Safari, impôts et certificats (Snow Leopard)

Guillaume O.

Membre enregistré
21 Janvier 2010
5
3
Bon, voilà, comme chaque année, problèmes de certificat pas reconnu sous Safari pour déclarer mes revenus… Pourtant le certificat est bon, j'ai le certificat racine AC SERVICES INDIVIDUELS IAS1 E comme il faut dans mon trousseau système.

Suis-je le seul dans ce cas?

Or j'ai remarqué, c'est bien dommage, que Snow Leopard (et peut-être Leopard?) est capable d'associer un certificat à un site web; et que Safari essaie d'exploiter cette possibilité; et qu'il se fait jeter méchamment par Mac*OS*X, qui lui rétorque que rien n'existe.

En fouillant un peu (oui, je suis ingé logiciel…), j'ai fini par trouver que le problème est que le Security Framework d'Apple, pour une raison que j'ignore, considère invalide dans ces associations URL / certificat toute URL contenant des points d'interrogation. Du coup, hop, je soumets un bogue à Apple (numéro 7965384).

Or, malheur de malheur, les URL du site des impôts sont de type:
https://cfspart.impots.gouv.fr/SSLAccess?op=c&url=blabla
Et en fouillant un peu plus, dans le trousseau d'accès, on se rend compte que les liaisons qui sont créées sont marquées invalides!

Pour voir ça: allez dans Trousseau d'accès, sélectionnez votre certificat NOM PRENOM NUMERO, clic droit, Nouvelle préférence d'identité, et en URL collez celle de la page des impôts disant qu'aucun certificat n'a été trouvé. Sauvegardez, sélectionnez «*session*» et «*Tous les éléments*», faites une recherche sur «*pots*»: votre liaison a été créée, mais est marquée d'un macaron rouge! Double-cliquez dessus, le certificat en a été détaché; et il ne se remet pas. Maintenant modifiez le champ «*Où*» en remplaçant le ? par un A puis réassociez le certificat: miracle, la liaison devient valide!

Alors j'ai décidé de poursuivre un peu, et, muni de mes Developer Tools, d'un bon Terminal et tout le toutim… j'ai fini par arriver à faire voir à Safari le certificat!

Donc, pour les courageux qui ont les Developer Tools et un Mac Intel 64bits sous Snow Leopard, voici une procédure vraiment bidouille pour déclarer sous Safari avec certificat:
- Lancez Safari
- Allez vous planter sur la page des impôts (impots.gouv.fr, Particuliers, Accéder à mon espace)
- Lancez un Terminal, collez-y un:
Bloc de code:
ps auxww | grep '[S]afari' | awk '{print $2}'
- Lancez ensuite dans ce même terminal un:
Bloc de code:
gdb
- Dedans:
Bloc de code:
attach num
num étant le numéro que vous aurez récupéré à l'étape précédente
puis collez ce qui suit:
Bloc de code:
br SecIdentityCopyPreference
command 1
silent
set $ptr=$rdi+16
set $size=*(unsigned char *)($rdi+16)
while(--$size >= 0)
if(*(char *)($ptr + $size) == 0x3f)
set *(char *)($ptr + $size)='A'
end
end
p (char *)($rdi+17)
c
end
c
(petite explication rapide: on demande un arrêt à chaque accès à une liaison URL - certificat, lors de laquelle, en fouillant vraiment salement dans la mémoire représentant les paramètres, on va remplacer tous les ? par des A. Puis on lui demande d'afficher la chose résultante et de poursuivre l'exécution du programme)
- Ensuite, sur votre page d'impôts, faites un Pomme-R. Des tas de lignes vont s'afficher dans le terminal, représentant les URL pour lesquelles Safari cherche un certificat. Pour chacune de ces lignes, récupérez l'URL entre guillemets, et allez créer dans le Trousseau d'Accès une liaison à votre certificat impôts avec cette URL. Recommencez jusqu'à ce qu'enfin vous atteigniez la page de déclaration. Ouf!
 
  • J’aime
Réactions: yzykom
Et la déclaration sans certificat, cette année, tu as essayé ?
 
Et la déclaration sans certificat, cette année, tu as essayé ?

Non; je suis un peu têtu quand je décide que c'est la machine qui doit servir l'homme et non l'homme se laisser faire par la machine. On a ses principes, tout de même :)

(bon, maintenant le plus dur: retrouver les fichus papiers de la banque indiquant les trucs à mettre dans les petites cases)
 
Encore plus simple pour la déclaration avec certificat : utiliser Firefox.
 
MDR !!
Ça, c'est du beau bidouillage ;)
 
Bon, puisque ça me gavait quand même d'aller faire le crétin avec gdb à chaque connexion au site des impôts, j'ai fouillé un peu plus (voir si je pouvais aller déboguer le Security.framework, et envoyer un rapport à Apple avec tout de prémâché).

Eh bien figurez-vous qu'à force de fouiller, j'ai constaté qu'il n'y a pas besoin d'aller créer une association URL / certif avec l'URL complète. Autrement dit, une simple URL «*https://cfspart.impots.gouv.fr/*» suffit. Et celle-là, elle est valide aux yeux de Mac*OS*X.

Donc, procédure (simple!) pour utiliser Safari sous 10.6 pour faire de la déclaration d'impôts:
  • Obtenez votre certif des impôts (ça vous devez déjà l'avoir)
  • Ouvrez le Trousseau d'Accès
  • Recherchez votre certificat (par exemple, dans le champ de recherche, tapez «*nom<espace>prénom*»)
  • Clic droit, Nouvelle préférence d'identité
  • Sélectionnez votre certificat, collez l'URL:
    https://cfspart.impots.gouv.fr/
    , puis OK
  • Et là normalement Safari vous laissera accéder (enfin!) à où vous défaire de vos sous superflus

Marche sur 10.6, ne requiert ni terminal ni gdb ni décryptage de l'assembleur Intel.

Quelqu'un pourrait-il vérifier s'il y a de quoi faire marcher ça aussi sous 10.5?
 
  • J’aime
Réactions: demougin
lorsque je vais dans le trousseau d'accès, à la rubrique mes certificats je n'ai rien donc impossible de cliquer dessus pour poursuivre la procédure.
J'ai voulu résilier le certificat pour en obtenir un nouveau mais comme il ne trouve pas l'ancien impossible
a priori cela viendrait du navigateur comment parametrer manuellement safari ( à priori il faut vérifier qu'il accepte les cookies et java script) je ne sais pas ce que c'est ni comment faire . MERCI D AVANCE pour votre aide
 
Pour les impôts, j'utilise plutôt Firefox, qui marche bien et est multi-plateforme [pratique pour changer les certificats de machine...]
 
lorsque je vais dans le trousseau d'accès, à la rubrique mes certificats je n'ai rien donc impossible de cliquer dessus pour poursuivre la procédure.
J'ai voulu résilier le certificat pour en obtenir un nouveau mais comme il ne trouve pas l'ancien impossible
a priori cela viendrait du navigateur comment parametrer manuellement safari ( à priori il faut vérifier qu'il accepte les cookies et java script) je ne sais pas ce que c'est ni comment faire . MERCI D AVANCE pour votre aide

Oublie Safari et utilise Firefox. Ca passe très bien.

Le site des impôts est fâché avec le navigateur de la Pomme.
 
Avec Safari & Tiger...mon certificat est reconnu

le même certificat, avec Safari & SL .. non reconnu

j ai du faire ma déclaration avec mon vieux macbook :D