Beaucoup d'entreprises considèrent toujours les cartes à puce comme une technologie
futuriste. C'est peut-être le cas de la vôtre. Pour Windows 2000, en revanche,
elles sont d'ores et déjà une réalité bien actuelle, et bénéficieront donc d'un
support extrêmement intégré.
Cet article présente les cartes à puce, en expliquant leur importance et leur
fonctionnement et comment commencer à les utiliser dans Windows 2000. Nous détaillerons
plus particulièrement la configuration d'une connexion avec la carte à puce GemSAFE
de Gemplus et le lecteur GCR410. Et comme cette technologie n'est pas parfaite
non plus, nous verronségalement un certain nombre de risques qui lui sont inhérents.
Les cartes à puce permettent de créer une infrastructure à clé publique (PKI pour
public key infrastructure), laquelle facilite, à son tour, l'e-commerce. Une PKI
permet d'atteindre un niveau de confiance pour les transactions électroniques,
au moins égal à celui de l'univers du papier et de la signature manuscrite. Une
PKI peut garantir l'intégrité des messages, la confidentialité et le non-reniement.
Vous ne pouvez pas nier avoir envoyé un message, s'il est signé de votre certificat
numérique, puisque votre clé publique vérifie votre signature.
Si une clé publique vérifie avec succès une signature, la seule personne qui a
pu envoyer le message est celle qui détient la clé publique. La pierre angulaire
de la sécurité d'une PKI est que la clé privée associée à un certificat numérique
doit rester privée. Sinon, un hacker peut utiliser une clé privée pour contrefaire
facilement les transactions.
Les cartes à puce permettent de créer une infrastructure à clé publique
(PKI), laquelle facilite, à son tour, l'e-commerce
Commerce électronique : le marché aux puces
Les cartes à puce protègent les clés privées, si cruciales pour la PKI. Sans carte
à puce, les clés privées résident sur le poste de travail local, à la merci des
attaques de hackers et de l’accès physique. Lorsque le certificat est stocké sur
une carte à puce, le processeur intégré à la carte génère directement et en permanence
la clé privée correspondante.
La carte à puce traite toute information devant être chiffrée en se servant de
votre clé privée.Cette procédure pourrait sembler peu pratique quand il s’agit
de chiffrer et d’envoyer par e-mail un fichier de plusieurs mégaoctets.
Comment les ressources relativement lentes d’une carte à puce peuvent-elles réaliser
ce chiffrement ?
Parce que conformément à la stratégie de PKI, ce ne sont pas les données réelles
qui sont chiffrées avec les clés publiques et privées. En fait, le système génère
une clé de session symétrique, beaucoup plus rapide pour chiffrer le fichier,
puis envoie cette clé et le fichier, que la carte à puce chiffre d’abord avec
la clé privée. Le destinataire déchiffre la clé de session avec la clé publique
de votre certificat, puis les données.
De cette manière, seule une infime quantité de données passe par la carte à puce.Les
cartes à puce permettent aussi d’emmener sa clé privée avec soi. Si vous vous
déplacez d’un poste de travail à l’autre sans carte à puce, vous risquez de ne
pas avoir accès à votre certificat selon le logiciel de PKI que vous utilisez.
En revanche avec une carte à puce vous pouvez aller sur n’importe quel système
possédant un lecteur de carte et vous connecter, engager des transactions, signer
et chiffrer le courrier électronique, etc. Finalement, lorsqu’il existera des
PKI vraiment publiques, vous pourrez effectuer les mêmes actions dans les kiosques
Internet d’un aéroport. En limitant la clé privée à une carte à puce, vous évitez
beaucoup de risques.
Dans l’article » Protégez vos mots de passe » d’octobre 1998, j’ai décrit les
nombreuses façons de voler les mots de passe NT qui sont stockés sur le système
local. Comme les hackers commencent à s’intéresser à la PKI eux aussi, je prévois
des incidents similaires avec des vols de clés privées stockées localement.
Les cartes à puce réduisent aussi les risques des mots de passe. Les utilisateurs
négligent souvent de créer des mots de passe de qualité ; c’est pourquoi les pirates
peuvent facilement les deviner. Les mots de passe sont également vulnérables aux
programmes d’espionnage du réseau et d’intrusion. Les cartes à puce assurent une
authentification beaucoup plus forte : l’utilisateur doit avoir la carte à puce
physiquement et doit connaître le code PIN (personal identification number) de
celle-ci. Même lorsqu’un utilisateur égare sa carte à puce, un hacker n’a que
peu de chances de deviner le code PIN avant que la carte ne se verrouille définitivement
elle-même.
Dès que l’utilisateur signale la perte de la carte, le logiciel de PKI peut révoquer
le certificat et l’invalider même si l’intrus découvre le PIN.Les cartes à puce
sont infraudables – on ne peut pas les ouvrir et extraire physiquement la clé
privée, ni les copier comme leurs prédécesseurs à bande magnétique.
De plus nous y sommes familiarisés : nous sommes habitués à nous servir et à manipuler
soigneusement les cartes de crédit et de retrait, et à utiliser un code PIN. Leur
acceptation par les utilisateurs est cruciale pour permettre d’avoir une PKI universelle.
(Pour en savoir plus sur les avantages – et inconvénients – des cartes à puce,
voir l’encadré » Les » smart cards » sont-elles intelligentes ? « )Windows NT n’offre
pas nativement le support des cartes à puce, mais vous pouvez l’ajouter avec des
produits comme GemSAFE et sécuriser ainsi la messagerie électronique et la navigation
sur le Web.
De plus les applications supportant les standards PKI peuvent alors utiliser les
cartes à puce pour le chiffrement ou les signatures numériques.
Par exemple, Microsoft Office 2000 permet de signer numériquement les macros de
Word et Adobe Acrobat 4.0 supporte les signatures numériques. Windows 2000 supporte
la PKI et les cartes à puce au niveau de l’OS et des répertoires, facilitant ainsi
son utilisation universelle dans tout le système.
Il permet d’utiliser les cartes à puce pour ouvrir une session, chiffrer le courrier
électronique et les fichiers sur disque, accéder au Web et plus encore.
Téléchargez cette ressource
Reporting Microsoft 365 & Exchange
Comment bénéficier d’une vision unifiée de vos messageries, protéger vos données sensibles, vous conformer aisément aux contraintes réglementaires et réduire votre empreinte carbone ? Testez la solution de reporting complet de l’utilisation de Microsoft 365 et Exchange en mode Cloud ou on-premise.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Les incidents technologiques sont des signaux d’alarme pour la résilience des infrastructures
- Le spatial dans le viseur des cyberattaquants
- Connaître son client : exploiter les API des réseaux pour offrir des services personnalisés et sur mesure
- Architecte cloud : applications de chatbot & Azure OpenAI Service
- Le LLMjacking : quand les cyberattaques utilisent illicitement des comptes LLM