Gestion des certificats de carte d'identité électronique

Suppression des certificats et configuration de Windows pour que le système ne les conserve plus.

Table des matières

D’après https://eid.belgium.be/fr/faq/comment-empecher-que-des-certificats-de-differentes-cartes-apparaissent#7252

 

Si votre ordinateur sous Windows a servi à identifier plusieurs personnes au moyen de leur carte d’identité électronique, vous avez pu remarquer que les certificats des chacune des cartes précédemment utilisées sur cette machine avaient été conservés. Ceci pose un évident problème de confidentialité en ce que sont conservés les noms, prénoms et numéro de registre national des personnes.

On peut supprimer les certificats périodiquement via l’outil des gestion de certificats de Windows ou via les paramètres des navigateurs web (Firefox ou Chrome) mais le BOSA (en charge le la carte d’identité électronique) publie enfin un guide pour empêcher la copie systématique des certificats de chaque carte utilisée. C’est l’objet du présent document.

 

Dans un premier temps nous verrons comment afficher les certificats et les gérer et ensuite comment faire en sorte que l’ordinateur ne les conserve plus.

1. Voir et supprimer les certificats

Il y a plusieurs méthodes pour consulter les certificats enregistrés sur l’ordinateur et les supprimer.

1.1. Avertissements

Le BOSA recommande de conserver les certificats liés à l’utilisateur habituel de l’ordinateur, en effet votre organisation (employeur) peut avoir besoin de vos propres certificats à des fins d’authentification. Aussi si vous deviez en supprimer, assurez-vous de ne supprimer que les certificats délivrés par « Citizen CA » ou « Foreigner CA » (ceux des documents d’identité électroniques belges) et seulement ceux qui ne portent pas votre nom ou celui d’un utilisateur régulier de cet ordinateur.

Il faut avoir les droits d’administration sur la machine pour désactiver l’intégration des certificats, si ça n’est pas votre cas, demandez à au responsable informatique de votre organisation.

1.2. Sous Windows

Il faut lancer le gestionnaire de certificats de Windows.

Pour ce faire :

  1. Lancer l’invite de commandes :

a. Ouvrir le menu démarrer :
touche Windows ou clic sur le logo Windows de la barre des tâches

b. Taper « cmd » puis valider

2. Saisir « certmgr » dans l’invite de commandes et valider (« certmgr » comme certificate manager, gestionnaire de certificats)

3. Ouvrir le dossier « Personnel » puis ouvrir « Certificats »

La liste des certificats enregistrés s’affiche, si on en supprime, il faut veiller à conserver ceux de l’utilisateur de la machine comme dit en introduction (voir 1.1.)

a. Les certificats fonctionnent par paire : chaque personne a deux certificats qui sont enregistrés, l’un pour s’authentifier, l’autre pour signer.

b. Pour supprimer un certificat, le sélectionner puis cliquer droit et choisir « Supprimer » ou cliquer sur le bouton de suppression dans la barre d’outils (croix rouge)

1.3. Dans le navigateur Firefox

Les certificats sont accessibles via les paramètres :
  1. Dans la barre d’outils ouvrir le menu (1)
  2. Choisir Paramètres
  3. Dans la barre de recherche saisir « certificats » (2)
  4. Cliquer sur « Afficher les certificats » (3)
(Le chemin est : Paramètres > Vie privée et sécurité > Afficher les certificats)

1.4. Dans le navigateur Chrome

Les certificats sont accessibles via les paramètres :
  1. Dans la barre d’outils ouvrir le menu (1)
  2. Choisir Paramètres
  3. Dans la barre de recherche saisir « certificats » (2)
  4. Cliquer sur « Sécurité » (3)
  5. Choisir « Gérer les certificats ».
(Le chemin est : Paramètres > Confidentialité et sécurité > Sécurité > Gérer les certificats)

2. Empêcher Windows de conserver les certificats

Ou comment désactiver le service Propagation du certificat.

1. Ouvrir « services.msc »
Ouvrir l’invite de commande et saisir « services.msc » voir (1.2.)

2. Rechercher le service « Propagation du certificat » et double-cliquer pour l’ouvrir.

a. Changer « type de démarrage » vers « Désactivé »

b. Cliquer sur « Arrêter »

Bravo ! Votre système Windows ne retiendra plus les certificats des personnes qui auront utilisé cet ordinateur pour se connecter aux guichets électroniques de l’administration.

 

Attention ! Si vous appliquez des mises à jours du système Windows, il est possible que celui-ci redémarre le service automatiquement. Si vous remarquez que votre poste de travail retient à nouveau les certificats, il faut répéter les étapes de suppression (point 1) et de désactivation du service de propagation des certificats (point 2).

 

Pour revenir en arrière, il suffit de remettre le « Type de démarrage » sur « Automatique » et de démarrer le service (bouton « Démarrer », sinon il se réactivera au prochain démarrage de Windows).