Certificat Opalexe
Opalexe est une plateforme de dématérialisation des expertises judiciaires, développée en partenariat avec le ministère de la Justice, le Conseil national des compagnies d'experts de justice et le Conseil National des Barreaux. Elle repose sur une authentification par certificat électronique RGS**, certificat fourni sur carte à puce permettant également la signature électronique des documents, reconnue de niveau signature électronique qualifiée selon le règlement européen eIDAS.
La société Oodrive assure à la fois la gestion de la plateforme et le rôle de tiers de confiance (autorité de certification et autorité d'enregistrement, à travers sa filiale CertEurope). Les compagnies d'experts attestent de l'identité du porteur lors de la commande d'un certificat (autorité d'enregistrement déléguée).
Malheureusement, aucune documentation n'est fournie sur les possibilités d'utilisation sur GNU/Linux. En cas de demande, le support se contente de répondre que le système d'exploitation n'est pas compatible avec la plateforme. C'est pourtant tout à fait le cas, une fois le certificat activé !
Compatibilité
À vérifier : d'autres services reposant sur un certificat du même type fourni par CertEurope sont probablement compatibles.
Pré-requis
- Disposer des droits d'administration.
- Disposer d'une connexion à Internet configurée et activée.
- Avoir installé les paquets pcscd libpcsclite1 pcsc-tools pcsc-tools conformément à la documentation sur les cartes à puce sous Ubuntu.
- Avoir activé et lancé le service PC/SC à l'aide des commandes
sudo systemctl enable pcscd
etsudo systemctl start pcscd
. - Avoir branché à un port USB le lecteur de carte PC/SC et inséré la carte Opalexe.
pcsc_scan
.
Installation
Pour pouvoir utiliser la carte Opalexe, il faut télécharger et installer le logiciel SafeNet Authentication Client de Thales, par exemple depuis le support du fournisseur de certificats PositiveSSL (Thales réserve malheureusement à ses clients directs l'accès au téléchargement du logiciel). Des versions avec et sans interface utilisateur sont fournies, celle sans interface fait très bien l'affaire.
Configuration
Pour la lecture du certificat, on s'appuie sur les Network Security Services fournis à la fois par Firefox et Thunderbird, grâce au module PKCS#11 approprié.
Pour ajouter le module PKCS#11, se rendre dans les paramètres de Thunderbird ou Firefox, section Certificats, puis cliquer sur Périphériques de sécurité…, Charger, choisir un nom et sélectionner le module /usr/lib/libIDPrimeTokenEngine.so
.
Pour activer l'utilisation du certificat (authentification et signature), rester dans la section Certificats, cliquer sur Gérer les certificats…, puis :
- Dans Vos certificats, sélectionner le certificat et cliquer sur Voir… : dans Informations sur l'autorité, télécharger le fichier
.cer
ou.crt
(Informations sur l'autorité (AIA), Méthode : CA Issuers) - Dans Autorités, importer le fichier
.cer
ou.crt
et cocher tous les paramètres de confiance avant de valider.
Utilisation
Le certificat peut maintenant être utilisé pour signer électroniquement des documents avec LibreOffice associé à Thunderbird ou Firefox (choix à paramétrer dans Options, LibreOffice, Sécurité, Chemin du certificat, Certificat…), et/ou s'authentifier sur la plateforme Opalexe (avec une version de Firefox préalablement configurée).