Utiliser eID pour signer ses mails

16 replies [Last post]
Stem
Offline
Joined: 05/03/2017

Bonjour,

Ayant utilisé avec succès mon lecteur de carte d'identité pour m'authentifier sur des sites web, j'aimerais l'utiliser pour signer numériquement mes mails. Le problème est que la marche à suivre décrite sur ubuntu-fr ne marche pas. Il me dit de choisir le module Belgium Identity Card PKCS#11 Module filename: /usr/lib/libbeidpkcs11.so, mais ce dernier ne figure pas dans la liste, et la bibliothèque libbeidpkcs11.so n'existe pas. Je n'ai trouvé d'explications nulle-part, quelqu'un peut m'en donner ?

Merci.

MetallicaMust
Offline
Joined: 03/06/2016

Salut Stem,

Bon, je ne connais pas ce système de lecteur de carte d'identité (donc je peut me tromper) mais je doute que cela soit sûr (du point de vue de la sécurité).

Aussi, je t'invite, au moins pour tes courriel d'utiliser GnuPG aussi bien pour chiffrer que pour signer.

Voici quelque liens utile :

Site internet de référence : https://emailselfdefense.fsf.org/fr/
Le même système expliqué en vidéo : https://www.youtube.com/watch?v=gurLRymW-7c

Explications GPG approfondie en plusieurs vidéos :
https://www.youtube.com/playlist?list=PLHj4WuEG4h_qRg77092N2tmfojbhcjLj0

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015

Stem il y a
https://github.com/OpenSC/OpenSC/wiki/Belgian-Belpic
Vois sub-projects
https://github.com/OpenSC/OpenSC/wiki

et sur
https://eid.belgium.be/en/advanced-problems#
If this module is not present, check the following points:
Has the eID software been successfully installed?
Is the (USB) card reader correctly connected to the computer?
Can the eID be read correctly with the eID Viewer?
Has the eID Add-on been correctly installed and activated?
Is the "eID-PKCS#11" module still not visible after checking these points? If not, contact the Service Desk Digitale Transformatie​ using "no eID-PKCS#11 module" as reference.

il existe une page man (via ton terminal)
https://linux.die.net/man/1/beid-pkcs11-tool

Prenez le menu "Edition/Préférences/Avancé", onglet "Chiffrement", bouton "périphériques de sécurité" et ensuite bouton "Charger".
Sélectionner le fichier /usr/lib/libbeidpkcs11.so (voir capture d'écran). Cliquez sur OK et fermez Abrowser.

https://www.linuxunderground.be/beid.html

@MetallicaMust
Il n'a probablement pas d'autre choix que celui qui lui est imposé par (une, ou) son administration ou entreprise ;-)

MetallicaMust
Offline
Joined: 03/06/2016

Salut Mangy Dog,

Je ne connais pas ce système (pour rappel, je suis Suisse) mais visiblement, comme tu le dis, vous n'avez pas toujours le choix. Cependant s'il y a potentiellement des problèmes de sécurité, il faut impérativement s'abstenir. Il est clairement trop dangereux, à mon avis, d'utiliser une pièce d'identité pour s'authentifier. Avec une signature (et chiffrement) GnuPG, en cas de doute, il est toujours possible de révoquer les clefs et d'en créer des nouvelles. Ceci n'est pas possible avec une pièce d'identité.

Après, c'est à vous de voir.

Par contre, tu sais où trouver de la documentation sur ce système pour que je puisse analyser un peu la chose ? Ainsi, si ce système venais dans mon pays, je pourrais agir en amont si la sécurité n'est pas absolue.

Merci ;-)

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015

Hello, MetalicaMust ;-)

Il s'agit aussi d'une authentification pour des sites et documents officiels.

https://mart-e.be/post/2012/02/14/beid-linux-1/
Techniquement il s’agit de 3 algorithmes RSA de 1024 bits qui permettent la signature, authentification et répudiation. Les standards conseillent l’utilisation de clés de 2048 bits mais toujours est-il que le 1024 tient toujours bon à ce jour.L’avantage d’utiliser ces clés plutôt que des que vous avez générer vous même est qu’elles ont été signées par le gouvernement Belge. Elles sont donc une preuve solide de votre identité lorsque vous devez signer un document électronique.

Voir Protection de la vie privée : un enjeu citoyen, En Belgique et en France la Ligue des droits de l'homme a réagi avec un rapport détaillé sur l'eID:
https://fr.wikipedia.org/wiki/Carte_d%27identit%C3%A9_%C3%A9lectronique
et
https://en.wikipedia.org/wiki/Belgian_eID

Pour les courriels il y a aussi S/MIME, assez simple d'utulisation, certains services de courriels Webmail sans service IMAP/POP permettent de generer facilement un certificat et ainsi de beneficier de chiffrement.
https://fr.wikipedia.org/wiki/S/MIME

MetallicaMust
Offline
Joined: 03/06/2016

Bon ben je suis loin d'être convaincu !

Visiblement, la clef privée est sur la puce de la carte. La question où je n'ai pas trouver de réponse est : Qui a générer les clefs ? Si c'est le gouvernement, autant dire qu'il n'y a aucune protection et la notion de "non-répudiation" est fallacieuse ! Elle en devient même particulièrement dangereuse car c'est un tiers qui les a généré. Les clefs sont, de fait, la propriété de plusieurs personnes. Le pire étant que l'utilisateur ne connais pas l'identité de celui qui a généré ces clefs et comment et dans quels conditions elles ont été générées. Celui qui a générer les clefs, quant à lui. connaît tout de l'utilisateur.

Si j'ai tout compris, les clefs ne servent pas au chiffrement, mais uniquement à signer (donc à s'identifier) et il n'y a pas de révocation possible pour l'utilisateur.

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015

Plus de details sur la carte elle même, et son utulisation, PDF
https://danishbiometrics.files.wordpress.com/2009/08/belgian-eid-card-technical-overview.pdf

La Ligue des droit de l'homme dénonce sous beaucoups d'aspects cette e-ID carte dans son rapport (cité plus haut Wikipedia Carte d'identité électronique : Protection de la vie privée : un enjeu citoyen ) et donne un lien sur son rapport PDF vers :
« The emergence of a global infrastructure for mass registration and surveillance » in International
Campaign Against Mass Surveillance: http://www.statewatch.org/news/2005/apr/icams-report.pdf

On voit que cette carte pose des problèmes éthiques liés à la protection de la vie privée, voir un risque potentiel pour son utulisateur :

Si le lecteur de carte ne dispose pas de clavier numérique dédié alors on utilise le clavier de l'ordinateur. Par ce fait, on ouvre la possibilité qu'un logiciel espion intercepte le code d'authentification du citoyen.

MetallicaMust
Offline
Joined: 03/06/2016

Arf... Mangy Dog, je ne comprend pratiquement rien de l'anglais :'(

Si le lecteur de carte ne dispose pas de clavier numérique dédié alors on utilise le clavier de l'ordinateur. Par ce fait, on ouvre la possibilité qu'un logiciel espion intercepte le code d'authentification du citoyen.

Si ce n'était que ça !

Je pense qu'il serait plus sage d'inciter, autant que possible, à ne pas utiliser ce système !

Voilà les 2 raisons principales :
- La sécurité n'est pas au rendez-vous (et la "non-répudiation" est fallacieuse) !
- Ce n'est pas libre.

Dangereux + pas Libre = à Rejeter !

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015

Hello MetalicaMust ...;-)

Dommage pour l'Angliche ou le Roastbeef comme tu préfère ! il y a une multitude de sites aux US qui ont une liberté de parole et d'informations bien meilleures que celle de la France et de Navarre,de l'Europe du fait que La liberté d’expression aux États-Unis est protégée par le Premier amendement de la Constitution des États-Unis et par les constitutions et lois de nombreux États..

La réalité pour les citoyens Belge en est toute autre car :

Suite au projet pilote concluant auquel ont été associées onze communes du Royaume, la décision de procéder à l’introduction généralisée de la carte d’identité électronique a été prise par arrêté royal du 1er septembre 2004 (Moniteur belge du 15 septembre 2004) après une évaluation positive du Conseil des Ministres le 20 mars 2004 et de la commission compétente de la Chambre des Représentants le 24 mars 2004.
Tout Belge doit disposer d’une carte d’identité électronique avant la fin de l’année 2009. Les convocations sont donc établies par les communes afin que les cartes actuelles soient remplacées dans le délai précité. Grâce à l’engagement et la collaboration des communes, la Belgique est à la pointe de ce qui se fait de mieux en matière d’e-Government.

http://www.ibz.rrn.fgov.be/fr/documents-didentite/eid/documentation/

La loi sanctionne :
Les sanctions pénales prévues à l'article 7 de la loi du 19 juillet 1991 relative aux registres de la population et aux cartes d'identité peuvent être appliquées aux personnes qui, du fait de leur négligence, sont toujours en possession de cartes de l'ancien modèle

Ils n'ont pas le choix, ont-ils été consulté(e)s ? leur as-ton "vendu" ce projet comme une avancée technologique comme étant plus sure ? y -a-il eut un réferendum consultatif (j'en sais rien) .[La Belgique n'est pas la Suisse, qui jouie d'une meilleur particiaption démocratique https://fr.wikipedia.org/wiki/Initiative_populaire_(Suisse) ].

Le(s) logiciel est libre
https://addons.mozilla.org/fr/firefox/addon/belgium-eid/
Distribué sous GNU Lesser General Public License, version 3.0

https://github.com/Fedict/eid-mw

Le middleware se base sur le projet libre OpenSC qui a été adapté pour la carte d'identité électro-nique belge. Le code adapté a été publié et a été en partie inclus dans le projet standard. Les librairies OpenSC sont aussi utilisées pour les autres cartes d'identité électroniques adoptées par certains pays.

http://index-of.es/Others/Realisation%20d%20une%20application%20eID.pdf PDF
(Le middle-ware est le logiciel pour la carte puce voir : https://en.wikipedia.org/wiki/OpenSC et https://fr.wikipedia.org/wiki/Carte_à_puce)

La Licence du logiciel "eID Software" est distribué sous GNU Lesser General Public License, version 3.0
https://eid.belgium.be/fr/license/les-conditions-dutilisation

Pour le lecteur externe de carte e-iD, c'est autre chose...;-) (Plus d'information est nécessaire).

---
Ce site a quelques autres infos ( via le terminal) qui pourrait aider Stem pour le PKCS#11 voir :
http://wiki.yobi.be/wiki/Belgian_eID

MetallicaMust
Offline
Joined: 03/06/2016

Tout Belge doit disposer d’une carte d’identité électronique avant la fin de l’année 2009.

Donc ce n'est pas libre puisque c'est obligatoire. De plus, ce qui est sur la puce ne peut pas être modifié (les clefs de chiffrement par exemple) et elles ne peuvent pas non-plus être révoquées.

Là, je donne mon avis perso si mon pays fait pareil :
La première chose que je ferais, c'est de détruire la puce de la carte dès réception de celle-ci car tu es engagé juridiquement sans aucune possibilité de défense (c'est la considération, a priori, de "non-répudiation") en cas d'usurpation.

Situation en Suisse :
en 2009 :
Jusqu'à nouvel avis, la carte d'identité continuera quant à elle d'être émise sous sa forme actuelle, à savoir sans puce. On ignore si une carte d'identité munie d'une puce sera émise un jour et, le cas échéant, si une carte d'identité sans puce pourrait alors être établie en parallèle.

Source : https://www.schweizerpass.admin.ch/pass/fr/home/aktuell/news/2009/ref_2009-02-18.html

En 2011 :
Comme annoncé en 2009, les citoyens suisses pourront choisir, à l’avenir, s’ils souhaitent une carte d’identité avec ou sans puce électronique. Quatre modèles de carte d’identité seront disponibles vraisemblablement à partir de 2016. La carte sans puce électronique constituera le modèle de base et offrira les mêmes possibilités d’utilisation que la version actuelle. Il existera en parallèle une carte comportant une photo et deux empreintes digitales enregistrées électroniquement. Cette carte présentera le même niveau de sécurité que le passeport actuel et les cartes d’identité délivrées par d’autres pays européens, garantissant à son détenteur une protection optimale contre les usurpations d’identité. Le troisième modèle sera lui aussi muni d’une puce contenant une identité électronique pour les applications de cyberadministration et de commerce électronique. Le quatrième modèle, enfin, combinera des données biométriques enregistrées électroniquement et une identité électronique.

Source : https://www.schweizerpass.admin.ch/pass/fr/home/aktuell/news/2011/ref_2011-12-16.html

Je n'ai rien trouvé de plus récent.

.

PS :
La Belgique n'est pas la Suisse, qui jouie d'une meilleur participation démocratique https://fr.wikipedia.org/wiki/Initiative_populaire_(Suisse)
Certes, c'est mieux, mais bon, il y a toujours les même défaut de toutes les démocratie : La démocratie oui, mais seulement quand ça ne dérange pas "l'ordre établi" et les décisions du peuple sont plus ou moins appliqué selon une interprétation qui ne dérange pas "l'ordre établi".

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015


En 2011 : Comme annoncé en 2009, les citoyens suisses pourront choisir, à l’avenir, s’ils souhaitent une carte d’identité avec ou sans puce électronique.

En Suisse vous avez donc le droit de choisir quelle carte vous convient, ce que les citoyens Belge ne peuvent pas faire sous peine de poursuites judiciares.Actuellement en France il ny a pas de carte e-id.

Içi je n’engage que mon opinion et non çelui des utulisateurs du Forum Trisquel GNU/Linux.

MetallicaMust :
La démocratie oui, mais seulement quand ça ne dérange pas "l'ordre établi" et les décisions du peuple sont plus ou moins appliqué selon une interprétation qui ne dérange pas "l'ordre établi".

Les démocraties actuelles n’ont rien à voir avec des démocraties, il s’agit plutôt d’oligarchies, voir des plutocracies :

On peut distinguer les oligarchies institutionnelles et les oligarchies de fait. Les oligarchies institutionnelles sont les régimes politiques dont les constitutions et les lois ne réservent le pouvoir qu'à une minorité de citoyens. Les oligarchies de fait sont les sociétés dont le gouvernement est constitutionnellement et démocratiquement ouvert à tous les citoyens mais où en fait ce pouvoir est confisqué par une petite partie de ceux-ci.
L'oligarchie est faite des meilleurs (« aristocratie » au sens étymologique), des plus riches (ploutocratie), des scientifiques et techniciens (technocratie), des Anciens (gérontocratie), de ceux qui bénéficient de la force ou de tout autre pouvoir de fait.

https://fr.wikipedia.org/wiki/Oligarchie

Aujourd'hui on utilise ce terme pour dénoncer les dérives des démocraties où les lobbies (souvent des entreprises multinationales) influent fortement sur le texte des lois.

https://fr.wikipedia.org/wiki/Ploutocratie


Démocratie, république, citoyenneté : nos régimes politiques doivent beaucoup de leurs références à l’Antiquité, et le vocabulaire en porte la marque. Pourtant, les démocraties occidentales n’ont que peu de rapport avec les fonctionnements antiques.
On y découvre que le tirage au sort était omniprésent dans la démocratie athénienne, que les Romains votaient beaucoup dans leur République dirigée par des aristocrates,
Le suffrage universel est aujourd’hui le principal mode d’expression du peuple qui choisit ainsi ses représentants. À Athènes, première démocratie de l’histoire, la plupart des magistratures étaient désignées par tirage au sort et tout citoyen pouvait les exercer. Le vote était principalement réservé à des décisions prises en assemblée ou dans les tribunaux.

http://www.dossiers-archeologie.com/numero-380/vote-democratie-l-antiquite/procedures-d-election-decision-democratie-athenienne.42754.php

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015

http://wiki.yobi.be/wiki/Belgian_eID
"libbeid2-dev " et "libbeidlibopensc2-dev"
Après vérification ces paquets ne sont plus maintenus
https://bugs.debian.org/cgi-bin/pkgreport.cgi?pkg=libbeidlibopensc2-dev;dist=unstable
There is no maintainer for libbeidlibopensc2-dev. This means that this package no longer exists

Magic Banana

I am a member!

I am a translator!

Offline
Joined: 07/24/2010

Si l’État impose que je sois à tout moment « identifiable » (avec une clé GPG, ma photo, mes empreintes digitales, mon iris, la forme de mes couilles, etc.), je préférerais que ces données soient sur ma carte d’identité plutôt que dans une base de données centralisée qui sera utilisée à mauvais escient (par certains policiers, par des crackers qui attaquent la base de données, etc.), notamment pour usurper mon identité. Maintenant, le moins de données personnelles collectées par l’État, le mieux nos libertés se portent.

MetallicaMust
Offline
Joined: 03/06/2016

Hello Magic Banana,

Le problème c'est que les données figurant sur la carte d'identité auront préalablement été fournie à l'Etat puisque c'est elle qui délivre les cartes d'identité. Cela signifie que ces données sont également dans des bases de donnée centralisée de l'Etat ! Si ce n'est pas uniquement pour de la pure sauvegarde, elles servirons de comparatif avec la dite carte d'identité. De plus toutes les donnée de cette carte d'identité seront mise à disposition lors de chacune des utilisation de cette carte d'identité (dans les aéroports par exemple).

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015

Magic ne nous dit pas tout !

Lecteur Magic* e-ID, Samba, Bossa Nova distribué sous GPL Affero

lecteur_Magic-eID.jpg
Magic Banana

I am a member!

I am a translator!

Offline
Joined: 07/24/2010

Cela signifie que ces données sont également dans des bases de donnée centralisée de l’Etat !

Est-ce vraiment le cas ? J’espère que non. Les données ne pourraient (et devraient) être que sur la carte. Justement pour éviter l’établissement d’un fichier centralisé sur tout le monde. Une fois la puce « remplie », toute copie des données peut être détruite.

Si ce n’est pas uniquement pour de la pure sauvegarde, elles serviront de comparatif avec la dite carte d’identité.

Il n’y a pas besoin d’une copie pour cela. Avec la cryptographie asymétrique, l’État n’a besoin que de la clé publique pour identifier le porteur de la carte. L’idée de stocker des données biométriques est de vérifier que tes empreintes physiques, collectées « live », correspondent à celles sur la carte que tu portes. Comme lorsque l’agent de police compare la bouille sur la carte d’identité avec celle qui se tient en face de lui. Enfin, je comprends la nécessitée de monter des listes centralisées de criminels, de personnes interdites de sortie de territoire, etc. On peut ainsi les arrêter au contrôle d’identité. Il n’y a en revanche aucune nécessité de ficher la population entière, ce qui est évidemment dangereux pour nos libertés.

C’est pourtant ce que fait la France avec le fichier TES, maintenant déployé à l’échelle de la France entière : http://www.numerama.com/politique/244393-le-tres-decrie-fichier-tes-arrive-partout-en-france-la-riposte-juridique-est-lancee.html

Encore une fois, j’aurais préféré que les données soient sur une carte en ma possession (comme les passeports biométriques depuis 2009) plutôt que dans une base de données centralisée. C’est ce que proposait la CNIL :

En revanche, l’introduction du composant électronique sécurisé dans la carte nationale d’identité, qui n’a pas été censurée par le Conseil constitutionnel, n’a toujours pas été mise en œuvre.
L’application de cette mesure législative serait de nature à faciliter la lutte contre la fraude documentaire, tout en présentant moins de risques de détournement et d’atteintes au droit au respect de la vie privée. Elle permettrait de conserver les données biométriques sur un support individuel exclusivement détenu par la personne concernée, qui conserverait donc la maîtrise de ses données, réduisant les risques d’une utilisation à son insu.
La Commission regrette dès lors que les actes réglementaires permettant l’entrée en vigueur d’une telle mesure n’aient pas été adoptés, alors qu’est envisagée la création d’une base de données centralisée, présentant davantage de risques au regard de la protection des droits et libertés.

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033318979

Mangy Dog

I am a member!

I am a translator!

Offline
Joined: 03/15/2015


Il est important de préciser qu'en France nul n'est obligé de posséder une carte d'identité
:

Depuis 1955, les Français n'ont plus l'obligation de détenir une carte d'identité. Lorsqu'ils ont à justifier de leur identité, ils peuvent donc présenter un document officiel portant leur photographie : un passeport, même périmé depuis moins de deux ans, un permis de conduire, une carte d'invalidité, une carte d'abonnement aux transports collectifs ou une carte d'identité professionnelle par exemple.
La carte nationale d'identité est délivrée à toute personne qui en fait la demande, sans condition d'âge. Elle est valable dix ans, mais, même périmée, elle permet à son titulaire de justifier de son identité sur le territoire national, à condition que la photographie soit ressemblante. La carte nationale d'identité est gratuite depuis le 1er septembre 1998.

https://www.senat.fr/lc/lc118/lc118_mono.html