Certificat Opalexe

Opalexe est une plateforme de dématérialisation des expertises judiciaires, développée en partenariat avec le ministère de la Justice, le Conseil national des compagnies d'experts de justice et le Conseil National des Barreaux. Elle repose sur une authentification par certificat électronique RGS**, certificat fourni sur carte à puce permettant également la signature électronique des documents, reconnue de niveau signature électronique qualifiée selon le règlement européen eIDAS.

La société Oodrive assure à la fois la gestion de la plateforme et le rôle de tiers de confiance (autorité de certification et autorité d'enregistrement, à travers sa filiale CertEurope). Les compagnies d'experts attestent de l'identité du porteur lors de la commande d'un certificat (autorité d'enregistrement déléguée).

Malheureusement, aucune documentation n'est fournie sur les possibilités d'utilisation sur GNU/Linux. En cas de demande, le support se contente de répondre que le système d'exploitation n'est pas compatible avec la plateforme. C'est pourtant tout à fait le cas, une fois le certificat activé !

L'étape d'activation initiale du certificat (à l'aide d'un code unique reçu par courriel ou SMS) nécessite l'utilisation d'un logiciel fourni par CertEurope, uniquement disponible pour Windows et Mac OS.
Pour une commande en octobre 2022, la carte fournie était une Thales (anciennement Gemalto) IDPrime 940, reconnue comme support cryptographique de type QCP-n-qscd, incluant un certificat émis par l'Autorité de certification CertEurope eID User, conforme à la norme ETSI EN 319 411-2, avec pour identifiant de politique 1.2.250.1.105.23.411.2.2.2.1.0 (voir la chaîne de confiance CertEurope).

À vérifier : d'autres services reposant sur un certificat du même type fourni par CertEurope sont probablement compatibles.

On peut vérifier que la carte est détectée avec la commande pcsc_scan.

Pour pouvoir utiliser la carte Opalexe, il faut télécharger et installer le logiciel SafeNet Authentication Client de Thales, par exemple depuis le support du fournisseur de certificats GlobalSign (Thales réserve malheureusement à ses clients directs l'accès au téléchargement du logiciel). Des versions avec et sans interface utilisateur sont fournies, celle sans interface fait très bien l'affaire.

La version 10.8.28 GA du SafeNet Authentication Client (juin 2021) dépend du paquet libssl1.1, qui n'est plus présent dans les dépôts : même si c'est loin d'être une solution idéale, il doit être téléchargé depuis les dépôts d'une version antérieure d'Ubuntu comme Bionic et installé au préalable.
La sortie de la version 10.8 R1 a été annoncée par Thales en décembre 2022 mais ne semble pas encore téléchargeable en accès libre.

Pour la lecture du certificat, on s'appuie sur les Network Security Services fournis à la fois par Firefox et Thunderbird, grâce au module PKCS#11 approprié.

Privilégiez Thunderbird si vous prévoyez uniquement de signer électroniquement des documents avec LibreOffice. Si vous devez utiliser Firefox, installez la version ESR ou installez la version APT à la place de la version snap pour pouvoir accéder au module PKCS#11.

Pour ajouter le module PKCS#11, se rendre dans les paramètres de Thunderbird ou Firefox, section Certificats, puis cliquer sur Périphériques de sécurité…, Charger, choisir un nom et sélectionner le module /usr/lib/libIDPrimeTokenEngine.so.

Pour activer l'utilisation du certificat (authentification et signature), rester dans la section Certificats, cliquer sur Gérer les certificats…, puis :

  • Dans Vos certificats, sélectionner le certificat et cliquer sur Voir… : dans Informations sur l'autorité, télécharger le fichier .cer ou .crt (Informations sur l'autorité (AIA), Méthode : CA Issuers)
  • Dans Autorités, importer le fichier .cer ou .crt et cocher tous les paramètres de confiance avant de valider.

Le certificat peut maintenant être utilisé pour signer électroniquement des documents avec LibreOffice associé à Thunderbird ou Firefox (choix à paramétrer dans Options, LibreOffice, Sécurité, Chemin du certificat, Certificat…), et/ou s'authentifier sur la plateforme Opalexe (avec une version de Firefox préalablement configurée).

  • certificat_opalexe.txt
  • Dernière modification: Le 30/12/2022, 18:39
  • par Frederic.d