Gérer les risques
Aujourd'hui et demain

Risques industriels et environnementaux

Le badge sans contact, entre sécurité et fonctionnalités (Part. I)

La technologie 13,56 Mhz a libéré les usages du contrôle d’accès. Elle a aussi multiplié les services associés dans de nombreux autres domaines. Pour autant, les capacités du badge sans contact multiapplication sont-elles pleinement exploitées ?

À retenir

 

> Le développement des fonctions de lecture-écriture, avec la technologie 13,56 Mhz, permet une exploitation rapide et sécurisée des informations transitant entre un badge et un lecteur.

 

> Aujourd’hui, presque tous les marchés européens sont orientés vers la technologie du 13,56 Mhz. Mais le 125 Khz demeure cependant une fréquence largement utilisée.

 

> La technologie Mifare domine le marché : plus de 500 millions de cartes écoulées.

 

> Côté sécurité, la mise en œuvre de solutions cryptées est freinée par des contraintes de coût et de production : plus le niveau de chiffrement est élevé, plus l’investissement s’en ressent. Côté multiapplication, les avantages du badge sans contact ne sont pas toujours bien perçus et/ou exploités.

 

> Pour des besoins de sécurité faibles, un badge 125 Khz, soit une puce simplement dotée d’un numéro de série et dépourvue de mémoire, suffit amplement. Pour des besoins un peu plus élevés, une carte mémoire standard, type Mifare Classic 1 Ko, convient encore à de nombreuses applications, d’autant plus qu’elle ne représente pas un investissement beaucoup plus important qu’un badge 125 Khz.

À la fois support individuel d’identification et support de stockage de données, le badge sans contact a vu son champ d’applications considérablement élargi. Devenu un composant de choix des systèmes de contrôle d’accès physique, il trouve également sa place dans des domaines aussi variés que les transports, la monétique, la billetique, les applications bureautiques, etc.

 

Le développement des fonctions de lecture-écriture, avec la technologie 13,56 Mhz, permet aujourd’hui une exploitation rapide et sécurisée des informations transitant entre un badge et un lecteur. Entre ces deux équipements, le terrain est normé, balisé, pour ne pas dire banalisé. Les protocoles ISO 14443-A 14443-B et ISO 15693, définissant les usages de la technologie sans contact en 13,56 Mhz, ont permis d’imposer des standards pour l’échange de données sécurisées (ces normes ne prenant toutefois pas en compte le cryptage des données).

 

Tous domaines confondus, la technologie Mifare domine le marché : après plus de 500 millions de cartes écoulées, la société NXP a annoncé que, d’ici fin 2010, le nombre de combinaisons possibles sur la base de numéros de série de 4 octets serait atteint. Dès l’année prochaine, le fondeur entamera la production de puces à partir de numéros de série de 7 octets. Les puces de dernière génération sont, quant à elles, équipées de microprocesseurs plus performants et de capacité mémoire plus étendue. Elles promettent à la fois plus de sécurité, de rapidité et de possibilités fonctionnelles. Si bien qu’actuellement, tout semble conduire à valoriser le développement d’un support personnel, garantissant la sécurité des données, non seulement pour le contrôle d’accès, mais aussi pour une foule de fonctionnalités. Néanmoins, le badge conçu comme support unique et multi-usage, n’est pas une réalité si couramment observée.

 

Côté sécurité, la mise en œuvre de solutions cryptées est freinée par des contraintes de coût et de production : plus le niveau de chiffrement est élevé, plus l’investissement s’en ressent. Côté multiapplication, les avantages du badge sans contact ne sont pas toujours bien perçus et/ou exploités : de la gestion des droits d’accès à celle des crédits pour la machine à café, il faut faire coexister des applications très différentes sur un même support… Autour du badge sans contact, les enjeux sont donc de taille. Mais ils en valent la peine, dès lors que les besoins sont bien évalués et que les choix conduisent à un investissement rationnel.

Un support unique, des besoins contrastés

Nous faisons, presque tous, usage au quotidien de ce rectangle de plastique intégrant une puce et une antenne. En effet, de par sa banalité d’emploi, le badge sans contact est voué à combler une multitude de besoins, depuis la gestion des droits d’accès physiques, l’identification biométrique, la gestion horaire, jusqu’au paiement électronique, la gestion de restauration, la gestion de bibliothèque, etc. Plus de 200 applications différentes ont été développées sur la base de la technologie Mifare pour combler les besoins d’utilisateurs qu’on imagine de plus en plus nombreux à préférer la simplicité du sans contact.

 

D’après Didier Dormegnies (Balogh), la demande est orientée selon deux axes principaux : « Premièrement, l’obtention d’un support unique, multitechnologie, permettant pour ainsi dire de tout faire. C’est-à-dire un badge supportant plusieurs technologies comme la longue portée pour les accès extérieurs véhicules, une technologie courte portée pour contrôler les accès bâtiments et éventuellement une certaine capacité mémoire pour y insérer, par exemple, des données biométriques, développer des applications monétiques, etc.
Deuxièmement, on constate une forte demande en faveur de produits standard, mono-application, pour des démarches d’identification basiques à un très faible coût.
Il s’agit donc d’une tendance opposée, où le badge est davantage considéré comme un consommable. »

 

Quelle que soit la demande, c’est sur un support unique que se concentrent les vœux. Dès lors, il apparaît d’autant plus important de savoir ce que l’on va en faire, en évaluant ses besoins dans le temps ainsi que les rôles attribués au badge. Plus question, en effet, de multiplier les supports. Aujourd’hui, un badge peut (et doit) être multiapplicatif, soit en concentrant plusieurs fonctionnalités sur la même technologie (13,56 Mhz), soit en faisant usage de plusieurs technologies.

 

Didier Dormegnies : « Chaque fréquence, chaque protocole de communication a ses particularités et convient mieux à certaines applications plutôt qu’à d’autres. De fait, les différentes fréquences utilisées en RFID sont complémentaires. L’enjeu consiste souvent à combiner plusieurs puces sur un même support pour créer un badge multitechnologie : longue portée pour l’accès véhicule, moyenne portée pour les accès bâtiments et très courte portée pour les accès plus sécurisés. » À bien des égards, le badge sans contact constitue donc le support privilégié de la gestion des accès physiques.

Quelques données du marché

 

Volume de ventes annuel : 3 millions de badges, toutes technologies confondues (125 Khz, 13,56 Mhz).

 

Équipement : 180 000 lecteurs de badges, accès courants tous confondus.

 

En moyenne, 20 badges sont associés à un lecteur.

 

Source : Siemens Building Technologies.

Et pour la gestion des accès logiques ? Dans ce domaine, la grande majorité des solutions existantes est basée sur une technologie de puce à contact. Associer les deux fonctions sur un même support constitue une solution aussi pratique que sécurisante, mais encore peu répandue.

 

« La demande progresse, mais timidement, estime Christophe Chambelin (Siemens Building Technologies). Toutefois, les risques de malveillance se déplaçant de plus en plus du côté des données informatiques, la situation est en passe d’évoluer. Il y a des besoins évidents à combler mais, à ce jour, encore peu d’entreprises proposent des solutions mixtes accès physique-accès logique sur un badge unique. Il existe pourtant un bénéfice immédiat à l’utilisation d’un support unique : par exemple, lorsqu’un même badge sert autant à activer l’accès à un ordinateur qu’à autoriser la sortie physique d’un bureau. L’utilisateur s’assure ainsi que personne n’accède à son poste informatique en son absence. »

 

Selon Jean Galibert (Chubb Securité), il reste nécessaire de faire évoluer les usages et les produits : « En accès logique, les responsables informatiques ont l’habitude d’utiliser des puces sans contact à microprocesseur, dont l’authentification “par certificat” est reconnue plus forte qu’un badge sans contact à mémoire. Par ailleurs, l’intégration de lecteurs sans contact dans un ordinateur reste un phénomène récent. »

Une histoire de puces

Aujourd’hui, presque tous les marchés européens sont orientés vers la technologie du 13,56 Mhz, fréquence autour de laquelle se sont développées les cartes à mémoire (Mifare Classic), puis les cartes à microprocesseur (Mifare Plus, DESFire, iClass, Legic Advant), de puissance et de capacité mémoire variables. Le 125 Khz demeure cependant une fréquence largement utilisée. Le taux d’équipement reste très élevé et cette technologie, mature et robuste, ne fait pas actuellement l’objet d’un fort renouvellement.

 

Autorisant par ailleurs des portées de lecture supérieures, c’est une fréquence appropriée au contrôle d’accès parking, par exemple. La fréquence 13,56 Mhz cumule quant à elle les avantages de la lecture-écriture, offrant davantage de sécurisation et de possibilités d’exploitation. Jean Galibert souligne que « la lecture-écriture favorise la communication dynamique en temps réel, apporte énormément de sécurité, de rapidité et de confort. La rapidité des échanges en lecture-écriture dans le cadre d’une communication bidirectionnelle entre le lecteur et le badge, associée aux algorithmes de chiffrement, garantit la confidentialité des échanges ainsi que l’authentification mutuelle, qui est une dimension essentielle de la sécurité d’un système ». Par exemple, la puce DESFire intègre un algorithme de cryptage couplé à l’algorithme du lecteur. En d’autres termes, badge et lecteur détiennent chacun une partie de la clé de cryptage, pour un niveau de sécurité beaucoup plus élevé. « Ensuite, poursuit Jean Galibert, la lecture-écriture permet d’inscrire des informations personnelles dans le badge. C’est un avantage reconnu par la CNIL pour la protection de ce type de données, notamment pour l’exploitation des données biométriques. Le badge est, de ce fait, un support particulièrement adapté, dans la mesure où il est un support unique et personnel. C’est une des grandes pistes d’exploitation du badge. »

Combien d’espace mémoire une application occupe-t-elle ?

 

> Quelques ordres de grandeur :

 

Identifiant pour le contrôle d’accès = 64 à 128 bits.

 

Paiement électronique = de plusieurs centaines d’octets à 1 Ko.

 

Données biométriques = plusieurs centaines d’octets à 8 Ko selon la nature
et la quantité des informations (les données rétiniennes sont plus lourdes
que les données digitales).

Fréquence de prédilection de la multiapplication, le 13,56 Mhz est aujourd’hui représenté par deux générations de puces sans contact : Mifare Classic, dont le succès n’est plus à démontrer, et les puces à microprocesseur, dont les principales représentantes sont Mifare Plus et DESFire EV1 (dernière évolution de la puce DESFire et la plus prometteuse). Plus puissantes, ces puces sont dotées de capacités de cryptage beaucoup plus importantes et permettent des échanges d’informations plus rapides entre le badge et le lecteur.

 

Ces trois générations de puces coexistent et correspondent chacune à des niveaux de besoins, comme le résume Laurent Rouyer (Cegelec, Evolynx) :« Pour des besoins de sécurité faibles, un badge 125 Khz, soit une puce simplement dotée d’un numéro de série et dépourvue de mémoire, suffit amplement. Pour des besoins un peu plus élevés, une carte mémoire standard, type Mifare Classic 1 Ko, convient encore à de nombreuses applications, d’autant plus qu’elle ne représente pas un investissement beaucoup plus important qu’un badge 125 Khz. Enfin, pour des exigences de sécurité plus élevées, il est souvent nécessaire de solliciter la mémoire de la puce et d’envisager l’utilisation d’un identifiant crypté en plus de la lecture sérielle. » Dans ce dernier cas, Mifare Classic en gestion secteur et, plus récemment Mifare Plus et DESFire EV1 représentent les solutions les plus appropriées. « Aujourd’hui, enchaîne Laurent Rouyer, nous assistons à un phénomène de transition entre la puce Mifare Classic et les puces de dernière génération, dotées d’un numéro de série en 56 bits (7 octets), type DESFire EV1. Cette dernière dispose d’algorithmes de cryptage plus élaborés, très sécurisés, de type 3DES. Naturellement, ces technologies sont plus coûteuses, mais ces puces présentent plusieurs avantages : un numéro de série dont l’unicité est garantie, pour des applications de sécurité moyennes, et des technologies de cryptage plus élaborées pour des applications de sécurité élevées. Après le crackage de la puce Mifare Classic, des inquiétudes ont en effet été émises de la part des gestionnaires de sites haute sécurité. C’est à eux que s’adressent notamment ces nouvelles puces. La DESFire EV1 est selon nous un produit qui va véritablement décoller à partir de l’année prochaine. »

Carte CPS3, le sans contact au service de la santé

 

Avec sa prochaine mouture, la carte de professionnel de santé (CPS3) s’enrichit de possibilités de lecture sans contact. Un bel exemple de convergence accès logique-accès physique sur un support unique. À l’heure actuelle, cette carte est délivrée par le Groupement d’Intérêt Public – Carte de Professionnel de Santé (GIP-CPS) à chaque professionnel de santé qui en fait la demande.Ce badge dont l’usage est similaire à la carte vitale va désormais équiper tous les professionnels (l’état a lancé un appel d’offres pour 3  millions d’exemplaires). Sa partie contact autorise un accès sécurisé (cryptage 3DES) et en temps réel aux données personnelles dans le cadre des applications de santé communicantes. Ce dispositif permet de faire circuler les données médicales avec nettement plus de fluidité et d’efficacité. La partie sans contact (technologie Mifare, conforme à la norme ISO 14443-A ou ISO 14443-B) de la CPS3 sera, quant à elle, employée pour le contrôle d’accès en lecture sérielle aux établissements de santé.

Numbers : lecture sérielle ou séquentielle

Malgré les possibilités offertes en matière de sécurisation des données, 90 à 95 % des applicatifs de sûreté en contrôle d’accès basés sur la technologie 13,56 Mhz n’utilisent que la lecture du numéro de série pour l’identification. Pourtant, rappelle Laurent Rouyer, « un badge sans contact 13,56 Mhz est doté à la fois d’un numéro de série et d’une mémoire. Un numéro de série n’est pas crypté, alors que les données stockées dans la mémoire peuvent être chiffrées. » En effet, une des vocations premières du CSN est d’assumer le rôle de dispositif d’anticollision entre plusieurs badges présents dans le champ d’un lecteur. Il ne peut donc être protégé. Alors pourquoi un usage aussi massif d’une solution d’identification en définitive peu sécurisée ?

 

Commençons par rappeler les usages de la technologie sans contact en contrôle d’accès. En identification, un badge peut être utilisé de deux manières. La première, nommée lecture sérielle, consiste à n’utiliser que le numéro de série du badge comme identifiant. Ce numéro de série, de 4 octets pour la puce Mifare Classic, en comporte désormais 7 pour les puces de dernière génération. C’est une solution perçue comme peu ou pas sécurisée, dans la mesure où l’usurpation du CSN reste possible. Bien entendu, tout est affaire d’exigence de sécurité. Mais le risque de fraude est présent. Une seconde possibilité consiste à solliciter la mémoire de la puce, par lecture d’un identifiant stocké dans la mémoire. Il s’agit de la lecture sectorielle, permettant la lecture sécurisée d’une donnée contenue dans la mémoire de la carte, grâce à l’utilisation d’une ou plusieurs technologies de cryptage. Cette démarche, du fait de l’usage de données chiffrées, est considérée, à juste titre, comme bien plus sécurisée.

 

Malgré cela, le piratage de la puce Mifare Classic en 2007 a bien rappelé que cette protection reste relative… et surtout temporaire : les attaques réalisées sur l’algorithme de cryptage CRYPTO1 ont montré que Mifare Classic ne pouvait plus être considérée comme sûre. La puce Legic Prime a également fait les frais d’un piratage réussi à la fin de l’année dernière. Les algorithmes de cryptage (AES, DES, 3DES) intégrés aux puces de dernière génération permettent pour leur part d’assurer durablement un excellent niveau de sécurité.

Jean Galibert : « Ces algorithmes utilisent des clés de chiffrement dont la longueur varie de 56 à 256 bits pour la dernière génération, réduisant très fortement les possibilités de piratage. » Il reste que la lecture sérielle est la solution d’identification la plus répandue… Logique : plus une solution est sécurisée, plus elle est complexe et coûteuse à mettre en place. Le recours à la lecture sérielle comme procédé unique d’identification apparaît d’autant plus évident qu’il ne nécessite pas de technologies de lecture propriétaires.

 

« La standardisation des échanges entre lecteur et badge n’est effective qu’au niveau de la lecture du numéro de série, indique Laurent Rouyer. Les algorithmes de cryptage sont spécifiques de chaque fondeur de puce. Si bien que l’interopérabilité des équipements trouve ses limites dès lors qu’une technologie de cryptage intervient au-delà de la simple lecture du numéro de série. » L’utilisation de technologies de cryptage requiert donc l’usage de lecteurs adaptés. Enfin, il faut reconnaître que, pour des besoins peu développés de sécurité, une simple lecture sérielle se révèle satisfaisante : les besoins de confidentialité doivent être évalués de façon rationnelle.

 

Didier Dormegnies : « Pour des besoins courants en sécurité, la technologie Mifare reste tout à fait acceptable. C’est encore le système le plus vendu actuellement. Sachant que la lecture sérielle est largement utilisée sans aucun recours à une opération de cryptage, pourquoi investir dans une solution plus sécurisée, mais aussi beaucoup plus onéreuse ? »

Stratégies pour une sécurité et un investissement maîtrisés

Lorsque des besoins supplémentaires de sécurité se font ressentir, comment bénéficier d’une solution de contrôle d’accès plus sécurisée, sans pour autant réaliser un investissement trop important ? Il s’agit d’abord d’évaluer les capacités d’évolution de l’installation existante.

 

Laurent Rouyer : « Si l’utilisateur est équipé en Mifare Classic avec lecture du numéro de série, il peut choisir de recourir à un identifiant crypté dans la mémoire de la carte. Il faut néanmoins s’assurer que le système puisse évoluer d’une gestion des numéros de série à une gestion plus complexe de la mémoire. Cette capacité dépend beaucoup des équipements mis en place, logiciels de gestion et lecteurs. » Il faut donc s’assurer de l’évolutivité des équipements, comme de vérifier si les solutions logicielles de gestion sont capables de prendre en charge de nouvelles méthodes de cryptage. Avant d’envisager un renouvellement complet des équipements de contrôle d’accès, il existe des solutions intermédiaires et tout aussi sécurisées, à commencer par l’association des technologies.

 

« Utilisé avec un ensemble lecteur-badge sans contact, un simple clavier à code suffit pour assurer un niveau de sécurité très satisfaisant, indique Christophe Chambelin. Ou un dispositif biométrique, si on souhaite obtenir un niveau de sécurité renforcé. Un investissement raisonnable consiste à adopter un système de lecture sérielle non cryptée pour le contrôle d’accès courant, renforcé par une autre technologie d’identification (clavier ou biométrie) pour les accès critiques. »

 

On peut également exploiter les capacités du badge de manière progressive, comme l’explique Didier Dormegnies : « Il est judicieux de combiner les technologies en fonction des différents accès à protéger. Par exemple, en niveau 1, un système basé sur une simple lecture sérielle. En niveau 2, utiliser un badge avec une zone mémoire utilisant un protocole de sécurisation propriétaire. Aux niveaux suivants, on peut envisager d’utiliser des données cryptées à l’aide d’algorithmes de plus en plus complexes. Voilà une démarche qui permet de bien échelonner les niveaux de sécurité tout en limitant les coûts. »

Commentez

Participez à la discussion


The reCAPTCHA verification period has expired. Please reload the page.