Contrôle d’accès
Fonction paramétrable qui rend impossible de faire entrer 2 personnes dans une zone contrôlée avec le même badge. La personne est autorisée à entrer dans la zone et doit en sortir avant de pouvoir y entrer à nouveau.
Fonction paramétrable qui empêche les utilisateurs entrés dans une zone contrôlée de prêter leur badge à un une autre personne pour le faire rentrer. L’utilisateur ne peut badger qu’une seule fois sur un temps défini par le gestionnaire des accès.
ANSSI = Agence Nationale de Sécurité des Systèmes d’Information
L’ANSSI 1 est la recommandation la plus élevée en termes de sécurité sur l’aspect matériel et soft. Le badge doit être de type mifare desfire Ev »x » et doit être sécurisé et crypté. Dans cette architecture, la tête de lecture est dite « transparente » car elle ne fait que transmettre les informations à l’UTL (Unité de Traitement Local). Aucune information n’est contenue dans la tête de lecture si celle-ci est volée ou détériorée. L’UTL doit se trouver dans un local sécurisé du bâtiment, l’administrateur doit avoir les clés de cryptage dans son coffre-fort numérique. Elles lui permettront de lire les informations contenues dans les badges.
La mise en place d’un système conforme à l’architecture ANSSI 1 demande un lourd investissement. A titre d’exemple, ce type d’installation est préconisé sur des sites OIV (Opérateurs d’Importance Vitale) ou SEVESO (entreprises qui ont une activité liée à la manipulation, la fabrication, l’emploi ou le stockage de substances dangereuses).
ANSSI = Agence Nationale de Sécurité des Systèmes d’Information
L’ANSSI 2 est une recommandation est une variante allégée de l’ANSSI 1 en termes de sécurité. Le badge doit être de type mifare et doit être sécurisé et crypté. Dans cette architecture, la tête de lecture renferme à la fois les clés permettant l’authentification de la carte et les clés permettant de protéger la liaison filaire avec le système. Dans cette architecture, la tête de lecture est un élément crucial pour la sécurité du système. La liaison filaire entre le lecteur et l’UTL (Unité de Traitement Local) est crypté par une clé connue de ces 2 périphériques. »
Nous pouvons définir l’UID comme le numéro d’identification permanent car il est gravé sur chaque carte à puce par le fabricant au moment de la fabrication.
Chaque numéro est permanent et unique. Cet UID est souvent appelé numéro de série de la carte (CSN). Le numéro de série de la carte n’est pas crypté et tout lecteur conforme ISO peut lire le numéro de série de la carte.
Le CSN est le numéro de série d’un badge.
MIFARE est une marque déposée, elle est la propriété de la société NXP Semiconductors, connu aujourd’hui sous le nom de NXP (Next eXPerience).
La gamme de badges MIFARE est basée sur la norme ISO14443-A fonctionnant à 13,56 MHz.
Ce badge utilise un protocole de sécurité propriétaire NXP (CRYPTO1) sur 48 bits pour l’authentification et le chiffrement. Cette solution n’est plus préconisée sur les sites de haute sécurité car le cryptage a été déchiffré en 2008.
Un badge Mifare 1K est composé de 16 secteurs (1 secteur = 4 blocs, 1 bloc = 16 octets)
En 2009, la réponse de NXP au crack de la CRYPTO1 a été la sortie du Mifare Desfire EV1.
DES (Data Encryption Standard)
Ce badge utilise une clé de chiffrement sur 56 bits (ancien standard) : algorithme de chiffrement public utilisant une clé de 56 bits.
Ce badge peut être crypté en 3DES (Triple Data Encryption Standard), c’est une variante de l’algorithme de base qui utilise cette fois 2 clés de 56 bits.
AES (Advanced Encryption Standard)
Ce badge utilise une clé de chiffrement de 128 à 256 bits (EV1 = 128bits, EV2 = 256bits)
En 2021, c’est le badge le plus sécurisé sur le marché.
Le Mifare Desfire EV1 est sortie en 2009, Certification EAL 4+.
Le Mifare Desfire EV2 est sortie en 2014, Certification EAL 5+, il utilise différents algorithmes de chiffrement (AES, DES, 3DES ou 3K3DES).
RADIUS (Remote Authentication Dial-In User Service) est un protocole client-serveur permettant de centraliser des données d’authentification.
802.1X est un standard lié à la sécurité des réseaux informatiques. C’est un protocole assurant l’identification par port pour l’accès à un réseau. Il permet de contrôler l’accès aux équipements d’infrastructures réseau et par ce biais, de relayer les informations liées aux dispositifs d’identification.
Les certificats d’authentification serveur sont les cartes d’identités numériques qui servent à identifier de façon sûre le serveur ou les applications auprès d’autres applications tierces.
