Amt für Informatik und Organisation des Kantons Bern Finanzdirektion Office d'informatique et d'organisation du canton de Berne Direction des finances Wildhainweg 9 Case postale 6935 3001 Berne Téléphone 031 633 59 00 Centre de 031 633 44 44 services Télécopie 031 633 59 99 www.kaio.fin.be.ch Guide de l utilisateur Date d élaboration : 6 juin 2013 Version : 1A N plan de classement : N dossier : 143154 Etat du document : Classification : Auteur : Destinataires : validé interne Müller Ueli interne
Sommaire 1 Supports disponibles... 3 2 Informations sur votre certificat numérique... 4 3 Utilisation de l application SafeNet... 6 3.1 Ouverture de l application SafeNet Authentication Client Tools... 6 3.2 Insertion de la carte à puce... 7 3.3 Changement de code PIN... 8 3.4 Affichage d informations sur le support de certificats... 9 3.5 Déblocage de la carte à l aide d un code PUK...10 3.6 Vérification de la validité des certificats...11 3.7 Vérification de la version de SCKI...12 4 Glossaire / Foire aux questions...14 FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 2 / 19
1 Supports disponibles Clé USB Carte à puce Voici les supports de certificats qui ont été choisis dans les unités administratives suivantes (toute exception peut être signalée à la commande) : Chancellerie d Etat (CHA) : clé USB, Direction de l économie publique (ECO) : clé USB, Direction de la santé publique et de la prévoyance sociale (SAP) : carte à puce, Direction de la justice, des affaires communales et des affaires ecclésiastiques (JCE) : carte à puce, Direction de la magistrature : carte à puce, Direction de la police et des affaires militaires (POM) : carte à puce, Direction des finances (FIN) : carte à puce, Direction de l instruction publique (INS) : carte à puce, Direction des travaux publics, des transports et de l énergie (TTE) : clé USB, INFRA (p. ex. communes) : clé USB. FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 3 / 19
2 Informations sur votre certificat numérique Vous venez de recevoir une carte à puce ou une clé USB. Ce support contient les certificats numériques dont vous avez besoin pour accéder à certains services électroniques. Ces services électroniques sont fournis par l Administration fédérale, le canton de Berne ou des tiers. Ils requièrent une authentification sécurisée des utilisateurs, car ils donnent généralement la possibilité de traiter des informations particulièrement dignes de protection. En outre, les certificats numériques permettent de signer, de chiffrer et de déchiffrer des informations enregistrées sous forme électronique (p. ex. SecureMail). Votre carte à puce ou votre clé USB suffit à elle-seule pour accéder à tous les services existants et futurs. Les certificats contenus sur votre carte à puce ou votre clé USB sont des certificats de classe B délivrés dans le cadre de l infrastructure à clés publiques de la Confédération Admin-PKI (Swiss Government Enhanced CA 01). Ils permettent, par exemple, de s authentifier dans des applications contenant des données confidentielles ou de signer et de chiffrer des courriels. Ces certificats sont délivrés à des personnes physiques et la qualité requise pour leur émission est très élevée : il est impératif de s identifier personnellement à l aide d un passeport ou d une carte d identité en cours de validité (le permis de conduire ou la carte d abonnement CFF ne sont pas acceptés). La durée de validité d un certificat de classe B est de 3 ans. L émission d un certificat de classe B correspond en réalité à 3 certificats qui sont destinés, respectivement, à l authentification, à la signature et au chiffrement. Illustration 1 : Services de certification de l Administration fédérale Ces certificats reposent sur le principe du chiffrement asymétrique au moyen d une paire de clés personnelle. Chaque certificat comprend une clé privée et une clé publique. La clé privée, qui est unique et spécifique à chaque certificat, est enregistrée sur votre carte à puce ou sur votre clé USB. La clé publique correspondante est, comme son nom l indique, diffusée le plus largement possible. Votre clé publique est contenue dans un certificat numérique qui comprend en outre une FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 4 / 19
série d informations permettant de vous identifier sans ambiguïté dans un système d information numérique : - version, - numéro de série, - algorithme de chiffrement, - service d émission, - durée de validité, - nom et prénom, - adresse électronique, - service, - utilisation prévue de la paire de clés. Ces informations sont signées numériquement par le service qui émet le certificat. Dès lors qu une des informations contenues dans le certificat change, il faut impérativement délivrer un nouveau certificat, qui est à nouveau signé numériquement par le service d émission. Toutes les cartes à puce qui sont délivrées dans l administration du canton de Berne comprennent en outre une micro-puce RFID (Legic). Celle-ci permet d utiliser la carte comme clé électronique pour ouvrir des portes, ou comme carte de paiement dans des distributeurs automatiques de boissons ou dans des cantines. Ces fonctions supplémentaires ne sont disponibles qu avec la carte à puce. L accès à la clé privée qui est inscrite sur la carte ou sur la clé USB est protégé au moyen d un code PIN (mot de passe de la carte ou clé). Si ce code PIN est saisi plusieurs fois de manière incorrecte, la carte ou la clé se bloque. Vous devez alors vous adresser à votre centre de services ou d assistance pour obtenir un code (PUK) qui vous permettra de la débloquer. Si vous perdez votre carte, qu elle vous est dérobée ou qu elle présente un défaut, adressez-vous également à votre centre de services ou d assistance pour demander sa révocation. Il faudra alors émettre une nouvelle carte et vous devrez donc à nouveau vous identifier personnellement auprès d un officier LRA à l aide de votre passeport ou de votre carte d identité pour l obtenir. Cette obligation est imposée par l autorité de certification Swiss Government Enhanced CA 01. L Office d informatique et d organisation (OIO) garantit l établissement d une nouvelle carte dotée des certificats appropriés dans un délai de 10 jours ouvrés suivant la réception de la demande. FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 5 / 19
3 Utilisation de l application SafeNet 3.1 Ouverture de l application SafeNet Authentication Client Tools L application SafeNet Authentication Client Tools (SAC) qui est installée sur votre poste de travail assure la communication avec le support de certificats, c est-à-dire la carte à puce ou la clé USB. Vous avez plusieurs possibilités pour lancer cette application : - Démarrage via la barre des tâches : La méthode la plus rapide consiste à activer l icône dans la zone d information située à droite sur la barre des tâches : cliquez avec le bouton gauche de la souris pour ouvrir la zone d information, puis avec le bouton droit de la souris sur l icône et choisissez la commande Tools. - Démarrage via la touche Windows du clavier : Activez la touche Windows de votre clavier et tapez le nom de l application «SafeNet Authentication Client Tools» dans le champ Rechercher les programmes et fichiers. La fenêtre qui apparaît présente une première série d informations sur le support qui vous a été fourni par l OIO (carte à puce ou clé USB). Notez que la lecture du support prend beaucoup de temps. Il peut donc arriver que la barre de titre de la fenêtre affiche Not Responding (pas de réponse) pendant 1 à 2 minutes :. FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 6 / 19
3.2 Insertion de la carte à puce Pour insérer correctement la carte, vous devez toujours la présenter de telle sorte que la puce soit visible et orientée vers le lecteur de carte. Après avoir rencontré une légère résistance, veillez à introduire la carte complètement jusqu à la butée, de sorte que les contacts électriques du lecteur soient positionnés correctement sur la puce pour permettre la lecture des informations qu elle contient. Vous pouvez vérifier dans SafeNet Authentication Client que l application a reconnu la carte et peut lire les informations qu elle contient. Vous constatez sur la partie gauche de l écran que le support de l OIO (KAIO Token) inséré dans le lecteur a été identifié. Si vous avez inséré la carte correctement et que le programme ne la reconnaît pas, retentez l opération avec un autre ordinateur doté d un lecteur de carte. Si le problème persiste, la carte est peut-être défectueuse. Adressez-vous dans ce cas à FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 7 / 19
votre centre de services ou d assistance. 3.3 Changement de code PIN Après avoir démarré l application SafeNet Authentication Client Tools, vous pouvez modifier le numéro d identification de votre support à l aide de la commande ****Changer mot de passe du jeton. Entrez le nouveau code PIN en respectant les consignes relatives à la définition de ce code. Voir Règles pour le code PIN, au chapitre Glossaire / Foire aux questions. Le programme vous confirme la modification du mot de passe. FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 8 / 19
3.4 Affichage d informations sur le support de certificats La commande Afficher les informations du jeton permet de visualiser toute une série d informations sur le support utilisé. Les informations suivantes sont importantes : - Capacité mémoire totale, - Espace libre de la carte du jeton, - ID carte (numéro de série du support), - Mot de passe du jeton tentatives restantes, - Nombre total de codes de déblocage, - Codes de déblocage restants. (code PUK = PIN unlock key, c.-à-d. clé de déblocage de code PIN) Lorsque, comme dans l exemple ci-contre, le nombre de tentatives restantes pour le mot de passe est nul (= 0), la carte est bloquée. Dans ce cas, vous devez demander un nouveau code de déblocage (code PUK) au centre de services ou d assistance compétent, ou encore via le Portail libre-service (https://wwwin.ssp.be.ch dans BEWAN uniquement). FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 9 / 19
3.5 Déblocage de la carte à l aide d un code PUK Si vous obtenez le message d erreur ci-contre après avoir saisi votre code PIN, c est que vous avez atteint le nombre maximal de tentatives de connexion. Vous devez alors demander un nouveau code PUK de déblocage au centre de services ou d assistance compétent, ou encore via le Portail libre-service https://wwwin.ssp.be.ch (uniquement dans BEWAN). Après avoir cliqué sur, vous accédez à l écran permettant de déverrouiller le jeton. Entrez le code de déblocage. Ensuite, saisissez et confirmez le nouveau mot de passe. Votre support (carte à puce ou clé USB) interdit en effet l utilisation de l ancien mot de passe. Le centre de services ou d assistance vous demandera peut-être de lui indiquer le numéro du code PUK suivant. Dans les informations relatives au support (voir 3.4), vous trouverez : - le nombre total de codes de déblocage et - le nombre de codes de déblocage restants Code PUK suivant : Nombre total de codes nombre de codes restants +1 = code de déblocage suivant (dans l exemple ci-contre : 6-1 +1 = 6 e code PUK) Une fois que vous avez saisi le code de déblocage et le nouveau code PIN, le programme confirme le déverrouillage. FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 10 / 19
3.6 Vérification de la validité des certificats L icône permet d accéder à des informations complémentaires sur le support utilisé. Les certificats enregistrés sur votre support sont affichés sous KAIO-Token. Il y a 3 certificats de classe B pour, respectivement, la signature, l authentification et le chiffrement Voir Combien de certificats sont stockés sur un support au chapitre Glossaire / Foire aux questions. Cet écran vous informe aussi sur la date d émission, la date d expiration et l utilisation des certificats. Pour vérifier la validité d un certificat, ouvrez-le par un double-clic avec le bouton gauche de la souris. Une nouvelle fenêtre affiche des informations détaillées sur le certificat. La rubrique Certificate status indique si le certificat est en cours de validité (The certificate is OK) ou s il a été révoqué (The certificate was revoked ). Plusieurs raisons peuvent expliquer que le programme indique que le certificat a été révoqué ou est incorrect : - Le certificat racine installé est incorrect. - Le certificat a effectivement été révoqué. - La période de validité du certificat a expiré. FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 11 / 19
En pareil cas, vous devez demander l émission d un nouveau certificat au centre de services ou d assistance compétent. 3.7 Vérification de la version de SCKI Pour exécuter les procédures de renouvellement ou de récupération de vos certificats, vous devez disposer des versions les plus récentes des logiciels SafeNet et SCKI. Ces deux guides décrivent en détail le déroulement des procédures de renouvellement (Renewal) et de récupération (Key Recovery) de certificat : FIN_KAIO-#143150-v1-Admin-PKI_Flyer_Renewal.DOCX FIN_KAIO-#143153-v1-Admin-PKI_Flyer_KeyRecovery.DOCX Pour permettre la bonne exécution de la procédure de renouvellement ou de récupération, il faut que les certificats soient en cours de validité (voir 3.6) ; vous ayez votre carte à puce et votre code PIN ; la version actuelle du programme SCKI soit installée sur votre PC ; la version de SafeNet Authentication Client Tools soit actuelle ; la carte à puce offre suffisamment d espace disponible ; vous ayez l autorisation d exécuter des contrôles Active-X dans Internet Explorer. Vous devez disposer au minimum de la version 8.1 SP1 de SafeNet Authentication Client Tools. FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 12 / 19
Le support de certificats doit offrir suffisamment de place pour une ancienne clé de chiffrement. Dans les informations relatives au support visualisées sous l application SafeNet Authentication Client Tools, la ligne Espace libre de la carte du jeton doit afficher au moins les valeurs suivantes : - pour Key Renewal : 14 000 - pour Key Recovery : 3 000 Au premier lancement de la procédure de renouvellement, le système vous invite à exécuter un contrôle ActiveX. Cliquez sur Ausführen puis confirmez l exécution dans la fenêtre suivante. Vous recevrez peut-être cette demande une seconde fois. 1) 2) Vérification du logiciel SCKI : La version de SCKI installée sur le PC doit être au minimum 2.1.06. Contrôle : 1) (Si possible) Démarrer Panneau de configuration Programmes et fonctionnalités (Windows 7) 2) Vous pouvez aussi ouvrir le programme via le lien suivant après avoir inséré la carte à puce dans le lecteur ou la clé USB dans le port USB : https://certrenewal.ssl.admin.ch/certificaterenewalwizard/ La version installée du logiciel SCKI est indiquée en bas à droite de la page d accueil. Si ce n est pas la version requise, elle apparaît en caractères rouges. Si la version installée sur votre PC est trop ancienne, vous devez d abord la désinstaller avant d installer la nouvelle. En cas de problème, veuillez contacter le centre de services ou d assistance compétent. FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 13 / 19
Fermez la fenêtre et NE CLIQUEZ PAS SUR le bouton de commande Renouvellement des certificats! Contentez-vous de refermer la fenêtre! 4 Glossaire / Foire aux questions Thème / terme A quoi servent les certificats numériques? AdminPKI Assistance Authentification Autorisation d accès Autorité de certification Badge Carte à puce Explication Les certificats numériques personnels permettent par exemple, selon les autorisations associées, l accès sécurisé à des services et applications qui sont fournis par la Confédération, le canton ou des tiers (p. ex. identification dans des applications spécifiques / Windows, chiffrement et signature numérique des courriels). Infrastructure PKI de la Confédération que le canton de Berne utilise aussi pour pouvoir délivrer des certificats numériques. L assistance incombe au centre de services ou d assistance. Il convient d examiner et de déterminer si l assistance requise concerne les applications ou les certificats. Opération consistant à vérifier que l utilisateur peut prouver son identité par une information qu il connaît, quelque chose qu il possède ou des caractéristiques biométriques. Détenir une carte à puce contenant un certificat numérique équivaut à posséder une preuve de son identité. Attribution de droits d accès à des ressources ou à des programmes informatiques après l authentification. Organisation qui délivre les certificats numériques. (Abréviation CA, de l anglais certificate authority ou certification authority). Un certificat numérique sert à affecter une clé publique déterminée à une personne ou à une organisation. L autorité de certification dote cette clé d une signature numérique afin de l authentifier. Carte d accès électronique, souvent dotée de la technologie RFID, qui permet l ouverture ou le déverrouillage automatique des portes. Une carte à puce (carte à circuit intégré, aussi appelée smart card) est une carte en matière plastique dotée d un circuit intégré (puce électronique) qui peut contenir une fonction logique matérielle, une mémoire ou encore un microprocesseur. Les cartes à puce né- FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 14 / 19
cessitent des lecteurs de carte spécifiques. Certificat En informatique, le certificat constitue la preuve que la clé publique appartient à la personne ou à l institution annoncée dans une procédure de chiffrement asymétrique. Voir Certificat numérique. Certificat de classe B L Admin-PKI propose plusieurs types de certificats. Le certificat de classe B est délivré uniquement sur un support matériel. Il sert à l identification personnelle et comprend les fonctions de signature, de chiffrement et d authentification. Certificat numérique Jeu de données numériques qui atteste de certaines caractéristiques de personnes ou d objets et dont il est possible de vérifier l authenticité et l intégrité au moyen d une procédure cryptographique. Le certificat numérique contient les données nécessaires à sa vérification. Chiffrement Procédé de cryptographie par lequel un message clair (texte ou autre information telle qu un enregistrement sonore ou visuel) est rendu inintelligible, c est-à-dire transformé en une suite de signes complexe à interpréter (texte codé). Le système de chiffrement utilisé dans notre application repose sur deux paramètres essentiels, à savoir les deux clés (publique et privée) qui sont comprises dans un certificat. Classe B Voir Certificat de classe B. Clé privée Dans la procédure de cryptographie asymétrique, un seul utilisateur détient la clé privée, ce qui permet de lui attribuer une signature de façon univoque. Il est donc essentiel que la clé privée ne puisse pas être déduite de la clé publique, qu elle soit bien protégée et conservée en sécurité. Clé publique La clé publique doit être diffusée au plus grand nombre possible d utilisateurs, par exemple via le serveur de clés ou dans Active Directory. Elle permet de réaliser des opérations publiques, notamment de chiffrer des messages ou de vérifier des signatures numériques. Il est important à cet égard qu une clé publique puisse être associée sans équivoque à un utilisateur. Clé USB Clé de sécurité qui se connecte au port USB de l ordinateur et qui remplit une fonction analogue à celle de la carte à puce (sans la fonctionnalité RFID). Code de déblocage Code permettant de déverrouiller le support. Voir PUK. Combien de certificats sont stockés sur un support? Combien de services sont accessibles avec un certificat? Contrôle Active-X Trois certificats de classe B sont enregistrés sur une carte à puce ou une clé USB. Chaque certificat est destiné à une opération spécifique : - Signature Le certificat correspondant est utilisé pour la signature électronique des documents et des courriels. - Authentification Le certificat sert à identifier son détenteur dans une application ou un service (p. ex. identification dans une application au moyen de la carte ou de la clé USB). - Chiffrement Le certificat permet de chiffrer et de déchiffrer des documents ou des courriels. La plupart des applications utilisent automatiquement le certificat adéquat. Une seule émission de certificat suffit pour pouvoir utiliser plusieurs services. Les droits d accès définis dans le certificat permettent l utilisation de différents services et applications. Modèle de composants logiciels Microsoft pour contenus actifs. FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 15 / 19
CP / CSP Cryptage Défectuosité d un support Directives fédérales de l Admin-PKI Emission d un certificat Emission de certificats pour plus de 20 personnes dans un délai d une semaine Entité locale d enregistrement Fonctions étendues de la carte à puce (RFID) Intégrité des données Jeton Ce sont des composants logiciels intégrables dans d autres applications, macro-programmations et programmes de développement. Abréviations de Certificate Policy (politique de certification) et Certification Practice Statement (énoncé des pratiques de certification). Ces documents de l Autorité de certification de l AdminPKI classe B (Swiss Government Enhanced CA 01) énoncent les pratiques de certification et définissent la qualité des certificats délivrés. Codage des données dans un système numérique. Voir Chiffrement. Si un support est défectueux, il est annulé (révoqué) à la demande d une personne autorisée. Pour obtenir un nouveau support, il faut se rendre personnellement à l entité locale d enregistrement (LRA) pour identification. L émission de certificats prend une quinzaine de jours à compter de la demande. Les certificats qui sont utilisés ont été émis par l Admin-PKI de la Confédération. En conséquence, les personnes qui délivrent ou détiennent ces certificats dans le canton de Berne sont également tenues d appliquer les règles et les directives de cette autorité de certification. Le document «AdminPKI-Class B Enoncé des pratiques de certification de l autorité de certification Admin-CA3» prévoit, par exemple, que le requérant de certificat doit se rendre en personne à la LRA pour y être identifié au moyen de documents officiels tels que le passeport ou la carte d identité en cours de validité (la date d expiration est déterminante). La LRA n accepte aucun autre document d identité. L émission d un certificat se fait à la demande d une personne autorisée. Pour obtenir un support de certificats, il faut se rendre personnellement à l entité locale d enregistrement (LRA) pour identification avec un passeport ou une carte d identité en cours de validité (le permis de conduire ou le livret pour étranger ne sont pas acceptés). L émission du certificat prend une quinzaine de jours à compter de la demande. Le projet d émission de certificats débute à la demande de personnes autorisées. Abréviation LRA, de l anglais Local Registration Authority. Organisation auprès de laquelle des personnes, des machines ou des autorités de certification subordonnées peuvent déposer une demande de certificat. Elle vérifie l exactitude des données et approuve la demande de certificat, qui est ensuite signé par l autorité de certification (CA). Si la vérification est manuelle, elle relève de l officier LRA. La carte à puce est dotée de la technologie RFID (Legic), ce qui permet, selon l unité administrative et le site, de l utiliser aussi - comme badge d accès aux bâtiments, - comme carte de paiement dans les distributeurs de boissons automatiques ou à la cantine, - pour des solutions d impression sécurisée. La clé USB ne prend pas en charge ces fonctionnalités étendues. Assurance que les données n ont pas été altérées et que les systèmes fonctionnent correctement. L intégrité constitue, avec la disponibilité et la confidentialité, l un des trois objectifs traditionnels de la sécurité de l information. Voir Support de certificats. FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 16 / 19
Key Recovery Key Renewal LRA Où sont enregistrées les clés privées? Perte d un support PIN PKI PUK Qu est-ce qu un certificat Admin-PKI? Quand faut-il établir un nouveau certificat? Procédure permettant de récupérer une clé de chiffrement ancienne ou ayant expirée pour pouvoir lire des informations chiffrées à l aide de celle-ci (p. ex. courriels). Seule la clé de chiffrement peut être restaurée ; il n existe aucune copie sauvegardée des autres clés privées. Procédure permettant le renouvellement des certificats de classe B de l Admin-PKI avant expiration de leur période de validité de 3 ans. Abréviation de l anglais Local Registration Authority. Voir Entité locale d enregistrement. Les clés privées des certificats de signature et d authentification sont générées directement sur le support de certificats. Elles sont enregistrées uniquement sur ce support et il n est donc pas possible de les restaurer en cas de perte. La clé privée du certificat de chiffrement est créée par l autorité de certification (qui délivre les certificats numériques), qui en conserve une copie en lieu sûr et en inscrit une copie sur le support de certificats. En cas de perte de cette clé privée, il est possible de la restaurer (au moyen de la procédure Key Recovery). En cas de perte d un support de certificats, il est annulé (révoqué) à la demande d une personne autorisée. Pour obtenir un nouveau support, il faut se rendre personnellement à l entité locale d enregistrement (LRA) pour identification. L émission de certificats prend une quinzaine de jours à compter de la demande. Abréviation de l anglais Personal identification number. Numéro d identification personnel ou code secret connu d une seule personne ou d un nombre restreint de personnes, qui permet de s authentifier sur une machine ou, dans le contexte qui nous intéresse, sur un support de certificats (carte à puce ou clé USB). Abréviation de l anglais Public key infrastructure. L infrastructure à clés publiques désigne, en cryptologie, un système qui délivre, distribue et vérifie des certificats numériques. Ces certificats servent à protéger les communications électroniques et permettent l authentification numérique des utilisateurs. Abréviation de l anglais PIN unlock key. Clé de déblocage de code PIN permettant de débloquer un support que la perte du code PIN a rendu inutilisable. Un certificat numérique est un jeu de données numériques qui atteste de certaines caractéristiques de personnes ou d objets et dont il est possible de vérifier l authenticité et l intégrité au moyen d une procédure cryptographique. Il contient en particulier les données nécessaires à sa vérification. Le certificat numérique peut aussi être utilisé pour chiffrer des documents ou des informations. Un nouveau certificat est nécessaire - en règle générale lors d un changement d unité administrative ; - en cas de changement de RACF UserID ; - lors d un changement de nom ou de prénom; - en cas de modification de l adresse électronique ; - lorsque le précédent certificat n a pas été sans renouvelé avant expiration ; - lorsque le renouvellement du certificat a échoué ; - en cas de perte ou de défectuosité de la carte à puce ou de la clé USB. FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 17 / 19
Que signifient PKI et Admin-PKI? Récupération d un certificat Règles pour le code PIN Renouvellement d un certificat RFID Signature numérique Smart card Support de certificats La procédure de renouvellement est analogue à celle de l émission initiale de la carte. L émission du certificat prend une quinzaine de jours à compter de la réception de la demande à l OIO. Abréviation de l anglais Public key infrastructure. L infrastructure à clés publiques désigne, en cryptologie, un système qui délivre, distribue et vérifie des certificats numériques. Ces certificats servent à protéger les communications électroniques. L Admin-PKI est l infrastructure PKI de la Confédération. Si la lecture d informations chiffrées n est plus possible après l émission d un nouveau certificat, l application Web Key Recovery permet de récupérer l ancien certificat de chiffrement utilisé et de le télécharger sur la carte ou la clé USB. Voir aussi Key Recovery. Les titulaires de certificats utilisent des codes PIN pour activer leur carte à puce et leur clé privée. Le code PIN se distingue normalement du mot de passe qui est utilisé pour s identifier dans les applications. Chaque titulaire de certificat définit son propre code PIN. Recommandations concernant le code PIN de la carte à puce : - Longueur : le code PIN doit comporter au moins 6 caractères. - Nombre d essais : la carte se bloque automatiquement après 5 essais erronés. - Complexité : vous êtes libre de composer votre PIN à votre guise, en respectant toutefois l interdiction d utiliser des codes trop simples à deviner (p. ex. 123456). - Validité : le code PIN doit impérativement être modifié dès lors qu il existe un simple soupçon qu une autre personne en ait connaissance. Il faut définir un nouveau PIN à l expiration du certificat. - Unicité : le code PIN doit être utilisé pour une seule carte. Il est interdit de s en servir à d autres fins (p. ex. carte bancaire). Les caractères spéciaux sont à proscrire du fait que la disposition des touches sur le clavier diffère selon la langue. La demande de renouvellement se fait par courriel 3 mois avant expiration du certificat. L utilisateur peut se charger lui-même du renouvellement sur internet. En cas de problème : demande par une personne autorisée. Pour obtenir un nouveau support de certificats, il faut se rendre personnellement à l entité locale d enregistrement (LRA) pour identification. Abréviation de l anglais Radio frequency identification. L identification par radiofréquence est une technique permettant d identifier et de localiser automatiquement des objets et des êtres vivants. La puce RFID dont est dotée la carte permet d utiliser celleci comme clé électronique pour ouvrir des portes ou comme carte de paiement dans les distributeurs automatiques de boissons ou dans les cantines. Elle est disponible en option. Signature électronique permettant de prouver son identité dans le traitement des données. Voir Carte à puce. Carte à puce ou clé USB sur laquelle sont stockés les certificats. Aussi appelée jeton. FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 18 / 19
Coordonnées des centres de services ou d assistance des DIR/CHA : Organisation Adresse électronique Téléphone Télécopie CHA helpdesk@sta.be.ch 031 633 71 00 031 633 75 05 ECO helpdesk@vol.be.ch 031 633 55 66 031 633 55 75 SAP-AC helpdesk@gef.be.ch 031 633 79 97 031 633 79 90 JCE et justice servicedesk@fin.be.ch 031 633 44 44 031 633 44 99 POM-SG ict-pom@pom.be.ch 031 633 45 40 POM-OPM helpdesk.mip@pom.be.ch 031 633 48 00 POM-OCRN helpdesk.svsa@pom.be.ch 031 634 22 88 POM-OPLE helpdesk.fb@pom.be.ch 031 635 60 00 POM-OSSM helpdesk.bsm@pom.be.che 031 634 90 90 POM-ITK helpdesk@pom.be.ch 031 633 45 40 031 633 54 60 Police servicedesk@police.be.ch 031 634 41 25 031 634 41 26 FIN servicedesk@fin.be.ch 031 633 44 44 031 633 44 99 INS servicedesk@erz.be.ch 031 633 86 10 031 633 83 55 TTE helpdesk@bve.be.ch 031 633 31 99 031 633 32 40 FIN_KAIO-#152423-v1-Admin-PKI_Flyer_Benutzeranleitung_Franz.DOCX page 19 / 19