionnelle.

Problème rencontré avec l'installation du logiciel Audacity qui remplace la dépendance libwxbase3.0-0_3.0.0-2_amd64 par une version plus récente. Seule la désinstallation du logiciel permet la réinstallation de l'ancienne dépendance.

Le logiciel Firefox peut refuser de se lancer lorsque la clef est présente. Il suffit d’ôter la clef, lancer Firefox et d'insérer la clef ensuite. Il faut probablement décharger les périphériques de sécurité issus d'anciennes installation.

Sur Ubuntu 22.04 deux problèmes doivent être résolus pour l'installation:

• pour installer le .deb SafeNetAuthentication il faut installer une ancienne version de libssl depuis les dépôts d'Ubuntu 20.04.

echo "deb http://security.ubuntu.com/ubuntu focal-security main" | sudo tee /etc/apt/sources.list.d/focal-security.list

sudo apt update

sudo apt-get install libssl1.1

• pour charger les certificats sur la clef, la version snap de Firefox pose problème. Il faut donc installer la version .deb (un tutoriel est disponible sur le site d'omgubuntu.co.uk(https://www.omgubuntu.co.uk/2022/04/how-to-install-firefox-deb-apt-ubuntu-22-04).

• (fr,) Les articles sur le sujet de Me CUIF, avocat
• (fr,) article ADNOTECH sur le sujet
• (fr,) guide installation PKCS multiplateforme
• (fr,) liste des libraires middleware PKCS#11

Contributeurs principaux : kiceki