Utiliser des cartes à puce sous Chrome OS

Cet article décrit la procédure à suivre pour commencer à utiliser votre carte à puce sur votre appareil personnel, sous Chrome OS. Si vous êtes administrateur et que vous souhaitez déployer des cartes à puce dans votre entreprise, consultez la section Déployer des cartes à puce sous Chrome OS.

Étape 1 : Installez l'application Smart Card Connector

L'application Smart Card Connector permet aux Chromebooks de prendre en charge l'API PCSC. Cette API peut ensuite être utilisée par d'autres applications, telles que des intergiciels de cartes à puce et Citrix, pour fournir des fonctionnalités supplémentaires comme l'intégration du navigateur et la redirection de session virtuelle. Pour installer l'application, accédez à sa page sur le Chrome Web Store et cliquez sur "Installer".

Étape 2 : Installez une application intergicielle pour carte à puce

En plus du connecteur, vous devez installer une application intergicielle appropriée, capable de communiquer avec les cartes à puce et de fournir des certificats clients pour vous authentifier sur les sites Web HTTPS. Google s'est associé à Charismathics afin de prendre en charge une large gamme de cartes et de profils sous Chrome OS, comme PIV et CAC. Pour installer l'application, accédez à sa page sur le Chrome Web Store et cliquez sur "Installer".

 

Remarque : L'application Smart Card Connector propose une API publique que d'autres applications intergicielles peuvent également utiliser. Vous pouvez ainsi installer les intergiciels d'autres fournisseurs, tels que CACKey, directement à partir du Chrome Web Store.

Étape 3 : Installez tous les certificats racines et intermédiaires nécessaires

Suivant les sites auxquels vous tenterez d'accéder, vous devrez peut-être installer des certificats racines et intermédiaires de confiance sur votre Chromebook. Une fois ces certificats identifiés, vous pourrez les installer en accédant à l'URL chrome://certificate-manager, puis en accédant à Autorités > Importer Une fois le fichier sélectionné, Chrome vous demandera de configurer les paramètres de confiance pour une racine donnée. Cochez toutes les cases correspondant aux paramètres à appliquer, puis appuyez sur OK.

 

Remarque : L'installation d'un certificat racine sur un appareil est une opération délicate du point de vue de la confidentialité et de la sécurité. Installez uniquement des certificats racines de confiance que vous avez vérifiés et obtenus auprès de sources fiables.

Remarque : Pour accéder à la plupart des sites Web, les utilisateurs du département de la Défense des États-Unis doivent installer plusieurs certificats racines et intermédiaires de confiance. Ceux-ci sont disponibles en téléchargement officiel depuis le site IASE Tools > Trust Store > PKI CA Certificate Bundles: PKCS#7 > package For DoD PKI Only. Une fois ce package téléchargé sur Chrome OS, accédez à l'application "Fichiers", double-cliquez sur le fichier .zip pour le monter, puis effectuez un glisser-déposer de son contenu dans le dossier des téléchargements. Répétez ensuite les instructions d'importation de l'étape 3 pour les deux fichiers suivants, en cochant toutes les cases lors de la configuration des paramètres de confiance :

Certificates_PKCS7_v5.0u1_DoD_DoDRootCA2_withCAs_FirefoxChromeOS.der.p7b

Certificates_PKCS7_v5.0u1_DoD_DoDRootCA3_withCAs_FirefoxChromeOS.der.p7b

Étape 4 : Autorisez l'intergiciel à communiquer avec Smart Card Connector

Les applications telles que Citrix et Charismathics doivent contacter Smart Card Connector pour communiquer avec vos cartes et vos lecteurs. Comme les cartes et les lecteurs contiennent des informations utilisateur sensibles, l'application affiche une boîte de dialogue d'autorisation avant d'accorder l'accès à une application. Si cette boîte de dialogue mentionne une application tierce en laquelle vous avez confiance, cliquez sur ALLOW (Autoriser) pour continuer.

Vous voici prêt à utiliser votre carte à puce ! Lorsque vous accéderez à des sites Web HTTPS, Chrome vous invitera à utiliser les certificats détectés sur votre carte pour vous authentifier auprès de vos systèmes distants.

Problèmes connus

Chrome ne trouve pas de correspondance avec le certificat indiqué sur la carte

Il s'agit probablement d'un problème de configuration des certificats racines et intermédiaires. Assurez-vous de bien avoir suivi les instructions de configuration. Si le problème persiste, il est préférable d'envoyer un rapport de bug avec des informations détaillées.

Chrome maintient la connexion après le retrait de la carte

Lorsqu'un utilisateur retire sa carte, Chrome ne ferme pas la session sur le serveur concerné. C'est tout à fait normal, il s'agit également du comportement par défaut de Chrome sur d'autres plates-formes. Chrome ne tentera de s'authentifier à nouveau que lorsque le serveur le lui demandera : il s'agit d'un paramètre de sécurité défini par votre administrateur.  Si vous effectuez un test et devez forcer la réauthentification sur le serveur, utilisez une fenêtre de navigation privée. Ainsi, vous n'utiliserez pas la session précédente et ne conserverez pas les données d'authentification pour les requêtes suivantes.

L'interface utilisateur n'affiche pas de message lors de la saisie d'un code PIN incorrect

Lorsqu'un utilisateur saisit un code PIN incorrect, Charismathics n'affiche pas de message directement dans la boîte de dialogue. L'utilisateur doit alors accéder au site pour pouvoir saisir à nouveau son code PIN.

Les certificats fournis ne sont pas filtrés

Tous les certificats sont fournis au système, quel que soit leur type. Par exemple, les certificats de signature d'e-mail apparaissent également dans la liste déroulante. Vous devez savoir quel certificat est nécessaire pour un site Web donné afin d'être en mesure de le choisir dans la liste déroulante. Cela peut vous amener à vous authentifier sur certains sites en utilisant le premier, le deuxième ou le troisième certificat présent sur votre carte, alors que tous sont identiques en apparence. L'ordre restant le même d'une tentative à l'autre, vous n'aurez besoin de procéder ainsi qu'une seule fois.

Signaler des bugs

Nous espérons que tout se déroule normalement. Si vous rencontrez des bugs, veuillez nous les signaler pour que nous puissions résoudre le problème. Tout rapport de bug doit inclure :

  1. La description du problème et les instructions pour le reproduire. Il est préférable de fournir un enregistrement d'écran (plusieurs applications Chrome tierces permettent d'effectuer ces enregistrements d'écran, comme Screencastify).
  2. L'adresse du site Web auquel vous essayez de vous connecter. Veuillez envoyer un rapport de bug distinct pour chaque site Web concerné.

  3. Les informations sur le système, la carte et le lecteur

  4. Les journaux Smart Card Connector

  5. Les journaux des applications intergicielles

  6. Le fichier d'exportation chrome://net-internals

Une fois ce rapport compilé, envoyez-le-nous lorsque vous contactez l'assistance.

Informations sur le système, la carte et le lecteur

  1. Version de Chrome OS

  2. Type de lecteur de carte à puce

  3. Informations sur la carte à puce : fournisseur, type et profil de la carte à puce

Journaux Smart Card Connector

En bas de l'écran de Smart Card Connector se trouve un lien permettant à l'utilisateur d'exporter les journaux. Il permet de copier tous les journaux dans le presse-papiers. Vous pouvez enregistrer ces journaux dans n'importe quelle éditeur de texte, puis nous les envoyer.

Journaux d'applications intergicielles

Chaque application intergicielle a sa propre méthode pour extraire les journaux. Avec l'application Charismathics, les journaux peuvent être extraits depuis la console du développeur.

  1. Accédez à chrome://extensions.

  2. Activez le mode développeur dans le coin supérieur droit.

  3. Faites défiler la page jusqu'à l'extension Charismathics. Cliquez sur la page d'arrière-plan.

  4. Accédez à la section Console.

  5. Effectuez un clic droit, puis cliquez sur Enregistrer sous… pour exporter les journaux.

Remarque : Votre administrateur peut avoir désactivé les outils de développement de Chrome via une règle, auquel cas vous ne pourrez pas accéder à la page d'arrière-plan.

Fichier d'exportation chrome://net-internals

Certains problèmes peuvent être liés à la manière dont Chrome gère les connexions client. Vous pouvez extraire les journaux Chrome via chrome://net-internals/#export. Remarque : les journaux ne se remplissant qu'à partir du moment où vous accédez à l'URL, vous devez commencer votre navigation avant d'exécuter le scénario qui pose problème.

Remarque : Comme les journaux peuvent être très détaillés, essayez de limiter la capture des données au scénario qui pose problème. Cela nous aidera à nous concentrer sur ce qui ne va pas sans être gênés par des données inutiles, par exemple une recherche Google effectuée pendant la capture des journaux.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?