Anleitung Disable Smartcard Login

Département fédéral des finances DFF
Office fédéral de l’informatique et de la télécommunication OFIT
Bureautique et support
Service Development
Instructions pour les utilisateurs du certificat de cryptage
Date:
14.06.2014
Pour:
Utilisateurs de l’administration fédérale
Copies à:
ISBD; ISBO; IM
Situation initiale:
Le 4 mai, l’infrastructure PKI centrale a connu une défaillance matérielle grave, à la suite de laquelle
deux bases de données ne pouvaient plus être ouvertes. La première contient les recovery keys (certificat de cryptage de la classe B), la seconde les clés PUK de la Smartcard ATOS.
Groupes d’utilisateurs concernés:
Veuillez trouver ci-après la description des mesures à prendre sur les plans préventif et réactif.
Trois scénarios ont résulté de la panne. Ils ne concernent pas tous les utilisateurs de la même manière et sont spécifiques à chaque département et, partiellement, à chaque office (voir paragraphe
«Utilisateurs concernés»).
Situation 1:
Votre carte à puce est défectueuse ou n’est plus lisible. Votre certificat actuel de cryptage n’est ainsi
plus accessible et votre carte à puce doit être remplacée. Suite à ce remplacement, vous recevrez
trois nouveaux certificats de la classe B: Authentication (authentification); Signing (signature); Encryption (cryptage).
Vous ne pouvez plus ouvrir les courriels cryptés de la classe B que vous avez éventuellement reçu.
Situation 2:
Vous ne connaissez plus le code PIN de votre carte à puce ou avez bloqué celle-ci en entrant plusieurs
fois un code erroné.
Votre officier LRA ou le Service Desk de l’OFIT ne sont pas en mesure de débloquer votre carte à
puce. Le PUK (PIN unlock key) nécessaire à cet effet n’est pas accessible. Votre carte à puce doit être
remplacée. Les conséquences sont alors les mêmes que celles qui sont décrites sous Situation 1.
Situation 3:
Vous utilisez le Product SecureCenter (200 utilisateurs des clients de l’OFIT) et la situation 1 s’est concrétisée.
Vos objets cryptés et tous les éléments autorisés pour vous ne peuvent plus être ouverts avec la nouvelle clé de cryptage.
C:\Users\U80830637\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook\909X595Q\Instructions pour les utilisateurs du
certificat de cryptage.docx
Informations pour les utilisateurs:
Les mesures ci-après ne peuvent être exécutées qu’une seule fois. Veuillez regarder quelle situation
vous concerne précisément et suivre les instructions respectives. En cas d’irrégularités, veuillez contacter le Service Desk.
Mesures préventives:

De manière générale: Prenez soin de votre Smartcard. Gardez le code PIN de la Smartcard dans
un endroit sûr.

Votre carte à puce est encore pleinement utilisable et, selon la section «Utilisateurs concernés»,
vous faites partie des utilisateurs qui cryptent leurs courriels avec des certificats de la classe B.
Démarche:
1. Sur le site web (en allemand), générez un nouveau certificat de cryptage sur votre carte actuelle.
2. Si vous avez des courriels cryptés dans des dossiers PST ou dans vos dossiers personnels se
trouvant sur le lecteur J, déplacez-les dans la boîte de messagerie normale.
3. Traitez vos courriels se trouvant dans la boîte de messagerie et dans les archives en ligne
avec l’outil de «recryptage des e-mails» selon les instructions.

Votre carte à puce est encore pleinement utilisable et, selon la section «Utilisateurs concernés»,
vous ne faites pas partie des utilisateurs qui cryptent leurs courriels avec des certificats de la
classe B.
Démarche:
1. Sur le site web (en allemand), générez un nouveau certificat de cryptage sur votre carte actuelle.

Votre carte à puce est encore pleinement utilisable et, selon la section «Utilisateurs concernés»,
vous faites partie des utilisateurs qui travaillent avec SecureCenter.
Démarche:
1. A l’aide de la fonction de recherche, constatez où vous avez archivé les fichiers cryptés avec
SecureCenter. Pour cela, entrez «.x509» dans le champ de recherche de la fenêtre de démarrage.
2. Ouvrez un fichier directement depuis la liste des résultats. Ce fichier s’ouvrira avec l’extension
de l’application correspondante. Refermez-le immédiatement, ce qui déclenchera le processus
de nouveau cryptage avec SecureCenter.
Remarque: vous constaterez que votre «ancien» certificat apparaît éventuellement dans la
liste des clés sans qu’il ait été choisi. Cela n’est pas un problème: votre «nouveau» certificat
sera automatiquement utilisé pour le recryptage. Comme il est aussi utilisé d’une manière
générale pour le cryptage, votre certificat actuel n’est pas mentionné explicitement dans la
liste des clés.
3. Si vous cliquez sur «Suivant» dans la boîte de dialogue d’enregistrement qui s’ouvre ensuite,
le fichier sera archivé à l’endroit d’enregistrement initial.
Répétez la procédure pour tous les fichiers SecureCenter.
Grâce à ces mesures, un nouveau défaut ou la perte de votre Smartcard et le blocage de votre code
PIN n’auront plus de conséquences pour vous – outre l’établissement d’une nouvelle carte.
Mesures réactives

Vous avez une carte à puce défectueuse ou bloquée, ou vous avez perdu votre carte. Vous avez
besoin d’une nouvelle carte.
Démarche:
1. Demandez au Service Desk la désactivation du 2FA-Enforcement. Vous pourrez ainsi vous
connecter sur votre PC avec votre nom d’utilisateur (Uxxxxxxx) et votre mot de passe Windows.
a. Si vous ne connaissez plus votre nom d’utilisateur et/ou votre mot de passe, veuillez
vous adresser au Service Desk. Si vous avez déjà enregistré la «question magique»,
vous pourrez régler rapidement le problème, sans complication, avec le Service Desk.
Si vous n’avez pas encore enregistré cette question, ce processus prendra un peu plus
de temps.
2. Demandez une nouvelle carte à puce à votre officier LRA.
3. Sur la base des indications de la section «Utilisateurs concernés», vérifiez si vous avez crypté
vos courriels dans le passé avec le certificat de la classe B.
a. Si vous avez crypté d’anciens courriels avec des certificats B, vous ne pourrez plus les
ouvrir. Vous devez alors les redemander à l’expéditeur ou à un autre destinataire.
b. Si vous avez crypté, selon les indications de la section «Utilisateurs concernés», vos
courriels sans certificat B, vous pourrez encore les ouvrir.
4. Demandez au service compétent de muter vos autorisations d’accès sur la nouvelle carte à
puce.
5. Faites réactiver par le Service Desk le 2FA-Enforcement pour votre appareil (est effectué
automatiquement après 72 heures).
6. Rechargez votre nouvelle carte à puce pour l’utiliser à la cafétéria ou à la cantine.
7. Utilisez jusqu’au bout le crédit de votre ancienne carte à puce (le cas échéant) pour la cafétéria ou la cantine.
8. Faites éliminer votre ancienne carte à puce (le cas échéant) auprès du service compétent de
votre office.

Votre carte à puce est défectueuse ou bloquée, ou vous l’avez perdue et vous utilisez SecureCenter. Vous avez besoin d’une nouvelle carte.
Démarche:
1. Vous ne pouvez plus ouvrir les objets dont vous êtes le propriétaire (owner) si vous n’avez
pas appliqué de mesures préventives (voir ci-dessus). Redemandez l’objet concerné à d’autres
personnes autorisées.
2. Vous pouvez redemander tous les objets reçus à leur propriétaire ou à leur expéditeur.
Utilisateurs concernés:
Le cercle des utilisateurs concernés par les situations 2 et 3 peut être défini de manière claire.
Pour la situation 1, on peut documenter comment le standard spécifique à l’office est configuré. Il
existe toutefois des exceptions se basant sur une configuration individuelle, réalisée par l’utilisateur
lui-même. C’est pourquoi une liste des utilisateurs et du nombre de courriels cryptés avec la classe B
dans la boîte mail ainsi que dans Online Archive est établie pour chaque office, afin que l’on puisse informer directement les utilisateurs. Nous prévoyons de vous la mettre à disposition jusqu’au 4 juillet.
D’une manière générale, le code PIN de la carte à puce est demandé lorsqu’on ouvre un courriel s’il
s’agit un objet crypté avec la classe B et si la carte à puce ATOS est utilisée. Si tel n’est pas le cas, il
s’agit d’un courriel crypté avec la classe C, qui n’est donc pas concerné.
La liste des utilisateurs figure dans un fichier Excel séparé «Liste Betroffene_Utilisateurs concernés
KeyRecovery PUK PKI».
Conditions préalables et solution intermédiaire:
Les étapes de solution décrites ci-dessus se fondent en partie sur des outils nouvellement développés
qui ne sont pas encore validés.
Renouvellement de la clé de cryptage de la classe B (planifiée pour le 25 juin 2014)
Plugin Outlook de recryptage des courriels (planifié pour le 7 juillet 2014)
Reporting scannage pour la liste détaillée des utilisateurs concernés avec courriels de la classe B (planifié pour le 4 juillet 2014)
Solution intermédiaire à appliquer jusqu’à ce que ces utilitaires soient validés:
Situation 1:



Consultez la liste des utilisateurs concernés
Faites ce qu’il faut en ce qui concerne votre carte à puce
Si vous êtes concerné, transférez à votre adresse sans les crypter les e-mails importants qui
devraient être cryptés. Désactivez pour cela le cryptage de l’e-mail avant l’envoi. Au niveau de
la sécurité, cela est acceptable car l’e-mail concerné ne quitte pas les serveurs internes.
Comme autre solution, vous pouvez enregistrer en format .txt, sans les crypter, dans la zone
Userhome, les e-mails importants à crypter.
Situation 2:


Enregistrez votre code PIN à un endroit sûr (p. ex. Keypass)
Si le système vous annonce que vous avez entré un PIN erroné, ne faites pas plus de trois
saisies erronées. Ensuite, servez-vous du code PIN enregistré et saisissez-le (en tenant
compte des majuscules et des minuscules et de votre type de clavier).
Situation 3:

Aucune mesure préventive n’est possible.
Remarque finale:
Nous regrettons les désagréments occasionnés par cet incident. Les mesures nécessaires en conséquence sont déjà appliquées dans l’infrastructure PKI. Toutefois, cet incident a aussi montré que la
gestion et l’utilisation des certificats présentaient des lacunes au niveau des directives et dans
l’archivage d’objets cryptés. L’UPIC en a pris acte et va s’en occuper.