Suite de l’histoire
Pour mémoire, je me suis intéressé pour la première fois au RPVA en juin 2010, date à laquelle j’avais écrit au support informatique du CNB pour leur indiquer que j’étais sous Linux que je souhaitais un support sous cette architecture. Le billet vient d’être actualisé, ce n’est donc plus une « tentative de tutoriel », mais un vrai tutoriel.
Souvenez-vous, leur réponse était éloquente :
« Ebarreau n’est pas supporté sous linux
Seule les OS mac 10.5.X 10.6.X et les Windows 2000/xp/vista/seven sont
supportés »
J’avais saisi le Bâtonnier de mon ordre pour tenter d’obtenir du CNB des pilotes pour la clé USB de cryptographie, mais cela n’avait rien donné.
Voyant que les échéances approchaient (l’article 901 exige des déclarations d’appel par voie électronique à peine d’irrecevabilité du revours), j’ai donc piqué un coup de sang et j’ai adressé des mises en demeure au CNB et à la Chancellerie. Comme par enchantement, 10 jours plus tard, Certeurope m’a fait parvenir 3 des 4 pilotes de la clé (deb 32 et 64 bits et RPM 32 bits). Il ne manque donc plus que le RPM 64 bits que j’attends depuis des mois sans que le CNB ne fasse rien, ce qui est handicapant pour ma structure que je dois faire migrer en postes 32 bits (pour l’instant, un seul poste pour y avoir accès, alors que tout le reste est en 64 bits).
Mais décidément, rien ne fonctionne et malgré les efforts de plusieurs sociétés très compétentes sur le RPVA, tout est en vrac.
J’adresse alors une nouvelle mise en demeure au CNB avec copie à la chancellerie, car ma patience arrive à bout.
Voici quelques éléments d’information sur la configuration, en espérant que ces éléments serviront aux autres.
Installation du boîtier RSA
Théoriquement, Navista le fait pour vous ou alors le prestataire informatique éventuellement choisi par votre barreau si cela a été prévu par votre ordre. Sinon, vous pouvez vous référer à la documentation de Navista.
Les paquets à installer
- Il s’agit de : pcsc-tools (client), libccid, pcscd (serveur). Attention, les paquets ne semblent pas être les mêmes ni avoir le même nom pour les distributions à base de RPM. L’installation est ici faite sur une Kubuntu 12.10.
- Bien sur il faut aussi installer le pilote de la clé de chiffrement qui chargera la librairie libclassicclient. Là encore, dans les distributions RPM la librairie semble poser des soucis et je n’ai pas pu la charger sur la clé dans le module PKCS#11 de Firefox.
Modification du fichier hosts
Après l’installation du RSA (en mode bridge dans mon cas, c’est à dire connecté à un switch), il faut éditer le fichier hosts pour permetre à l’ordinateur qui se connecte de reconnaître les adresses IP et les url. Éditez seulement le fichier /etc/hosts et pas le fichier hosts.allow ou hosts.deny.
Après modification, votre fichier devrait ressembler à cela :
172.30.42.136 e-barreau.fr
172.30.42.136 www.e-barreau.fr
172.30.42.139 icarpa.fr
172.30.42.139 www.icarpa.fr
98.98.98.98 ncc.navista.fr
127.0.0.1 localhost
127.0.1.1 Nom_de_votre_machine
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allroutersConfiguration des routes
Il faut renseigner dans votre ordinateur les routes permettant aux requêtes de traverser le boîtier RSA (pour encapsuler le flux) et de se connecter à e-barreau. Il s’agit en fait de dire à l’ordinateur que toutes les adresses en 172.30 utiliseront une autre passerelle que celle habituellement utilisée dans votre cabinet (votre box adsl par exemple)
- En graphique sous l’environnement KDE
Pour monter définitivement une route sous KDE, rendez-vous dans le gestionnaire de connexions > gérer les connexions. Pour chacune des connexions (filaire, sans fil, etc.) modifiez les paramètres > onglet IPV4 > menu déroulant « Routes » et vous ajoutez votre route : Adresse 172.30.0.0, masque 255.255.0.0 et l’adresse du boîtier RSA 1xx.1xx.1.16 (16 est un exemple, prenez l’adresse que vous avez choisie dans la configuration du RSA lors de son installation)
- En console :
sudo route add -net 172.30.0.0/16 gw 1xx.1xx.1.16
Les « x » correspondent à la plage d’adresses interne de votre réseau.
Après, on vérifie les routes : avec la commande route -n (jai masqué les données de mon réseau personnel)
Table de routage IP du noyau
Destination Passerelle Genmask Indic Metric Ref Use Iface
172.30.0.0 1xx.1xx.1.16 255.255.0.0 UG 0 0 0 wlan0La connexion à e-barreau se fait via la page web e-barreau, mais vous pouvez aussi prendre https://172.30.42.136
Edit du 14/06/12 : Après avoir fait un essai du RPM sous Opensuse, il s’avère que le paquet 32 bits est complètement bogué. Il faut, pour l’utiliser, extraire tout son contenu et replacer les fichiers à la main au bon endroit... Je n’ai pas eu le temps de m’y consacrer ; j’ai donc décidé de rester sous Kubuntu pour l’instant, mais il est évident que je reprendrai Opensuse ou Mageia.
Sachez que rien n’est documenté sous Linux par le CNB qui s’en moque complètement. Les paquets ne sont même pas présents sur l’interface web e-barreau... Une documentation serait le minimum minimorum...
Chez moi, ça bloqué pendant des mois à l’authentification sous Firefox :
Échec de la connexion sécurisée
Une erreur est survenue pendant une connexion à 172.30.42.136.
Le pair SSL n'a pas réussi à négocier un jeu de paramètres de sécurité acceptable.
(Code d'erreur : ssl_error_handshake_failure_alert)Jusqu’à ce que CERTEUROPE se décide à me donner de plus amples renseignements :
CHAINE DE CONFIANCE
Avec clé débranchée,
- Sur Firefox, entrez le lien suivant:
http://www.certeurope.fr/certificats2009/certeurope_root_ca.crt
• Téléchargez le certificat.
• cliquez sur Préférences (ou Outils/Options) du menu Firefox
• dans l’onglet Avancé, cliquez sur l’onglet Chiffrement puis sur Afficher les certificats
• cliquez sur Importer
• allez dans votre dossier de téléchargements, sélectionnez le fichier
Si vous ne trouvez pas le fichier, c'est qu'il s'est importé automatiquement, dans ce cas passez à l'autorité suivante.
Sinon:
• cliquez sur Ouvrir.
• puis cliquez sur OK.
Soit l'Autorité est déjà présente (message vous l'indiquant), soit le Certificat de l’Autorité sera importé dans Firefox.
Appliquez la même procédure pour les liens suivants:
http://www.certeurope.fr/reference/certeurope_root_ca_2.cer
http://www.certeurope.fr/fichiers/certificats/ac_avocats_classe_3plus.crt
http://www.certeurope.fr/fichiers/certificats/ac_avocats_classe_3plus_v2.cerVous remarquerez que les menus sont ceux de Firefox sous Windows... Bref, installez les certificats et validez toutes les questions posées.
Redémarrez FF, banchez la clé, connectez-vous à ebarreau, on vous demandera votre code PIN et vous devriez pouvoir accéder à l’interface web e-barreau.
Si comme moi vous avez encore l’erreur de pairage SSL qui vous est renvoyée, déconnectez la clé, remettez-là, attendez quelques secondes avant d’actualiser la page. Au bout de deux ou trois fois, vous finirez par avoir accès à e-barreau.
Conclusion
Triste conclusion...
- J’ai demandé la clé de chiffrement en juin 2010 et je ne l’ai eue que le 23 décembre 2011
- il a fallu mettre deux fois en demeure le CNB et la chancellerie pour que le problème soit pris au sérieux avec des dizaines d’échanges de messages (courriers, tickets d’incident, etc.)
- il est honteusement facile d’accuser Linux d’être « incompatible » et de se défausser en indiquant qu’aucun support n’est et ne sera assuré pour Linux, alors qu’il semble au moins que la question des certificats n’est pas étrangère à un début de solution...
- Tout n’est pas réglé, puisque je dois encore affronter cette maudite erreur de pairage SSL renvoyée par le navigateur et que pour avoir accès au RPVA, je dois me déconnecter et tenter de me reconnecter plusieurs fois avant d’avoir un accès total.
- dernier détail... juste une paille... Firefox crashe sans cesse ou gèle à cause de cette maudite clé qui ne sert à rien... prenez vos précautions, cela ne prévient pas !
Quant au fonctionnement du RPVA, nous en sommes encore à la préhistoire de l’informatique et cela fera l’objet d’un billet à part.
Commentaires