{{tag>Trusty Xenial matériel sécurité}}
----


====== Utiliser une carte d'identité électronique belge======

La carte d'identité belge et son logiciel est une méthode sûre d'authentification des citoyens belges.  Elle consiste en l'utilisation d'une clef privée et d'une clef publique signée ([[:gnupg|voir authentification par clef publique et clef privée]]) par l'autorité de certification propre à l'État belge. 

L'ensemble peut être utilisée pour signer électroniquement des documents lorsque la carte d'identité est introduite dans le lecteur. Cette signature a une valeur légale, faites attention !\\
Cette page a pour but de décrire la procédure d'installation du lecteur de carte d'identité électronique belge. Les applications de la carte d’identité électronique belge (eID) sont par exemple la Tax-On-Web (Déclaration à l'Impôt), la gestion de dossiers de sécurité sociale (mutuelle, syndicat, ONP, Registre National) etc. Ce lecteur fonctionne également avec les cartes de crédit.

===== Pré-requis =====

  * Disposer des [[:sudo|droits d'administration]].
  * Disposer d'une connexion à Internet configurée et activée.
  * Disposer d'un lecteur de cartes compatibles [[wpfr>/PC/SC|PC/SC]] [[http://www.cardreaders.be/fr/|(liste probablement non exhaustive)]],
  * Avoir [[:tutoriel:comment_installer_un_paquet|installé les paquets]] **[[apt>pcscd,libccid,libacr38u,libacr38ucontrol0|pcscd libccid libacr38u libacr38ucontrol0]]**.


=====Installation=====
====Ajout du dépôt====
Pour installez les pilotes nécessaires au bon fonctionnement de votre carte il faut installer un paquet qui va ajouter les [[:depots|dépôts]] requis :
  * Téléchargez le paquet **eid-archive.deb** fourni par l'État belge à cette [[http://eid.belgium.be/fr/utiliser_votre_eid/installer_le_logiciel_eid/linux|adresse]].
  * Clic droit sur l'archive téléchargée et choisir " ouvrir avec installation de l'application".
  * Puis [[:tutoriel:comment_modifier_sources_maj#recharger_la_liste_des_paquets|rechargez la liste des paquets]].

====Installation des pilotes====
Il suffit d'[[:tutoriel:comment_installer_un_paquet|installer d’abord le paquet]], **[[apt>eid-mw]]**, puis **[[apt>eid-viewer]]**. 

===== Intégration dans les navigateurs web =====
Pour s'authentifier, les navigateurs doit pouvoir accéder aux certificats de votre carte d'identité électronique. D'où la necessité de la procédure qui suit.
====Firefox==== 
Téléchargez et installez l'extension **eID Belgique** [[https://addons.mozilla.org/fr/firefox/addon/belgium-eid/|ici]] ou via votre gestionnaire de modules : (FIXME : ce qui suit n'est peut-être plus utile)
  * Redémarrer Firefox et connectez-vous une première fois à ''https://my.belgium.be/index.html'' : ça ne marche pas, et __c’est normal__ : les certificats viennent seulement d’être ajoutés, il reste à les autoriser…
  * Pour cela allez dans //Menu Firefox (à droite) -> Préférences -> Avancé -> Certificats -> Afficher les certificats -> Chercher les Certificats Belgian Root (CA, CA1, CA2, CA3 et/ou CA4)//,
  * Pour chacun d’eux  cliquez sur la ligne située sous la petite flèche de ce certificat. Cliquez sur //Modifier la confiance//, cochez les trois cases et cliquez sur « OK ». Cliquez deux fois sur « OK » pour refermer le Gestionnaire de certificats et les Options.
  * Redémarrer Firefox ... :-D 

<note important>Le lecteur de carte doit être branché AVANT de lancer firefox !!!</note>

==== Chrome / Chromium ====

Ajoutez le support NSS en [[:tutoriel:comment_installer_un_paquet|installant le paquet]], **[[apt>libnss3-tools]]**, puis configurez [[:google_chrome|chrome]] ou [[:chromium]] avec la commande ''modutil''.  Il faudra fermer Chrome pour que cette configuration puisse être réalisée.

Sur une installation 32bits :
<code>modutil -dbdir sql:.pki/nssdb/ -add "Belgium eID" -libfile /usr/lib/libbeidpkcs11.so</code>

Sur une installation 64bits :
<code>modutil -dbdir sql:.pki/nssdb/ -add "Belgium eID" -libfile /usr/lib/x86_64-linux-gnu/libbeidpkcs11.so.0</code>

Si l'intégration s'est bien passée, le résultat de cette commande (AVEC la carte d'identité dans le lecteur) : <code>modutil -dbdir sql:.pki/nssdb/ -list</code>
devrait ressembler à ceci :<code>
Listing of PKCS #11 Modules
-----------------------------------------------------------
  1. NSS Internal PKCS #11 Module
	 slots: 2 slots attached
	status: loaded

	 slot: NSS Internal Cryptographic Services
	token: NSS Generic Crypto Services

	 slot: NSS User Private Key and Certificate Services
	token: NSS Certificate DB

  2. Belgium eID
	library name: /usr/lib/libbeidpkcs11.so
	 slots: 1 slot attached
	status: loaded

	 slot: ACS ACR38U 00 00
	token: BELPIC
-----------------------------------------------------------
</code>


=====Utilisation=====
 
Lancez l'application via le [[:unity#tableau_de_bord_dash|tableau de bord]] (Unity) avec le mot clé **eiD Card Reader** ou bien dans la section //Accessoires// des menus classiques.

Elle vous permet de lire les informations et les certificats contenus dans votre carte d'identité, sauf le code PIN que vous pouvez changer.

<note tip>Sans redémarrage du PC, le logiciel de lecture apparaît bien dans le menu et il fonctionne, 
mais dès que vous essaierez de lire la carte d'identité électronique, si une "erreur inconnue" apparaît, redémarrer votre ordinateur.  
Vous pouvez utiliser la commande suivante pour éviter le redémarrage : <code>sudo /etc/init.d/pcscd restart</code>
</note>
====Utilisation dans diverses application====
===Utilisation dans la messagerie Evolution===

Pour pouvoir signer vos courriels dans [[:Evolution]], il vous faut tout d'abord installer le module dans [[#Firefox]] (voir ci-dessus).

Ensuite (Evolution doit être fermé!!!), copiez le fichier //secmod.db// du répertoire de Firefox dans le répertoire d'Evolution (dossiers cachés) avec la commande suivante dans un [[:terminal]] :
<code>cp ~/.mozilla/firefox/dossier_au_nom_aléatoire.default/secmod.db ~/.evolution</code>

Adaptez //dossier_au_nom_aléatoire.default// à votre nom de dossier.

Une fois ce fichier //secmod.db// copié dans le dossier ~/.evolution, et **les droits correctement attribués**, réouvrez Evolution (lecteur de carte branché et carte d'identité dans le lecteur). Allez dans le menu Edition/préférence/certificat et constatez que vos certificats sont présents. 

Ensuite, dans les préférences de votre compte mail (ou de chacun pour ceux qui en possèdent plusieurs), sous l'onglet sécurité, sélectionnez parcourir pour la signature S/MIME et sélectionnez le module adéquat (authentifier ou signer... suivant que vous désiriez utiliser votre carte pour signer numériquement ou simplement authentifier votre courriel ((Valeur juridique identique à une signature manuscrite, voir [[http://www.belgium.be/fr/economie/commerce_et_consommation/protection_du_consommateur/commerce_electronique/siganture_electronique/|ici]]))
Il vous faut désormais certifier que vous autorisez le certificat d'autorité (CA) nommé Belgium root à 'authentifier la validité des certificats'. Pour ce faire, dans //Édition->Préférence->Certificat//, sélectionnez, sous l'onglet 'autorité', //belgium root// et éditez-le. Cochez le fait que vous l'autorisez à identifier les auteurs de mails...

A présent, lors de l'écriture d'un courriel, juste avant son envoi, sélectionnez //Sécurité// puis cochez //Signer par S/MIME//, //Envoyer// et là Evolution vous demandera votre code PIN de la carte d'identité...

===Utilisation dans Thunderbird===
Pour pouvoir signer vos courriels dans [[:Thunderbird]], il vous faut tout d'abord installer le module dans [[#Firefox]] (voir ci-dessus).
Ensuite suit :
  * Allez dans //Préférences->Préférences->Avancé->Certificats->Périphériques de sécurité//,
  * Choisissez dans l'encadré à gauche : ''Module name: Belgium Identity Card PKCS#11 Module filename: /usr/lib/libbeidpkcs11.so'',
  * Cliquez sur //Charger//.


===Utilisation dans LibreOffice===

Vous pouvez indiquer numériquement que vous êtes l'auteur d'un document Writer ou Calc. 
Après avoir créé le document dans [[:LibreOffice]] et l'avoir sauvé sur disque (obligatoire), choisissez le menu //Fichier -> Signatures numériques//.\\
La procédure détaillée (en images) est très simple, vous pouvez la trouver sur [[http://test.eid.belgium.be/faq/faq_fr.htm#Comment_signer_un_document_dans_LibreOffice_.3F|le site de l'eID]].

===Utilisation dans Acrobat Reader ===
Il est obligatoire en Belgique de signer les documents PDF  concernant les déclarations fiscales. Pour pouvoir le faire avec [[:acroread|Acrobat Reader]].
Il faut aller dans //Document -> Paramètres -> PKCS #11// et ajouter le module ''/usr/lib/libbeidpkcs11.so'' ou /usr/lib/libbeidpkcs11.so.3 avec la nouvelle version.


<note warning>À la signature du PDF on vous demande sous quel nom enregistrer le document, vous devez donner le nom du document ouvert, et donc accepter de l'écraser</note>

Le gouvernement belge propose également de signer ses pdf en ligne (on les téléverse, et ils nous les reproposent au téléchargement, signés). Le service se trouve à l'adresse suivante: ''https://sign.belgium.be/''.

===== Problèmes connus =====


==== Conflit de Firefox avec Apparmor ====

Apparmor est un programme surveillant certains programmes, dont Firefox, pour les empêcher de faire des choses non prévues, surtout en cas d'attaque par un virus.
Malheureusement, Apparmor ne prévoit pas que Firefox puisse faire accès à un lecteur de carte, du moins d'une certaine manière.
Si vous observez dans le journal (log) de votre système des messages comme ceci :
<code>
kernel: [ 2614.129968] type=1503 audit(1310392211.087:64):  operation="open" pid=6150 parent=1 profile="/usr/lib/firefox-3.6.18/firefox-*bin" requested_mask="::r" denied_mask="::r" fsuid=1000 ouid=0 name="/var/run/pcscd/pcscd.pid"
kernel: [ 2614.130016] type=1503 audit(1310392211.087:65):  operation="open" pid=6150 parent=1 profile="/usr/lib/firefox-3.6.18/firefox-*bin" requested_mask="::r" denied_mask="::r" fsuid=1000 ouid=0 name="/var/run/pcscd/pcscd.pub"
kernel: [ 4421.849208] type=1503 audit(1310394018.807:76):  operation="exec" pid=6934 parent=6897 profile="/usr/lib/firefox-3.6.18/firefox-*bin" requested_mask="x::" denied_mask="x::" fsuid=1000 ouid=1000 name="/tmp/.raised-beid-askaccess"
</code>
Ajoutez les lignes suivantes en tête de /etc/apparmor.d/usr.bin.firefox  (p.ex.: après "for networking")
<code>
# pour BeID:
/var/run/pcscd/pcscd.* r,
/tmp/* ix,
</code>
Puis, tapez la commmande:
<code>
sudo apparmor_parser -r /etc/apparmor.d/usr.bin.firefox
</code>

=====Voir aussi=====
  * [[http://www.bxlug.be/?Installer-Eid-lecteur-de-carte-d|Page Complémentaire à ce tutoriel]],
  * [[http://eid.belgium.be/fr/navigation/12000/index.html|Page générale d'information sur la carte d'identité électronique belge ]]
  * [[http://xubuntu.fr/forum/viewtopic.php?f=2&t=2674|une procédure simple et efficace sur xubuntu.fr]]
  * [[http://wiki.yobi.be/wiki/Belgian_eID|le wiki Yobi]].

----

//Contributeurs principaux: [[:utilisateur:svergeylen]] Refonte pour Ubuntu 14.04 LTS ; [[utilisateurs:equipc]] utilisation dans Thunderbird et OpenOffice ;
[[:utilisateurs:efhache84|Efhache84]] (utilisation dans Evolution) ; [[:utilisateurs:sparky]] (Signature avec Acrobat) ; [[:utilisateurs:A Pirard|André]] (Version 4, conflit Firefox avec Apparmor, danger de apturl).
 //