[Linux-bruxelles] Carte d'identité électronique

Rémi Laurent remi.laurent at fsugar.be
Mer 6 Juin 21:36:27 CEST 2007 

* Laurent Léonard <laurent at graphix-webdesign.com> [2007-06-06 20:53:18 +0200]:

> J'ai eu beau éplucher bon nombre d'arrêtés de loi et de circulaires, je 
> ne trouve nulle part un document écrit stipulant que la fonction de 
> signature doit être désactivée et que le fonctionnaire qui effectue la 
> procédure d'initialisation de la carte doit me demander si je veux 
> l'activer... Cette information est-elle vérifiée ? Où est-ce écrit ?
> 
> Laurent Léonard
> 
> 
> Laurent Léonard a écrit :
> > Curieux de voir si quelque part sur le site officiel de l'eID on parle 
> > de cette fameuse fonction de signature qui par défaut devrait être 
> > désactivée, je suis tombé là dessus... 
> > http://eid.belgium.be/fr/navigation/documents/39767.html L'eID 
> > sponsorisé par Microsoft ? Et moi qui croyait que dans les 
> > administrations l'ODF devait devenir le standard utilisé dès sa 
> > certification ISO ? Voir communiqué de presse ici : 
> > http://presscenter.org/archive/20060623/432d0130470a88df1105dda38d1282b0/?lang=fr
> > 
> > Quelqu'un a-t-il trouvé une page officielle expliquant la problématique 
> > de la signature électronique, le fait qu'un fonctionnaire doit demander 
> > si on veut l'activer, le fait que par défaut elle devrait être désactivée ?

Grâce à des 'contacts' j'ai pu lire quelques informations fournies aux
communes en matière de validation des eID.

Pour ce que j'ai compris, ça se déroule de cette manière :
- un citoyen doit recevoir une nouvelle carte d'identité eID
- le RN (registre national) écrit une convocation qu'elle fournit à la
  commune via un courrier postal scellé
- la commune transmet ce courrier au citoyen afin qu'il se présente au
  bureau communal avec une photo d'identité et pour vérifier que les
  données à son sujet son correctes (nom, prénom, adresse, ...)
  C'est à ce moment semblerait-il que le citoyen doit introduire une
  demande pour signifier qu'il ne souhaite pas voir les certificats de
  signature et authentification activés sur sa carte (circulaire je sais
  plus combien, on en a parlé ;) )
- une fois les données vérifiées, la commune renvoie le tout au RN
- le RN (via la société Zetes) va alors générer une eID card (avec
  l'ajout des informations personnelles, la photo et l'ajout et
  signature des certificats). Il faut savoir que c'est également eux qui
  géngère les code PUK et PIN, et c'est là que ça devient _très_
  intéressant
- le RN (ou le RN via la commune?) va fournir les codes PUK et PIN au
  citoyen via courier sécurisé (comme pour les codes de banque par
  exemple)
- le citoyen se présente alors à la commune pour activer la carte et la
  récupérer. L'employé communal doit lui faire vérifier la carte, voir
  si tout est ok, lui faire entrer le code PUK et puis le PIN (deux
  fois)

A partir de maintenant j'arrête l'énnoncé en points, vous allez
comprendre pourquoi.

Le code PIN est rentré _par deux fois_ et ce, après le code PUK.
On sait que c'est le RN qui a déterminé ces codes PUK et PIN (par
ailleurs, si le citoyen a perdu ses codes PUK et PIN, le RN peut les
renvoyer à la commune, mais, chose très comique, ils renvoient les mêmes
codes ... donc ils stockent les PUK et PIN qque part ... sachant qu'on
ne peut pas changer le code PUK, je vous laisse imaginer la suite).

Donc, je me répète, le code PUK, puis deux fois le PIN; pourquoi ?
paraît-il pour entrer le PIN et sa confirmation ...
Et bien non, pas au vu de la documentation fournie aux communes (c'est
spécifié, et dans la doc généraliste et dans la doc de l'application
utilisée pour la gestion de la carte dans les communes).
En fait vous entrez le code PIN du certificat d'authentification et du
certificat de signature et ils sont comparés à ceux déjà configurés sur
la carte (par le RN comme on l'a dit plus haut).
Un autre indice qui laisse penser que cette théorie tient la route :
les mineurs et certaines personnes 'handicapées' (le cas des malvoyants
est cité) n'ont pas de certificat de signature activé sur leur eID ...
et devinez quoi ? lors de leur validation de carte à la commune (quand
ils viennent la retirer donc) ils ne doivent rentrer le code PIN _qu'une
seule fois_ ... coincidence.

En ce qui concerne le comportement de l'eID et/ou de l'application quand
on rentre un code PIN invalide pour l'une des deux fois où il doit être
fourni, aucune information. Aucune information non plus quant à la
possibilité de changer le code PIN _d'un seul_ des certificats (ou alors
j'ai mal lu) et enfin, une dualité au niveau de la documentation,
parfois on dit que les deux certificats sont indissociables, une autre
fois qu'ils le sont, en témoigne les cas pratiques des mineurs et
malvoyants par rapport aux 'autres'.

J'espère ne pas avoir été trop brouillon et revenir avec des
informations plus claires la prochaine fois. En attendant, si certains
veulent tester 3 entrées invalides pour _un des deux_ code PIN
(désactivant alors ... la carte ? le certificat ?), qu'ils ne se gênent
pas ;)

PS: je n'ai aucune idée précise de l'ordre dans lequel les codes PIN
sont demandés, mais d'après la documentation de l'application il
s'agirait d'abord du certificat d'authentification et puis de signature.

Plus d'informations sur la liste de diffusion Linux-bruxelles