Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
Prochaine révision Les deux révisions suivantes
tutoriel:utiliser_carte_identite_electronique_belge [Le 01/04/2020, 13:56]
31.37.12.186 [Conflit de Firefox avec Apparmor]
tutoriel:utiliser_carte_identite_electronique_belge [Le 19/07/2022, 12:01]
applejuice [Navigateur Brave]
Ligne 1: Ligne 1:
-{{tag>Trusty Xenial ​tutoriel matériel sécurité}}+{{tag>bionic ​tutoriel matériel sécurité}}
 ---- ----
  
 +{{  https://​img2.freepng.fr/​20180624/​wuy/​kisspng-smart-card-electronic-identification-computer-icon-5b2f69c1e2d9b5.4842458815298339219292.jpg?​200}}
 +====== L'​identification électronique : utiliser une carte d'​identité électronique belge ======
  
-====== Utiliser une carte d'​identité électronique belge====== +La carte d'​identité belge et son logiciel offrent une méthode sûre d'​authentification des citoyens belges. Elle consiste en l'​utilisation d'une clef privée et d'une clef publique signée ([[:​gnupg|voir authentification par clef publique et clef privée]]) par l'​autorité de certification propre à l'​État belge. ​
- +
-La carte d'​identité belge et son logiciel offrent une méthode sûre d'​authentification des citoyens belges. ​ Elle consiste en l'​utilisation d'une clef privée et d'une clef publique signée ([[:​gnupg|voir authentification par clef publique et clef privée]]) par l'​autorité de certification propre à l'​État belge. ​+
  
 L'​ensemble peut être utilisée pour signer électroniquement des documents lorsque la carte d'​identité est introduite dans le lecteur. Cette signature a une valeur légale, faites attention !\\ L'​ensemble peut être utilisée pour signer électroniquement des documents lorsque la carte d'​identité est introduite dans le lecteur. Cette signature a une valeur légale, faites attention !\\
Ligne 12: Ligne 12:
 ===== Pré-requis ===== ===== Pré-requis =====
  
-  * Disposer des [[:​sudo|droits d'​administration]]. 
-  * Disposer d'une connexion à Internet configurée et activée. 
   * Disposer d'un lecteur de cartes compatibles [[wpfr>​PC/​SC|PC/​SC]]   * Disposer d'un lecteur de cartes compatibles [[wpfr>​PC/​SC|PC/​SC]]
   * Avoir [[:​tutoriel:​comment_installer_un_paquet|installé les paquets]] **[[apt>​pcscd,​libccid,​libacsccid1|pcscd libccid libacsccid1]]**.   * Avoir [[:​tutoriel:​comment_installer_un_paquet|installé les paquets]] **[[apt>​pcscd,​libccid,​libacsccid1|pcscd libccid libacsccid1]]**.
-<​note>​La bibliothèque **libacsccid1** remplace les anciennes bibliothèques **libacr38u** et **libacr38ucontrol0** qui ne sont plus disponibles dans les dépôts à partir de [[:​bionic|Bionic 18.04 LTS]]. Cette nouvelle bibliothèque supporte une multitude de lecteurs de carte utilisant des puces du fabricant ACS(([[https://​www.acs.com.hk/​|Advanced Card System Ltd.]])).</​note>​ 
-<note tip>La gestion de cette transition ne s'est pas faite correctement. 
-\\ 
-\\ 
-D'une part, la communauté aurait dû plus participer pour signaler que le retrait de ces bibliothèques allait engendrer un impact sur l'​utilisation de certains logiciels. Il aurait fallu demander qu'un paquet de transition redirigeant **libacr38u** et **libacr38ucontrol0** vers **libacsccid1** soit crée pour le temps de la transition. 
-  * **[[https://​bugs.launchpad.net/​ubuntu/​+source/​belpic/​+bug/​1781819|Un bug]]** a été introduit sur Launchpad. Si vous êtes affecté par ce problème, vous pouvez le signaler en allant cliquer sur "This bug affects you" (+1) pour que celui-ci ait une chance d'​être corrigé. 
- 
-D'​autre part, le service fédéral en charge du développement du paquet **eid-mw** aurait dû enlever dans les recommandations du paquet pour la version [[:​bionic|Bionic 18.04 LTS]] le paquet **libacr38u** (qui n'​existe plus) et y mettre à la place le paquet **libacsccid1**. 
-  * Vous pouvez également signaler que vous êtes affecté par ce problème en contactant le bureau d'​assistance du Registre National (Belpic) via leur [[https://​eid.belgium.be/​fr/​contact|formulaire en ligne]]. 
-</​note>​ 
- 
  
 =====Installation===== =====Installation=====
-====Ajout du dépôt==== + 
-Pour installez ​les pilotes nécessaires au bon fonctionnement de votre carte il faut installer un paquet qui va ajouter les [[:​depots|dépôts]] requis :​ +Pour installer ​les pilotes nécessaires au bon fonctionnement de votre carteil faut installer un paquet qui va ajouter les [[:​depots|dépôts]] requis :​ 
-  * Téléchargez le paquet **eid-archive.deb** fourni par l'​État belge ([[https://​eid.belgium.be/​fr|via ici]]) à cette [[ https://​eid.belgium.be/​fr/​installation-du-logiciel-eid-sous-linux|adresse]]. +  * Téléchargez ​et [[:​tutoriel:​comment_installer_un_paquet|installez ​le paquet]] **eid-archive.deb** fourni par l'​État belge et , en mode terminal, sudo dpkg -i 'le paquet ​.deb' et suivre les messages ​[[ https://​eid.belgium.be/​fr/​installation-du-logiciel-eid-sous-linux|Installation du logiciel eID sous Linux]].
-  * Lancer la commande depuis un terminal a l'​endroit ou ce trouve l'​archive:​ java -jar eid-web-browser-mw-install-1.2.0.jar+
   * Puis [[:​tutoriel:​comment_modifier_sources_maj#​recharger_la_liste_des_paquets|rechargez la liste des paquets]].   * Puis [[:​tutoriel:​comment_modifier_sources_maj#​recharger_la_liste_des_paquets|rechargez la liste des paquets]].
 +  * Il ne vous reste plus qu'à [[:​tutoriel:​comment_installer_un_paquet|installer le paquet]], **[[apt>​eid-mw]]**,​ puis **[[apt>​eid-viewer]]**
 +
 +==== Test ====
 +Avand d'​aller plus loin, tester que le lecteur et votre carte (insérée) fonctionnent bien, en lancant l'EID viewer :
 +
 +<​code>​eid-viewer</​code>​
 +
 +Les informations de votre carte doivent s'​afficher dans une nouvelle fenêtre: votre nom, votre photo,...
 +
 +==== Echec du test ====
 +Si le viewer ne fonctionne pas, il se peut que votre démon pcscd ne soit pas lancé. ​
 +Il faut alors passer les deux commandes suivantes:
 +<​code>​
 +sudo systemctl enable pcscd
 +sudo systemctl start pcscd</​code>​
  
-====Installation des pilotes==== +puis relancer l'EID viewer: 
-Il suffit d'[[:tutoriel:​comment_installer_un_paquet|installer d’abord le paquet]], **[[apt>eid-mw]]**, puis **[[apt>eid-viewer]]**. ​+<code>eid-viewer</​code>
  
 ===== Intégration dans les navigateurs web ===== ===== Intégration dans les navigateurs web =====
-Pour s'​authentifier,​ les navigateurs ​doit pouvoir ​accéder aux certificats de votre carte d'​identité électronique. D'où la necessité ​de la procédure qui suit.+Pour s'​authentifier,​ les [[:​navigateur|navigateurs ​web]] doivent ​accéder aux certificats de votre carte d'​identité électronique. D'où la nécessité ​de la procédure qui suit
 +<note warning>​De manière générale, un navigateur web installé via [[:​snap|Snap]] ou [[:​flatpak|Flatpak]] ([[:​firefox|Firefox]] et [[:​chromium-browser|Chromium]] par défaut sur [[:​jammy|Ubuntu 22.04]]) ne pourra accéder aux certificats de votre carte d'​identité (Voir la page FAQ du [[https://​eid.belgium.be/​fr/​faq/​pourquoi-lutilisation-de-leid-est-elle-impossible-avec-des-logiciels-de-snap-etou-flatpak#​7636|site officiel de eID]]). Pour une utilisation d'Eid avec un [[:​navigateur|navigateurs web]], il est indispensable d'​installer ce dernier via un [[:​ppa|ppa]]. 
 + 
 +Voici la marche à suivre pour installer [[:​firefox#​installer_firefox_en_.deb_classique_au_lieu_de_snap|Firefox]] ou [[:​chromium-browser#​Installation|Chromium]] depuis leurs [[:​ppa|ppa]] officiels</​note>​.
 ====Firefox==== ​ ====Firefox==== ​
-(FIXME : ce qui suit n'est peut-être plus utile. André confirme que le paquet ​eid-mw de 2018 contient déjà ​l'​extension ​et qu'il faut en désinstaller une autre; on peut maintenant brancher ​le lecteur "en marche"​ mais il faut insérer la carte à temps. Cependant, yureee a dû installer l'​extension ​Firefox ​sur Xubuntu 18.04 LTS.)+L'installation du paquet ​intègre ​l'​extension ​pour Mozilla. Si le module n’apparaît tout de même pas dans le gestionnaire de modules de Firefox ​faites ce qui suit :
   * Téléchargez et installez l'​extension **eID Belgique** [[https://​addons.mozilla.org/​fr/​firefox/​addon/​belgium-eid/​|ici]] ou via votre gestionnaire de modules : ​   * Téléchargez et installez l'​extension **eID Belgique** [[https://​addons.mozilla.org/​fr/​firefox/​addon/​belgium-eid/​|ici]] ou via votre gestionnaire de modules : ​
-  * Redémarrer Firefox et connectez-vous une première fois à ''​https://​my.belgium.be/​index.html''​ : ça ne marche pas, et __c’est normal__ : les certificats viennent seulement d’être ajoutés, il reste à les autoriser…+  * Redémarrer Firefox et connectez-vous une première fois à ''​https://​my.belgium.be/''​ : ça ne marche pas, et __c’est normal__ : les certificats viennent seulement d’être ajoutés, il reste à les autoriser…
   * Pour cela allez dans //Menu Firefox (à droite) -> Préférences -> Avancé -> Certificats -> Afficher les certificats -> Chercher les Certificats Belgian Root (CA, CA1, CA2, CA3 et/ou CA4)//,   * Pour cela allez dans //Menu Firefox (à droite) -> Préférences -> Avancé -> Certificats -> Afficher les certificats -> Chercher les Certificats Belgian Root (CA, CA1, CA2, CA3 et/ou CA4)//,
   * Pour chacun d’eux ​ cliquez sur la ligne située sous la petite flèche de ce certificat. Cliquez sur //Modifier la confiance//,​ cochez les trois cases et cliquez sur « OK ». Cliquez deux fois sur « OK » pour refermer le Gestionnaire de certificats et les Options.   * Pour chacun d’eux ​ cliquez sur la ligne située sous la petite flèche de ce certificat. Cliquez sur //Modifier la confiance//,​ cochez les trois cases et cliquez sur « OK ». Cliquez deux fois sur « OK » pour refermer le Gestionnaire de certificats et les Options.
   * Redémarrer Firefox ... :-D    * Redémarrer Firefox ... :-D 
  
-<note important>​Le lecteur de carte doit être branché AVANT de lancer firefox !!!</​note>​+<note important>​Le lecteur de carte et la carte insérée ​doit être branché AVANT de lancer firefox !!!</​note>​
  
 ==== Chrome / Chromium ==== ==== Chrome / Chromium ====
- +<​note>​ 
-Ajoutez le support NSS en [[:​tutoriel:​comment_installer_un_paquet|installant le paquet]], **[[apt>​libnss3-tools]]**,​ puis configurez [[:​google_chrome|chrome]] ou [[:​chromium]] avec la commande ''​modutil''​. ​ Il faudra fermer Chrome pour que cette configuration puisse être réalisée.+Ajoutez le support NSS en [[:​tutoriel:​comment_installer_un_paquet|installant le paquet]], **[[apt>​libnss3-tools]]**,​ puis configurez [[:​google_chrome|chrome]] ou [[:​chromium]] avec la commande ''​modutil''​. ​ Il faudra fermer Chrome pour que cette configuration puisse être réalisée.</​note>​
  
 Sur une installation 32bits : Sur une installation 32bits :
Ligne 83: Ligne 87:
 ----------------------------------------------------------- -----------------------------------------------------------
 </​code>​ </​code>​
 +====Navigateurs Brave et Opera====
 +<​note>​Ne pas utiliser la version [[:​snap|snap]] de [[:​brave|Brave]],​ mais bien celle des [[:​depots|dépôts]] de [[https://​brave.com/​linux/#​release-channel-installation|Brave]].</​note>​
 +Les navigateurs [[:​brave|Brave]] et [[:​opera|Opera]] sont basés sur le navigateur [[:​Chromium|Chromium]]. Une fois l'​installation du logiciel eID effectuée (voir plus haut), ces navigateurs reconnaissent nativement l'​utilisation d'une carte d'​identité électronique belge (aucune extension nécessaire).
  
- +===== Utilisation =====
-=====Utilisation=====+
    
-Lancez l'​application ​nommée **eiD Card Reader**  ​via le [[:unity#​tableau_de_bord_dash|tableau de bord]] (Unity) ​ou bien via la section //​Accessoires//​ des menus classiques ​d'applications. +Lancez l'​application ​comme indiqué [[:​tutoriel:​comment_lancer_application|ici]] ou via le [[:terminal]] (toutes [[:​versions]] ​ou [[:​variantes]] ​d'Ubuntu) avec la [[:​commande_shell|commande]] suivante :​ <​code>​eid-viewer</​code>​
 Elle vous permet de vérifier le fonctionnement du lecteur en lisant les informations et les certificats contenus dans votre carte d'​identité et en pouvant changer le code PIN. Elle vous permet de vérifier le fonctionnement du lecteur en lisant les informations et les certificats contenus dans votre carte d'​identité et en pouvant changer le code PIN.
  
Ligne 123: Ligne 128:
   * Sélectionnez le label //​Sécurité//​ dans le compte souhaité   * Sélectionnez le label //​Sécurité//​ dans le compte souhaité
   * Sur le panneau de droite, cliquez sur //Security device//   * Sur le panneau de droite, cliquez sur //Security device//
-  * Un nouveau panneau ​souvre, choisissez dans l'​encadré à gauche : ''​Module name: Belgium Identity Card PKCS#11 Module filename: /​usr/​lib/​x86_64-linux-gnu/​libbeidpkcs11.so'',​+  * Un nouveau panneau ​s’ouvre, choisissez dans l'​encadré à gauche : ''​Module name: Belgium Identity Card PKCS#11 Module filename: /​usr/​lib/​x86_64-linux-gnu/​libbeidpkcs11.so'',​
   * Cliquez sur //Charger// - le panneau se ferme.   * Cliquez sur //Charger// - le panneau se ferme.
   * Insérez votre carte eID dans le lecteur,   * Insérez votre carte eID dans le lecteur,
-  * Toujour ​sur le panneau //​sécurité//​ du compte, sélectionnez votre certificat pour la signature ou le chiffrement.+  * Toujours ​sur le panneau //​sécurité//​ du compte, sélectionnez votre certificat pour la signature ou le chiffrement.
  
 ===Utilisation dans LibreOffice=== ===Utilisation dans LibreOffice===
 +Il faut d'​abord définir le chemin vers le certificats,​ soit à partir du profil de Thunderbird (par défaut) soit à partir de Firefox. Pour paramétrer cela allez dans //Outils → Options → Sécurité → Chemin du certificat//​
 +Vous pouvez ensuite indiquer numériquement que vous êtes l'​auteur d'un document Writer ou Calc. 
 +Après avoir créé le document dans [[:​LibreOffice]] et l'​avoir sauvé sur disque (obligatoire),​ choisissez le menu //Fichier -> Signatures numériques//​.
  
-Vous pouvez indiquer numériquement que vous êtes l'​auteur d'un document Writer ou Calc.  +===Signer un PDF === 
-Après avoir créé le document dans [[:​LibreOffice]] et l'​avoir sauvé sur disque (obligatoire),​ choisissez le menu //Fichier -> Signatures numériques//​.\\ +Il est obligatoire en Belgique de signer les documents PDF  concernant les déclarations fiscales. 
-La procédure détaillée (en images) est très simple, vous pouvez la trouver sur [[http://​test.eid.belgium.be/​faq/​faq_fr.htm#​Comment_signer_un_document_dans_LibreOffice_.3F|le site de l'​eID]]. +Soit vous utilisez Libreoffice et vous l'​exportez en pdf, soit vous passez par [[:​acroread|Acrobat reader]]. 
- +\\Pour pouvoir le faire avec [[:​acroread|Acrobat Reader]].
-===Utilisation dans Acrobat Reader ​=== +
-Il est obligatoire en Belgique de signer les documents PDF  concernant les déclarations fiscales. Pour pouvoir le faire avec [[:​acroread|Acrobat Reader]].+
 Il faut aller dans //Document -> Paramètres -> PKCS #11// et ajouter le module ''/​usr/​lib/​libbeidpkcs11.so''​ ou /​usr/​lib/​libbeidpkcs11.so.3 avec la nouvelle version. Il faut aller dans //Document -> Paramètres -> PKCS #11// et ajouter le module ''/​usr/​lib/​libbeidpkcs11.so''​ ou /​usr/​lib/​libbeidpkcs11.so.3 avec la nouvelle version.
  
Ligne 145: Ligne 151:
 ===== Problèmes connus ===== ===== Problèmes connus =====
  
 +==== Problème résolu avec Firefox pour Ubuntu 18.04 ====
  
-==== Conflit de Firefox avec Apparmor ==== +//31 Mars 2020// 
- +Le paquet à utiliser a changé. La librairie libacr38u ​pour les puces ACR38U est remplacée par la librairie libacsccid1qui n'est pas automatiquement installéeAprès avoir installé la dernière version et afin de s'​assurer ​que les mises à jour sont bien prises en compteexécuter les commandes suivantes:
-Apparmor est un programme surveillant certains programmes, dont Firefox, ​pour les empêcher de faire des choses non prévuessurtout en cas d'attaque par un virus. +
-Malheureusement,​ Apparmor ne prévoit pas que Firefox puisse faire accès ​à un lecteur de cartedu moins d'une certaine manière. +
-Si vous observez dans le journal (log) de votre système des messages comme ceci :+
 <​code>​ <​code>​
-kernel: [ 2614.129968] type=1503 audit(1310392211.087:​64): ​ operation="​open"​ pid=6150 parent=1 profile="/​usr/​lib/​firefox-3.6.18/​firefox-*bin"​ requested_mask="::​r"​ denied_mask="::​r"​ fsuid=1000 ouid=0 name="/​var/​run/​pcscd/​pcscd.pid"​ +sudo apt-get update
-kernel: [ 2614.130016] type=1503 audit(1310392211.087:​65): ​ operation="​open"​ pid=6150 parent=1 profile="/​usr/​lib/​firefox-3.6.18/​firefox-*bin"​ requested_mask="::​r"​ denied_mask="::​r"​ fsuid=1000 ouid=0 name="/​var/​run/​pcscd/​pcscd.pub"​ +
-kernel: [ 4421.849208] type=1503 audit(1310394018.807:​76): ​ operation="​exec"​ pid=6934 parent=6897 profile="/​usr/​lib/​firefox-3.6.18/​firefox-*bin"​ requested_mask="​x::"​ denied_mask="​x::"​ fsuid=1000 ouid=1000 name="/​tmp/​.raised-beid-askaccess"​ +
-</​code>​ +
-Ajoutez les lignes suivantes en tête de /​etc/​apparmor.d/​usr.bin.firefox ​ (p.ex.: après "for networking"​) +
-<​code>​ +
-# pour BeID: +
-/​var/​run/​pcscd/​pcscd.* r, +
-/tmp/* ix, +
-</​code>​ +
-Puis, tapez la commmande:​ +
-<​code>​ +
-sudo apparmor_parser ​-r /​etc/​apparmor.d/​usr.bin.firefox+
 </​code>​ </​code>​
- 
-==== 5.2 Probléme résolu avec Firefox pour ubuntu 18.04 (par Baudouin de BOSA, service d'​appui techique du SPF belge) ==== 
- 
-//31 Mars 2020// 
-Le paquet à utiliser a changé. La librairie libacr38u pour les puces ACR38U est remplacée par la librairie libacsccid1,​ qui n'est pas automatiquement installée. Après avoir installé la dernière version et afin de s'​assurer que les mise à jour sont bien prises en compte, exécuter les commandes suivantes: 
-<​code>​ 
-sudo apt-get mise à jour 
-sudo apt-get mise à jour 
-<​code>​ 
  
 Si cela n'a pas résolu le problème, on peut effectuer les commandes suivantes : Si cela n'a pas résolu le problème, on peut effectuer les commandes suivantes :
Ligne 181: Ligne 164:
 sudo apt-get update sudo apt-get update
 sudo apt-get dist-upgrade sudo apt-get dist-upgrade
-<​code>​+</code>
  
-Si ça n'est pas suffisant, il faut alors supprimer tout le software de l'eiD comme cela est expliqué dans la page : https://​eid.belgium.be/​fr/​faq/​comment-supprimer-le-logiciel-eid-0#​7553 et donc aussi le pack "​eid-archive":​+Si cela n'est pas suffisant, il faut alors supprimer tout le software de l'eiD comme cela est expliqué dans la page : https://​eid.belgium.be/​fr/​faq/​comment-supprimer-le-logiciel-eid-0#​7553 et donc aussi le pack "​eid-archive":​
 <​code>​ <​code>​
-sudo apt-get --purge remove libbeidpkcs11-bi+sudo apt-get --purge remove libbeidpkcs11-bin
 sudo apt-get --purge remove eid-archive sudo apt-get --purge remove eid-archive
-<​code>​+</code>
  
-Ensuite il faut retélécharchez ​et installer eid-archive du site officiel belge: ​+Ensuite il faut re-télécharcher ​et installer eid-archive du site officiel belge: ​
 https://​eid.belgium.be/​fr/​installation-du-logiciel-eid-sous-linux https://​eid.belgium.be/​fr/​installation-du-logiciel-eid-sous-linux
 ensuite, à nouveau: ensuite, à nouveau:
Ligne 195: Ligne 178:
 sudo apt-get update sudo apt-get update
 sudo apt-get install eid-mw eid-viewer ​ sudo apt-get install eid-mw eid-viewer ​
-<​code>​+</code>
  
 Si cela ne marche toujours pas, contacter BOSA, ils répondent rapidement. Si cela ne marche toujours pas, contacter BOSA, ils répondent rapidement.
Ligne 203: Ligne 186:
   * [[http://​xubuntu.fr/​forum/​viewtopic.php?​f=2&​t=2674|une procédure simple et efficace sur xubuntu.fr]]   * [[http://​xubuntu.fr/​forum/​viewtopic.php?​f=2&​t=2674|une procédure simple et efficace sur xubuntu.fr]]
   * [[http://​wiki.yobi.be/​wiki/​Belgian_eID|le wiki Yobi]].   * [[http://​wiki.yobi.be/​wiki/​Belgian_eID|le wiki Yobi]].
-  
-FIXME  Tester la page https://​mart-e.be/​post/​2012/​02/​14/​beid-linux-1/​ , la deuxième partie propose une méthode pour signer les PDF avec EID. 
  
 ---- ----
  • tutoriel/utiliser_carte_identite_electronique_belge.txt
  • Dernière modification: Le 11/09/2022, 12:25
  • par moths-art