SystanciaBlogCybersécurité#HOWTO? – Systancia Access : quels sont les différents types de cartes disponibles pour l’authentification au poste de travail ?

#HOWTO? – Systancia Access : quels sont les différents types de cartes disponibles pour l’authentification au poste de travail ?

 

 

 

Nous rencontrons beaucoup de clients qui souhaitent mettre en place l’authentification par carte au poste de travail. Certains clients partent d’une feuille blanche et se posent des questions sur le type de cartes à utiliser. D’autres ont déjà des cartes pour des usages type accès bâtiment /parking/cantine … Cet article vous décrit les différents types de cartes comment elles sont intégrées par Systancia Access et quelles fonctionnalités du produit sont couvertes. 

     1. Familles des cartes 

Il est important de distinguer deux familles de cartes :

Les cartes avec contact : ce sont des cartes munies d’une puce capable de stocker des données. La lecture des informations contenues dans la puce se fait après insertion de la carte dans un lecteur de cartes adapté.

Les cartes sans contact : ce sont des cartes dites de proximité qui peuvent dans certains cas contenir des informations. La lecture des informations de la carte s’effectue par rapprochement de celle-ci à un lecteur de carte adapté.

Les fréquences 125 KHZ et 13.56 MHZ sont généralement utilisées pour le contrôle d’accès. La première fréquence est peu sécurisée et facilement falsifiable car les cartes utilisant cette fréquence portent uniquement un numéro de série qui sert d’identification. Le tag de la carte émet en boucle son numéro de série dès qu’elle se trouve à proximité d’un lecteur.  La simple possession de la carte permet son utilisation. En effet, il n’y a aucune garantie que l’utilisateur qui présente la carte est le possesseur légitime. Ces cartes ne disposent pas de fonctionnalités permettant de s’assurer de l’identité de la personne qui présente la carte pour accéder à un service.  

La deuxième fréquence (13.56 MHZ) est plus sécurisée que la précédente. En plus du numéro de série, les cartes utilisant cette fréquence sont pour la plupart équipées de crypto processeurs et d’une protection de mémoire anti-copie pour cacher des clés cryptographiques. L’accès aux informations dans la carte n’est possible que si le système logiciel qui essaie d’y accéder fournit des informations d’authentification correctes (le code PIN saisi par l’utilisateur par exemple). Ces cartes possèdent des secteurs de mémoire exploitables par des applications telles que Systancia Access pour stocker des informations servant à authentifier l’utilisateur porteur de la carte.  Pour l’authentification au poste de travail avec Systancia Access, l’utilisateur est appelé à saisir un code PIN personnel défini au moment de l’association avec la carte (phase d’enrôlement). Systancia Access récupère ensuite le login et mot de passe Windows de l’utilisateur stockés dans la carte pour ouvrir la session de l’utilisateur.

La technologie 13.56 MHZ est celle qui est recommandée pour les cartes dont l’objectif est de permettre l’accès aux postes de travail Windows…

Attention cependant : selon les réglementations qui régissent votre secteur d’activité et des usages que vous souhaitez mettre en place, il vous sera imposé l’utilisation d’un type de cartes spécifiques, Cartes CPx ou cartes homologuées pour la PGSSI-S par exemple pour le secteur de la santé.

     2. Types de cartes et Access

a) Cartes contacts 

Ce sont des cartes qui peuvent stocker :

  • un certificat délivré par une infrastructure à clés publiques (PKI). Access est compatible avec les PKI Microsoft et les cartes des professionnels de santé (CPS, CPx° délivrées par l’Agence Nationale de Santé (ANS).
  • Ou le coffre-fort Access de l’utilisateur

 

Ce type de cartes peut être combiné à une technologie sans contact (carte multi-technologie ou tag sans contact accolé sur la carte). Cette carte combinée donne accès à des usages variés (accès parking, accès bâtiment, cantine, facilitation d’accès au poste de travail grâce à Access pendant une durée paramétrable par l’administrateur…).

/ Prérequis pour l’usage de ce type de cartes avec Access

L’usage de ce type de cartes nécessite la mise à disposition des éléments ci-dessous :

  • Un lecteur de carte adapté (voir matrice de compatibilité Access)
  • Un middleware adapté au type de cartes (voir matrice de compatibilité Access)
  • Une PKI Microsoft lorsque la gestion du cycle de vie des cartes (affectation/révocation des certificats) est déléguée à Access

// Fonctionnalités Access disponibles pour ce type de carte

  • Gestion du cycle de vie des cartes (affectation, recyclage, déblocage, révocation de certificat, renouvellement de certificat)
  • Gestion automatique du mot de passe windows[1]
  • Mode tap tap[2] qui consiste à ouvrir la session en posant/retirant la carte sur le lecteur puis en la posant/retirant à niveau pour verrouiller la session
  • Accès au poste de travail sans saisie de code PIN pendant une durée paramétrable par l’administrateur[3]

b) Cartes sans contacts 

L’avantage de ces cartes est qu’elles sont généralement déjà en place chez des clients pour des usages de type accès bâtiment, accès parking…

Il existe trois types de solutions avec la technologie 13.56 MHZ :

  • Le mifare Classic, la version historique qui n’est plus recommandée en termes de sécurité
  • Le Mifare PLUS
  • Le Desfire qui offre la meilleure sécurité

Access est compatible avec les solutions Mifare Classic et Desfire EV1, EV2. Nous vous recommanderons d’utiliser la Desfire.

Systancia Access va stocker dans ce type de carte des informations (informations de vérification du code PIN personnel de l’utilisateur, login et mot de passe Windows…) permettant de réaliser l’ouverture de session Windows de l’utilisateur. Le numéro de série de la carte va permettre d’associer l’utilisateur à la carte dans le référentiel central de la solution et un code PIN défini par l’utilisateur sera requis pour l’authentifier avant l’ouverture de session Windows.  L’administrateur a la possibilité de définir une période pendant laquelle l’utilisateur peut s’authentifier sans saisie de code PIN mais l’activation de cette période est conditionnée par une authentification réussie de l’utilisateur avec son code PIN.

/ Prérequis pour l’usage de ce type de cartes avec Access

L’usage de ce type de cartes nécessite la mise à disposition des éléments ci-dessous :

  • Un lecteur de carte adapté (voir matrice de compatibilité Access)

// Fonctionnalités Access disponibles pour ce type de carte

  • Gestion du cycle de vie des cartes (affectation, déblocage, liste noire des cartes) 
  • Mode tap tap 
  • Accès au poste de travail sans saisie de code PIN pendant une durée paramétrable par l’administrateur 

 

[1] Cartes avec certificats uniquement

[2] Nécessite la présence sur la carte contact d’une deuxième technologie sans contact compatible Access

[3] Nécessite la présence sur la carte contact d’une deuxième technologie sans contact compatible Access

Publié le 11 janvier 2024 par Systancia
Thématiques
pgssi-s Systancia Access Carte CPx