Discussion :

[cedricgirard]

Bonjour,

je dois étudier et surtout établir une cotation sur l'usage de la carte vitale dans une application web, dans le but de récupérer les données d'identité du porteur de la carte (pas de FSE).
J'ai déjà intégré la CPS (certificat HTTP client X509, lecteur de carte et navigateur), mais l'organisme en charge (le CNDA) ne semble rien proposer pour le web. Leur réponse est "API en C, à vous de coder autour", contrairement à la CPS qui s'intègre dans les navigateurs en tant que périph de sécurité.

Quelqu'un a t'il déjà fait cela? On me parle d'une applet Java (mais qui devrait appeler une lib compilée, donc des droits étendus), et j'ai vu une solution prometteuse qui installe un plugin dans le navigateur pour ajouter des fonctions JS. Un avis sur cet empilement de couches?

Cordialement
Cédric

[ShaiLeTroll]

Salut CGD !

J'avais codé un décodeur du fichier contenu dans la Carte Sesam Vitale 1, en 1999, c'est une structure simple composé de bloc (3 niveau proche du HPrim mais en binaire), pour en extraire les basiques nom, prénom, nss, regime, ... mon maitre de stage m'avait filé cela comme 1er taf pour m'exercer dans la lecture de fichier et la structuration du code, j'avais même expliqué cela dans mon rapport de stage

J'étais étudiant à l'époque, c'est mon maître de stage qui jouait avec un simple lecteur de Carte à Puce sur Port COM et via un petit programme DOS à l'époque cela permettait d'extraire le petit fichier qui était dans la carte.

Cela reste en utilisation locale car nécessite une interaction hardware !
Cet aspect ne pourra jamais être contourné !
Demandez un allégement de sécurité à un client semble difficile !
Il serait prudent de fournir ActiveX ou Plugin signé par un Certificat déjà pour faciliter les déploiements !
Pour l'aspect Applet Java, idem, cela peut être désactiver dans les stratégies réseaux ! Encore une fois, un certificat sera indispensable !

"plugin dans le navigateur" tous les Navigateurs ?
ActiveX pour IE, plugin pour FF et Chrome ?

L'applet Java doit utiliser JNI sur l'API C, faudrait contacter l'auteur de cet applet pour connaitre les restrictions de déploiements

Quels sont tes sources ?
Tu parles de nombreuses inspirations, communique les, cela évitera que l'on te fournisse les mêmes !

@JohnFullSpeed, si tu lit cela ! Tu dois pouvoir amener ton savoir !

[cedricgirard]

Salut SPT

Effectivement la lib Sesam Vitale doit être installée sur le poste, le problème est plus sur la couche nécessaire pour remonter les informations jusqu'au site web.
Je ne sais pas comment on peut autoriser une applet java à appeler une librairie compilée : impossible je pense d'appeler directement la DLL, mais on doit pouvoir exécuter un exe. Par contre je ne sais pas comment on code et signe une applet pour cela. Ok pour JNI, on va fouiller.

ActiveX pour IE, plug-in pour Firefox, et encore un troisième pour Chrome (et ainsi de suite si on veut supporter un autre navigateur, avec sans doute des variations si on passe en support multi-os), donc on est pas sorti.

Mes sources pour l'applet viennent de l'ASIP (la CPS), mais comme c'est pas leur mission ils m'ont juste brossé le tableau.

Cédric

[ShaiLeTroll]

Salut SPT
Effectivement la lib Sesam Vitale doit être installée sur le poste, le problème est plus sur la couche nécessaire pour remonter les informations jusqu'au site web.

La plupart des logiciels de FSE installe effectivement une couche logiciel en procèdant dans le sens inverse !
C'est dans le logiciel, tu as un bouton pour lancer la télétransmission, au préalable, cela lit la carte, récupérer le NSS et les infos publiques nécessaires, les envoi via un HTTPS POST + CERT X590 de la CPS, certains juste un WS d'autres se connectent sur un site Web (affiché directement dans un TWebBrowser donc IE)

C'était entre 1999 et 2004, depuis le Web a bien percé, mais l'ActiveX ou l'applet JAVA semble les seuls moyens pour avoir accès au "hardware" via l'API Sesam

Ayant bossé sur des logiciels de Cardiologie mais surtout sur la CCAM\CIM10 dont la CPAM avait la bonne idée de changer la gestion de facturation presque tous les 2 ans ! J'ai quelque souvenir, par contre, je n'ai jamais eu la chance de m'occuper des modules de télétransmission, je n'ai souvent fait que les modules de saisies ! Je ne pourrais pas bcp t'aider plus que mes vieilles et obsolètes connaissances théoriques à ce sujet !

Je ne sais pas comment on peut autoriser une applet java à appeler une librairie compilée : impossible je pense d'appeler directement la DLL, mais on doit pouvoir exécuter un exe.

Si l'on regardes de outils comme Flash ou Silverlight, ce n'est un seul exe, tu dois avoir des possibilités à ce sujet mais je pense uniquement avec un ActiveX signé !
Lorsque je déployais des ActiveX utilisé par IE, j'en ai débuggé un qui créait la base de données, deux jours à trouver qu'à la 30000eme lignes du XML de structure SQL, il manquait une ( !
L'ActiveX utilisait ADO, donc des DLL locales existantes sur le poste (ODBC en l'occurrence !)
Idem le XML, c'était un MS XML, donc un ActiveX, une DLL ...
En fait, je sais que l'on modifiait des droits de Windows 2000 dans IE, autorisé deux trois trucs, mais rien de méchant !
Mais avant tout ça, fallait installer le client Oracle, le déploiement des postes pouvant lancer des ActiveX occupait une personne à plein temps, c'est qu'il y avait du boulot !

Par contre je ne sais pas comment on code et signe une applet pour cela.

Comme pour Thawte qui va te fournir un certificat pour ton serveur SSL, il faut contacter un organisme comme VeriSign, CAcert, GuardTrust, Infrase qui se feront une joie de te vendre un abonnement !
En 2005, avant EPI, c'était Thawte qui fournissait les certificats de la vingtaine d'ActiveX que l'on déployait (je le sais, on arrivait à expiration de certains et je galérais avec signcode.exe et la chier de fichier X509, P12, Cert, PFX... qui n'étaiebt plus bon et que le précédent développeur avait collectionné depuis 1997)

ActiveX pour IE, plug-in pour Firefox, et encore un troisième pour Chrome (et ainsi de suite si on veut supporter un autre navigateur, avec sans doute des variations si on passe en support multi-os), donc on est pas sorti.
Cédric

Bon courage !
Aaah ! Loin l'époque où IE6 était le seul navigateur connu par les DSI !

Mes sources pour l'applet viennent de l'ASIP (la CPS), mais comme c'est pas leur mission ils m'ont juste brossé le tableau.

Ah, source "théorique", tu n'as pas trouvé une applet prêt à l'emploi, tu m'étonnes, l'investissement dans les logiciels de FSE étant important pour la télétransmission, ils ne vont pas filer leurs solutions ! l'Open-Source ce n'est pour tout de suite !

[bjb]

Bonjour,

je dois étudier et surtout établir une cotation sur l'usage de la carte vitale dans une application web, dans le but de récupérer les données d'identité du porteur de la carte (pas de FSE).
J'ai déjà intégré la CPS (certificat HTTP client X509, lecteur de carte et navigateur), mais l'organisme en charge (le CNDA) ne semble rien proposer pour le web. Leur réponse est "API en C, à vous de coder autour", contrairement à la CPS qui s'intègre dans les navigateurs en tant que périph de sécurité.

Quelqu'un a t'il déjà fait cela? On me parle d'une applet Java (mais qui devrait appeler une lib compilée, donc des droits étendus), et j'ai vu une solution prometteuse qui installe un plugin dans le navigateur pour ajouter des fonctions JS. Un avis sur cet empilement de couches?

Cordialement
Cédric

Bonjour,

L'applet est clairement la solution la plus simple car on a directement accès à l'API smartcardio. De plus la solution marchera sur la majorité des ordinateurs (Windows, MacOS, Linux inclus) ce qui est l'immense majorité des postes.

Au passage, c'est la solution utilisée par "mon eGuichet" de la RATP pour recharger les navigo ;-)

Il ne te restera qu'a envoyer les commandes et récupérer les données dont tu as besoin... pour débuter, va sur :
http://cedric.cnam.fr/~bouzefra/cour.../ED1_Carte.pdf

Ainsi, le tout est donc faisable en Java sans C/JNI/JNA, etc ... faut juste trouver les commandes et parametres ISO à passer

Derniers conseil :
- Mets au point ton composant en dehors d'une applet dans une simple application (deboggage plus simple et rapide)
- Une fois finalisé, emballe le composant créé dans une applet (tu peux prévoir une version JNLP dockable en widget qui peut être sympa )

Voili

A+
JB

[cedricgirard]

Merci, avec ça j'ai tous les moyens d'attaquer, reste à monter le projet pour mes chefs et à trouver le temps de le faire. Je vous tiens au courant.

[christophe.moine]

Bonjour, du nouveau pour ce thread ?

dans mon cas l'applet java est inapplicable, car l'accès à la carte vitale se fait partout pout l'authentification (certes y a tjrs moyen, mais c'est dégueu les applets de toutes facons).

ce qui me parait relativement (j'insiste sur le 'relativement') le plus simple, c'est de faire un serveur rest/web voir websocket, ou SSE (server sent events) en fonction du besoin afin que le site web ai accès à l'API sesam vitale. cela évite de faire un plugin ie, firefox, chrome.... d'autant plus qu'il faut de ttes facon donner accès au natif. Vrt dommage qu'ils ne proposent pas deja ca !

des idées/avis ?

[Paul TOTH]

je pense que c'est possible mais non documenté

SrvSVCNAM est accessible par cette URL

https://127.0.0.1:1943/testcomposant

c'est comme cela que le serveur web DMP interroge la carte vitale par exemple

https://127.0.0.1:1943/vitale?ALEA=D...RVEUR=https://....

mais je n'ai pas compris le format des données retournées au "SERVEUR"

[christophe.moine]

Ok merci. Et SrvSVCNAM c'est livré avec le SDK de la Sesam Vitale ? (je ne l'ai pas encore )

[Paul TOTH]

Ok merci. Et SrvSVCNAM c'est livré avec le SDK de la Sesam Vitale ? (je ne l'ai pas encore )

c'est dans l'installation de ATSAM (entre autre)

http://www.sesam-vitale.fr/p-documen...atFirefox.html