Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
tutoriel:utiliser_carte_identite_electronique_belge [Le 15/07/2018, 16:33] Qedinux [Pré-requis] |
tutoriel:utiliser_carte_identite_electronique_belge [Le 18/05/2023, 15:57] (Version actuelle) 178.51.97.29 [Installation] |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag>Trusty Xenial tutoriel matériel sécurité}} | + | {{tag>Jammy tutoriel matériel sécurité}} |
---- | ---- | ||
+ | {{ https://img2.freepng.fr/20180624/wuy/kisspng-smart-card-electronic-identification-computer-icon-5b2f69c1e2d9b5.4842458815298339219292.jpg?200}} | ||
+ | ====== L'identification électronique : utiliser une carte d'identité électronique belge ====== | ||
- | ====== Utiliser une carte d'identité électronique belge====== | + | La carte d'identité belge et son logiciel offrent une méthode sûre d'authentification des citoyens belges. Elle consiste en l'utilisation d'une clef privée et d'une clef publique signée ([[:gnupg|voir authentification par clef publique et clef privée]]) par l'autorité de certification propre à l'État belge. |
- | + | ||
- | La carte d'identité belge et son logiciel offrent une méthode sûre d'authentification des citoyens belges. Elle consiste en l'utilisation d'une clef privée et d'une clef publique signée ([[:gnupg|voir authentification par clef publique et clef privée]]) par l'autorité de certification propre à l'État belge. | + | |
L'ensemble peut être utilisée pour signer électroniquement des documents lorsque la carte d'identité est introduite dans le lecteur. Cette signature a une valeur légale, faites attention !\\ | L'ensemble peut être utilisée pour signer électroniquement des documents lorsque la carte d'identité est introduite dans le lecteur. Cette signature a une valeur légale, faites attention !\\ | ||
Ligne 12: | Ligne 12: | ||
===== Pré-requis ===== | ===== Pré-requis ===== | ||
- | * Disposer des [[:sudo|droits d'administration]]. | ||
- | * Disposer d'une connexion à Internet configurée et activée. | ||
* Disposer d'un lecteur de cartes compatibles [[wpfr>PC/SC|PC/SC]] | * Disposer d'un lecteur de cartes compatibles [[wpfr>PC/SC|PC/SC]] | ||
- | * Avoir [[:tutoriel:comment_installer_un_paquet|installé les paquets]] **[[apt>pcscd,libccid,libacr38u,libacr38ucontrol0|pcscd libccid libacr38u libacr38ucontrol0]]**. | + | * Avoir [[:tutoriel:comment_installer_un_paquet|installé les paquets]] **[[apt>pcscd,libccid,libacsccid1|pcscd libccid libacsccid1]]**. |
- | <note tip>Les paquets **libacr38u** et **libacr38ucontrol0** ne font plus partie du dépôt Bionic (18.04 LTS). Les lecteurs de carte de type ACR38U, qui ont besoin de ces paquets pour fonctionner, ne fonctionnent, par défaut, plus à partir de cette version d'Ubuntu (y compris les versions intermédiaires entre Xenial et Bionic). Pour remédier à ce problème, l'utilisateur peut essayer d'installer ces paquets à partir du dépôt Xenial ([[https://packages.ubuntu.com/xenial/libacr38u|libacr38u]] et [[https://packages.ubuntu.com/xenial/libusb-0.1-4|libusb-0.1-4]]). Il devra également installer la dépendance **[[apt>libusb-0.1-4]]**.</note> | + | |
=====Installation===== | =====Installation===== | ||
- | ====Ajout du dépôt==== | ||
- | Pour installez les pilotes nécessaires au bon fonctionnement de votre carte il faut installer un paquet qui va ajouter les [[:depots|dépôts]] requis : | ||
- | * Téléchargez le paquet **eid-archive.deb** fourni par l'État belge ([[https://eid.belgium.be/fr|via ici]]) à cette [[ https://eid.belgium.be/fr/installation-du-logiciel-eid-sous-linux|adresse]]. | ||
- | * Clic droit sur l'archive téléchargée et choisir " ouvrir avec installation de l'application". | ||
- | * Puis [[:tutoriel:comment_modifier_sources_maj#recharger_la_liste_des_paquets|rechargez la liste des paquets]]. | ||
- | ====Installation des pilotes==== | + | Pour installer le logiciel permettant d'accéder à la carte, il faut d'abord installer un paquet qui va ajouter les [[:depots|dépôts]] requis : |
- | Il suffit d'[[:tutoriel:comment_installer_un_paquet|installer d’abord le paquet]], **[[apt>eid-mw]]**, puis **[[apt>eid-viewer]]**. | + | * Téléchargez le paquet **eid-archive.deb** fourni par l'État Belge (le nom du fichier peut être légèrement différent (ex: eid-archive_2023.1_all.deb). Il est disponible [[https://eid.belgium.be/fr/installation-du-logiciel-eid-sous-linux|ici : https://eid.belgium.be/fr/installation-du-logiciel-eid-sous-linux]] |
+ | * Depuis le terminal, installez ce package avec **sudo dpkg -i 'eid-archive.deb'**. | ||
+ | * Vérifier que la dernière ligne du fichier **/etc/apt/sources.list.d/eid.list** n'est pas mise en commentaire (elle doit ressembler à quelque chose comme "deb https://files.eid.belgium.be/debian jammy main", sans # au début de la ligne). Si cette lignée est commentée, décommentez là, et reconfigurez l'archive avec **dpkg-reconfigure eid-archive**. | ||
+ | * Puis [[:tutoriel:comment_modifier_sources_maj#recharger_la_liste_des_paquets|rechargez la liste des paquets]] avec **apt update** | ||
+ | |||
+ | |||
+ | Installez enfin le logiciel, en suivant les instructions affichées dans le terminal à l'installation du package. | ||
+ | * [[:tutoriel:comment_installer_un_paquet|Installez le paquet]]. Pour la version 2023, utilisez la commande **apt-get install eid-mw eid-viewer** | ||
+ | |||
+ | |||
+ | |||
+ | ==== Test ==== | ||
+ | vérifiez que le logiciel fonctionne. Avec la carte insérée dans le lecteur, lancez l'eID Viewer en tapant la commande suivante dans le terminal : | ||
+ | |||
+ | <code>eid-viewer</code> | ||
+ | |||
+ | Vous devriez voir apparaître une fenêtre montrant les informations contenue dans votre carte d'identité (nom, prénom, photo, etc). | ||
+ | ==== Echec du test ==== | ||
+ | Si le viewer ne fonctionne pas, il se peut que votre démon pcscd ne soit pas lancé. | ||
+ | Il faut alors passer les deux commandes suivantes: | ||
+ | <code> | ||
+ | sudo systemctl enable pcscd | ||
+ | sudo systemctl start pcscd</code> | ||
+ | |||
+ | puis relancer l'EID viewer: | ||
+ | <code>eid-viewer</code> | ||
===== Intégration dans les navigateurs web ===== | ===== Intégration dans les navigateurs web ===== | ||
- | Pour s'authentifier, les navigateurs doit pouvoir accéder aux certificats de votre carte d'identité électronique. D'où la necessité de la procédure qui suit. | + | Pour s'authentifier, les [[:navigateur|navigateurs web]] doivent accéder aux certificats de votre carte d'identité électronique. D'où la nécessité de la procédure qui suit. |
- | ====Firefox==== | + | <note warning>De manière générale, un navigateur web installé via [[:snap|Snap]] ou [[:flatpak|Flatpak]] ([[:firefox|Firefox]] et [[:chromium-browser|Chromium]] par défaut sur [[:jammy|Ubuntu 22.04]]) ne pourra accéder aux certificats de votre carte d'identité (Voir la page FAQ du [[https://eid.belgium.be/fr/faq/pourquoi-lutilisation-de-leid-est-elle-impossible-avec-des-logiciels-de-snap-etou-flatpak#7636|site officiel de eID]]). Pour une utilisation d'Eid avec un [[:navigateur|navigateurs web]], il est indispensable d'installer ce dernier via un [[:ppa|ppa]]. |
- | (FIXME : ce qui suit n'est peut-être plus utile. André confirme que le paquet eid-mw de 2018 contient déjà l'extension et qu'il faut en désinstaller une autre; on peut maintenant brancher le lecteur "en marche" mais il faut insérer la carte à temps. Cependant, yureee a dû installer l'extension Firefox sur Xubuntu 18.04 LTS.) | + | |
- | * Téléchargez et installez l'extension **eID Belgique** [[https://addons.mozilla.org/fr/firefox/addon/belgium-eid/|ici]] ou via votre gestionnaire de modules : | + | Voici la marche à suivre pour installer [[:firefox#installer_firefox_en_.deb_classique_au_lieu_de_snap|Firefox]] ou [[:chromium-browser#Installation|Chromium]] depuis leurs [[:ppa|ppa]] officiels</note>. |
- | * Redémarrer Firefox et connectez-vous une première fois à ''https://my.belgium.be/index.html'' : ça ne marche pas, et __c’est normal__ : les certificats viennent seulement d’être ajoutés, il reste à les autoriser… | + | ====Firefox==== |
+ | L'installation du paquet intègre l'extension pour Mozilla. Si le module n’apparaît tout de même pas dans le gestionnaire de modules de Firefox faites ce qui suit : | ||
+ | * Téléchargez et installez l'extension **eID Belgique** [[https://addons.mozilla.org/fr/firefox/addon/belgium-eid/|ici]] ou via votre gestionnaire de modules : | ||
+ | * Redémarrer Firefox et connectez-vous une première fois à ''https://my.belgium.be/'' : ça ne marche pas, et __c’est normal__ : les certificats viennent seulement d’être ajoutés, il reste à les autoriser… | ||
* Pour cela allez dans //Menu Firefox (à droite) -> Préférences -> Avancé -> Certificats -> Afficher les certificats -> Chercher les Certificats Belgian Root (CA, CA1, CA2, CA3 et/ou CA4)//, | * Pour cela allez dans //Menu Firefox (à droite) -> Préférences -> Avancé -> Certificats -> Afficher les certificats -> Chercher les Certificats Belgian Root (CA, CA1, CA2, CA3 et/ou CA4)//, | ||
* Pour chacun d’eux cliquez sur la ligne située sous la petite flèche de ce certificat. Cliquez sur //Modifier la confiance//, cochez les trois cases et cliquez sur « OK ». Cliquez deux fois sur « OK » pour refermer le Gestionnaire de certificats et les Options. | * Pour chacun d’eux cliquez sur la ligne située sous la petite flèche de ce certificat. Cliquez sur //Modifier la confiance//, cochez les trois cases et cliquez sur « OK ». Cliquez deux fois sur « OK » pour refermer le Gestionnaire de certificats et les Options. | ||
- | * Redémarrer Firefox ... :-D | + | * Redémarrer Firefox ... :-D |
- | <note important>Le lecteur de carte doit être branché AVANT de lancer firefox !!!</note> | + | <note important>Le lecteur de carte et la carte insérée doit être branché AVANT de lancer firefox !!!</note> |
==== Chrome / Chromium ==== | ==== Chrome / Chromium ==== | ||
- | Ajoutez le support NSS en [[:tutoriel:comment_installer_un_paquet|installant le paquet]], **[[apt>libnss3-tools]]**, puis configurez [[:google_chrome|chrome]] ou [[:chromium]] avec la commande ''modutil''. Il faudra fermer Chrome pour que cette configuration puisse être réalisée. | + | * Ajoutez le support NSS en [[:tutoriel:comment_installer_un_paquet|installant le paquet]] **[[apt>libnss3-tools]]**. |
+ | |||
+ | * Configurez ensuite [[:google_chrome|chrome]] ou [[:chromium]], en fonction de l'architecture de votre système, comme décrit ci-dessous. | ||
+ | |||
+ | <note important>Il est **impératif** de fermer le navigateur avant de lancer les commandes ci-dessous, sous peine de corrompre les bases de données de sécurité sous-jacentes.</note> | ||
Sur une installation 32bits : | Sur une installation 32bits : | ||
Ligne 74: | Ligne 97: | ||
----------------------------------------------------------- | ----------------------------------------------------------- | ||
</code> | </code> | ||
+ | ====Navigateurs Brave et Opera==== | ||
+ | <note>Ne pas installer ces [[:navigateur|navigateurs]] à l'aide d'un [[:snap|snap]], mais bien de celle de leur [[:depots|dépôts]] officiels, ou du [[:deb|Paquet Debian]] de ces navigateurs.</note> | ||
+ | Les navigateurs [[:brave|Brave]] et [[:opera|Opera]] sont basés sur le navigateur [[:Chromium-browser|Chromium]]. Une fois l'installation du logiciel eID effectuée (voir plus haut), ces navigateurs reconnaissent nativement l'utilisation d'une carte d'identité électronique belge (aucune extension nécessaire). | ||
- | + | ===== Utilisation ===== | |
- | =====Utilisation===== | + | |
- | Lancez l'application via le [[:unity#tableau_de_bord_dash|tableau de bord]] (Unity) avec le mot clé **eiD Card Reader** ou bien dans la section //Accessoires// des menus classiques. | + | Lancez l'application comme indiqué [[:tutoriel:comment_lancer_application|ici]] ou via le [[:terminal]] (toutes [[:versions]] ou [[:variantes]] d'Ubuntu) avec la [[:commande_shell|commande]] suivante : <code>eid-viewer</code> |
- | + | Elle vous permet de vérifier le fonctionnement du lecteur en lisant les informations et les certificats contenus dans votre carte d'identité et en pouvant changer le code PIN. | |
- | Elle vous permet de lire les informations et les certificats contenus dans votre carte d'identité, sauf le code PIN que vous pouvez changer. | + | |
- | <note tip>Sans redémarrage du PC, le logiciel de lecture apparaît bien dans le menu et il fonctionne, | ||
- | mais dès que vous essaierez de lire la carte d'identité électronique, si une "erreur inconnue" apparaît, redémarrer votre ordinateur. | ||
- | Vous pouvez utiliser la commande suivante pour éviter le redémarrage : <code>sudo /etc/init.d/pcscd restart</code> | ||
- | </note> | ||
====Utilisation dans diverses application==== | ====Utilisation dans diverses application==== | ||
===Utilisation dans la messagerie Evolution=== | ===Utilisation dans la messagerie Evolution=== | ||
Ligne 96: | Ligne 116: | ||
Adaptez //dossier_au_nom_aléatoire.default// à votre nom de dossier. | Adaptez //dossier_au_nom_aléatoire.default// à votre nom de dossier. | ||
- | Une fois ce fichier //secmod.db// copié dans le dossier ~/.evolution, et **les droits correctement attribués**, réouvrez Evolution (lecteur de carte branché et carte d'identité dans le lecteur). Allez dans le menu Edition/préférence/certificat et constatez que vos certificats sont présents. | + | Une fois ce fichier //secmod.db// copié dans le dossier ~/.evolution, et **les droits correctement attribués**, réouvrez Evolution (lecteur de carte branché et carte d'identité dans le lecteur). Allez dans le menu Edition/préférence/certificat et constatez que vos certificats sont présents. |
Ensuite, dans les préférences de votre compte mail (ou de chacun pour ceux qui en possèdent plusieurs), sous l'onglet sécurité, sélectionnez parcourir pour la signature S/MIME et sélectionnez le module adéquat (authentifier ou signer... suivant que vous désiriez utiliser votre carte pour signer numériquement ou simplement authentifier votre courriel ((Valeur juridique identique à une signature manuscrite, voir [[http://www.belgium.be/fr/economie/commerce_et_consommation/protection_du_consommateur/commerce_electronique/siganture_electronique/|ici]])) | Ensuite, dans les préférences de votre compte mail (ou de chacun pour ceux qui en possèdent plusieurs), sous l'onglet sécurité, sélectionnez parcourir pour la signature S/MIME et sélectionnez le module adéquat (authentifier ou signer... suivant que vous désiriez utiliser votre carte pour signer numériquement ou simplement authentifier votre courriel ((Valeur juridique identique à une signature manuscrite, voir [[http://www.belgium.be/fr/economie/commerce_et_consommation/protection_du_consommateur/commerce_electronique/siganture_electronique/|ici]])) | ||
Ligne 110: | Ligne 130: | ||
* Cliquez sur //Charger//. | * Cliquez sur //Charger//. | ||
+ | Pour Thunderbird 60.7 sous Ubuntu 18.04, ensuite suit : | ||
+ | * Allez dans //Editer->comptes//, | ||
+ | * Sélectionnez le label //Sécurité// dans le compte souhaité | ||
+ | * Sur le panneau de droite, cliquez sur //Security device// | ||
+ | * Un nouveau panneau s’ouvre, choisissez dans l'encadré à gauche : ''Module name: Belgium Identity Card PKCS#11 Module filename: /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so'', | ||
+ | * Cliquez sur //Charger// - le panneau se ferme. | ||
+ | * Insérez votre carte eID dans le lecteur, | ||
+ | * Toujours sur le panneau //sécurité// du compte, sélectionnez votre certificat pour la signature ou le chiffrement. | ||
===Utilisation dans LibreOffice=== | ===Utilisation dans LibreOffice=== | ||
+ | Il faut d'abord définir le chemin vers le certificats, soit à partir du profil de Thunderbird (par défaut) soit à partir de Firefox. Pour paramétrer cela allez dans //Outils → Options → Sécurité → Chemin du certificat// | ||
+ | Vous pouvez ensuite indiquer numériquement que vous êtes l'auteur d'un document Writer ou Calc. | ||
+ | Après avoir créé le document dans [[:LibreOffice]] et l'avoir sauvé sur disque (obligatoire), choisissez le menu //Fichier -> Signatures numériques//. | ||
- | Vous pouvez indiquer numériquement que vous êtes l'auteur d'un document Writer ou Calc. | + | ===Signer un PDF === |
- | Après avoir créé le document dans [[:LibreOffice]] et l'avoir sauvé sur disque (obligatoire), choisissez le menu //Fichier -> Signatures numériques//.\\ | + | Il est obligatoire en Belgique de signer les documents PDF concernant les déclarations fiscales. |
- | La procédure détaillée (en images) est très simple, vous pouvez la trouver sur [[http://test.eid.belgium.be/faq/faq_fr.htm#Comment_signer_un_document_dans_LibreOffice_.3F|le site de l'eID]]. | + | Soit vous utilisez Libreoffice et vous l'exportez en pdf, soit vous passez par [[:acroread|Acrobat reader]]. |
- | + | \\Pour pouvoir le faire avec [[:acroread|Acrobat Reader]]. | |
- | ===Utilisation dans Acrobat Reader === | + | |
- | Il est obligatoire en Belgique de signer les documents PDF concernant les déclarations fiscales. Pour pouvoir le faire avec [[:acroread|Acrobat Reader]]. | + | |
Il faut aller dans //Document -> Paramètres -> PKCS #11// et ajouter le module ''/usr/lib/libbeidpkcs11.so'' ou /usr/lib/libbeidpkcs11.so.3 avec la nouvelle version. | Il faut aller dans //Document -> Paramètres -> PKCS #11// et ajouter le module ''/usr/lib/libbeidpkcs11.so'' ou /usr/lib/libbeidpkcs11.so.3 avec la nouvelle version. | ||
Ligne 126: | Ligne 155: | ||
Le gouvernement belge propose également de signer ses pdf en ligne (on les téléverse, et ils nous les reproposent au téléchargement, signés). Le service se trouve à l'adresse suivante: ''https://sign.belgium.be/''. | Le gouvernement belge propose également de signer ses pdf en ligne (on les téléverse, et ils nous les reproposent au téléchargement, signés). Le service se trouve à l'adresse suivante: ''https://sign.belgium.be/''. | ||
- | ===== Problèmes connus ===== | ||
- | |||
- | |||
- | ==== Conflit de Firefox avec Apparmor ==== | ||
- | |||
- | Apparmor est un programme surveillant certains programmes, dont Firefox, pour les empêcher de faire des choses non prévues, surtout en cas d'attaque par un virus. | ||
- | Malheureusement, Apparmor ne prévoit pas que Firefox puisse faire accès à un lecteur de carte, du moins d'une certaine manière. | ||
- | Si vous observez dans le journal (log) de votre système des messages comme ceci : | ||
- | <code> | ||
- | kernel: [ 2614.129968] type=1503 audit(1310392211.087:64): operation="open" pid=6150 parent=1 profile="/usr/lib/firefox-3.6.18/firefox-*bin" requested_mask="::r" denied_mask="::r" fsuid=1000 ouid=0 name="/var/run/pcscd/pcscd.pid" | ||
- | kernel: [ 2614.130016] type=1503 audit(1310392211.087:65): operation="open" pid=6150 parent=1 profile="/usr/lib/firefox-3.6.18/firefox-*bin" requested_mask="::r" denied_mask="::r" fsuid=1000 ouid=0 name="/var/run/pcscd/pcscd.pub" | ||
- | kernel: [ 4421.849208] type=1503 audit(1310394018.807:76): operation="exec" pid=6934 parent=6897 profile="/usr/lib/firefox-3.6.18/firefox-*bin" requested_mask="x::" denied_mask="x::" fsuid=1000 ouid=1000 name="/tmp/.raised-beid-askaccess" | ||
- | </code> | ||
- | Ajoutez les lignes suivantes en tête de /etc/apparmor.d/usr.bin.firefox (p.ex.: après "for networking") | ||
- | <code> | ||
- | # pour BeID: | ||
- | /var/run/pcscd/pcscd.* r, | ||
- | /tmp/* ix, | ||
- | </code> | ||
- | Puis, tapez la commmande: | ||
- | <code> | ||
- | sudo apparmor_parser -r /etc/apparmor.d/usr.bin.firefox | ||
- | </code> | ||
=====Voir aussi===== | =====Voir aussi===== | ||
* [[http://www.bxlug.be/?Installer-Eid-lecteur-de-carte-d|Page Complémentaire à ce tutoriel]], | * [[http://www.bxlug.be/?Installer-Eid-lecteur-de-carte-d|Page Complémentaire à ce tutoriel]], | ||
- | * [[http://eid.belgium.be/fr/navigation/12000/index.html|Page générale d'information sur la carte d'identité électronique belge ]] | + | * [[https://eid.belgium.be/fr/quest-ce-que-la-eid|Page générale d'information sur la carte d'identité électronique belge ]] |
- | * [[http://xubuntu.fr/forum/viewtopic.php?f=2&t=2674|une procédure simple et efficace sur xubuntu.fr]] | + | * [[https://xubuntu.fr/forum/viewtopic.php?f=2&t=2674|une procédure simple et efficace sur xubuntu.fr]] |
* [[http://wiki.yobi.be/wiki/Belgian_eID|le wiki Yobi]]. | * [[http://wiki.yobi.be/wiki/Belgian_eID|le wiki Yobi]]. | ||