Se passer de mot de passe avec sa carte d’identité électronique belge avec macOS Sierra

Comme à chaque mise à jour d’OS depuis quelques années, la méthode pour se connecter avec une carte d’identité belge change. Avec macOS Sierra, il y a quelques (petites) différences.

Apple propose depuis des années une solution pour se connecter avec une Smart Card (CDSA, Common Data Security Architecture), mais cette technologie n’évolue plus depuis Lion. Elle existe toujours sous Sierra, mais c’est a priori la dernière fois, les prochaines versions de l’OS ne proposeront que CryptoTokenKit, une API plus moderne et déjà utilisable avec certains périphériques.

En attendant, l’ancienne méthode fonctionne toujours. Comme d’habitude, il faut un lecteur de cartes reconnu par macOS : le SCR 3500 marche bien et est pratique (compact), sinon j’utilise un lecteur RATP vendu 7 €. Bon, ça implique d’avoir une carte d’identité belge et de vivre près de Paris, ce qui reste assez rare. Deuxièmement, évidemment, une carte d’identité valide et le code PIN associé.

Niveau logiciel il faut un fichier qui s’appelle un tokend, la version dédiée à la carte belge (BELPIC). La page qui référence le programme qui permet de l’installer n’est pas à jour (fin janvier) mais il existe bien une version pour Sierra. Dans le pire des cas, il reste possible de l’extraire d’une autre version et de le placer manuellement dans /Library/Security/tokend/. Pas besoin d’installer les autres tokend ou les outils de login, c’est inutile dans ce cas-ci.

Le BELPIC suffit

Ensuite, il faut se rendre dans le trousseau d’accès et vérifier que ça fonctionne. La carte doit apparaître dans les trousseaux et se débloque avec le code PIN. Si ça fonctionne, il faut se rendre dans le Terminal et taper les lignes suivantes.

sudo security authorizationdb smartcard enable

Cette ligne active l’authentification.

sc_auth hash

Cette ligne donne le hash de la clé, il faut prendre la première valeur (Authentication key).

sudo sc_auth accept -u votre_nom_d_utilisateur -h la_cle_complete

Utilisez le nom du dossier Home et la clé.

Normalement, maintenant, macOS demandera le code PIN de la carte au lieu de votre mot de passe quand elle est présente. Il est possible de supprimer totalement la possibilité de se connecter sans la carte (pensez à faire un compte admin classique et des sauvegardes) ou de gérer le retrait de la carte, mais c’est un peu plus compliqué. Attention aussi à un point important : macOS n’affiche pas le nombre d’essai restant en cas d’erreur sur le code PIN.

Avant


Après