Exporter (0) Imprimer
Développer tout

Nouveautés en matière de cartes à puce

Publication: février 2012

Mis à jour: novembre 2012

S'applique à: Windows 8, Windows RT, Windows Server 2012

Ce document aborde les nouvelles fonctionnalités liées aux cartes à puce dans les systèmes d’exploitation Windows Server 2012, Windows 8 et Windows RT.

Les cartes à puce et les codes confidentiels associés constituent une forme d’authentification à deux facteurs, fiable et économique, de plus en plus courante. Avec les contrôles appropriés en place, l’utilisateur doit disposer de la carte à puce et du code confidentiel pour accéder aux ressources réseau. Le fait que ces deux facteurs soient requis réduit de façon significative la probabilité d’accès non autorisé au réseau d’une organisation. Les cartes à puce s’avèrent particulièrement efficaces pour contrôler la sécurité dans les cas suivants :

  • l’authentification dans des scénarios tels que l’accès à distance ;

  • l’intégrité des données, par exemple pour des scénarios de signature de document ;

  • la confidentialité des données pour les scénarios qui exigent un chiffrement.

Leur utilisation dans d’autres scénarios, notamment l’accès sécurisé à des applications à valeur élevée, est susceptible d’augmenter dans la mesure où les organisations déploient une nouvelle génération d’applications sécurisées.

Les modifications suivantes ont été apportées pour prendre en charge les cartes à puce dans Windows Server 2012, Windows 8 et Windows RT :

Les cartes à puce virtuelles émulent les fonctionnalités des cartes à puce traditionnelles, mais elles privilégient le recours au processeur du module de plateforme sécurisée (TPM) disponible sur les ordinateurs de nombreuses organisations plutôt que l’utilisation d’une carte à puce physique et d’un lecteur distincts. Les cartes à puce virtuelles impliquent des différences techniques, fonctionnelles, de sécurité et de coût par rapport aux cartes à puce conventionnelles.

Pour l’utilisateur final, la carte à puce virtuelle est essentiellement une carte à puce qui est toujours disponible sur l’ordinateur. Si un utilisateur doit utiliser plusieurs ordinateurs, une nouvelle carte à puce virtuelle doit être émise pour chaque ordinateur. En outre, un ordinateur partagé entre plusieurs utilisateurs peut héberger plusieurs cartes à puce virtuelles, une pour chaque utilisateur.

Les cartes à puce conventionnelles et les cartes à puce virtuelles TPM offrent des niveaux de sécurité comparables. Les cartes à puce virtuelles TPM peuvent être déployées sans coût matériel supplémentaire si les utilisateurs disposent d’ordinateurs avec un module de plateforme sécurisée intégré. Pour plus d’informations, voir Présentation et évaluation des cartes à puce virtuelles.

Pour les utilisateurs finaux, le processus de connexion dans Windows Server 2012 et Windows 8 améliore la détection et permet de déterminer si un lecteur de cartes à puce est installé et si une carte à puce ou un mot de passe a servi à la dernière connexion ou au dernier déverrouillage du système. Si aucune carte à puce n’a été mise en place au préalable et si l’utilisateur sélectionne l’icône de connexion de la carte à puce, un message apparaît et lui demande d’insérer une carte à puce. Une fois la carte insérée, la boîte de dialogue Code confidentiel de la carte à puce s’affiche. Si l’utilisateur ne souhaite pas passer par l’option de connexion qui s’affiche automatiquement (si sa carte à puce n’est pas encore prête, par exemple), un autre message lui permet de choisir parmi d’autres options de connexion.

Du code pour la détection de carte à puce a été ajouté afin que le service de carte à puce s’exécute uniquement lorsque cela est nécessaire. Dans Windows Server 2012 et Windows 8, le service de carte à puce (scardsvr) démarre automatiquement lorsque l’utilisateur branche un lecteur de carte à puce, et s’interrompt automatiquement lorsque l’utilisateur retire un lecteur et qu’aucun autre n’est branché sur l’ordinateur. Lors du démarrage du système, si un lecteur a été connecté précédemment à l’ordinateur mais qu’aucun lecteur n’est actuellement connecté au système, le service de carte à puce se met automatiquement en route. Si aucun lecteur de carte à puce n’est connecté à l’ordinateur, le service se fermera automatiquement une minute après le dernier appel d’API au service de carte à puce. Si un lecteur n’a jamais été connecté à l’ordinateur auparavant, le service ne démarre pas automatiquement.

Dans Windows Server 2012, Windows 8 et Windows RT, si une transaction est maintenue avec la carte pendant plus de 5 secondes sans aucune opération apparente sur la carte, celle-ci est réinitialisée, ce qui constitue un réel changement par rapport aux versions précédentes.

Pour plus d’informations sur ce comportement, voir Fonction SCardBeginTransaction.

La prise en charge des cartes à puce pour Windows RT inclut les éléments suivants :

  • Lecteurs de cartes à puce

    Seuls les lecteurs de cartes à puce connectés en mode USB et compatibles avec la norme USB CCID (Chip/Smart Card Interface Devices) sont autorisés dans Windows RT. Ces lecteurs de cartes à puce doivent recourir au pilote de classe de lecteur de carte à puce de la norme USB CCID fourni avec Windows RT.

  • Cartes à puce

    Seules les cartes à puce prenant en charge la norme GIDS (Generic Identity Device Specification) ou la norme PIV (Personal Identity Verification) sont prises en charge dans Windows RT. Les pilotes de classes de cartes fondés sur ces normes sont intégrés à Windows.

Windows 8 prend en charge un certain nombre de nouveaux types d’applications de bureau. Les développeurs dont les applications ont besoin de tirer parti de la sécurité offerte par les cartes à puce doivent s’assurer que ces applications répondent aux exigences suivantes. Dans le cas contraire, elles ne peuvent pas utiliser automatiquement de cartes à puce pour la prise en charge de leurs fonctionnalités.

  • Pour utiliser une carte à puce, les applications qui s’exécutent dans AppContainer doivent disposer de la fonctionnalité SharedUserCertificates dans leur manifeste d’application. Sans cette fonctionnalité, l’application ne sera autorisée à utiliser aucune carte à puce à des fins d’authentification, de signature ou de chiffrement. Pour plus d’informations sur cette fonctionnalité et sur les moyens de l’inclure dans le manifeste, voir Définition des fonctionnalités du magasin de certificats.

  • Pour les applications Windows RT, la prise en charge des cartes à puce se limite à l’authentification de client SSL. Pour accéder à un exemple d’application qui illustre l’utilisation de cartes à puce pour l’authentification de client SSL, voir Application bancaire Windows Store : procédure de codage pas à pas.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft