Guide de planification de la sécurisation des accès par carte à puce

  • Article

Chapitre 2 : Technologies des cartes à puce

Paru le 30 juin 2005 | Dernière mise à jour le 07 mai 2007

Le stockage de données en réseau est devenu un enjeu essentiel pour l'ensemble des entreprises. Ces dernières sont souvent obligées de connecter des réseaux contenant des données sensibles et propriétaires à Internet pour faciliter la communication et générer des profits. Cette volonté constante de développer la connectivité augmente la vulnérabilité des entreprises, car la majorité d'entre elles utilise des noms d'utilisateurs et des mots de passe pour s'authentifier et autoriser l'accès à leurs ressources en réseau.

Le chapitre 1, « Introduction », a souligné le principal problème de sécurité lié à la combinaison nom d'utilisateur/mot de passe. Les noms d'utilisateurs n'étant pas confidentiels, seuls les mots de passe qui leur sont associés protègent efficacement contre un pirate qui essaierait d'emprunter l'identité d'un utilisateur valide. La prise de conscience de la vulnérabilité des informations d'identification (nom d'utilisateur et mot de passe) a redoublé l'intérêt des entreprises pour les systèmes d'authentification à deux facteurs.

Sur cette page

Authentification à deux facteurs
Conditions préalables à la mise en œuvre
Scénario de la Woodgrove National Bank
Résumé

Authentification à deux facteurs

Celle-ci va au-delà de la simple combinaison de nom d'utilisateur et de mot de passe ; en effet, elle exige que l'utilisateur possède un jeton spécial associé à un code PIN. Il existe plusieurs façons de mettre en œuvre un système d'authentification à deux facteurs et d'autres apparaîtront certainement dans le futur.

Jetons matériels

Les jetons matériels constituent une méthode d'authentification à deux facteurs selon laquelle les utilisateurs doivent disposer d'un élément physique comme un porte-clés ou un authentificateur de type carte de crédit. Ce matériel fournit un code d'authentification à usage unique qui change généralement toutes les 60 secondes. À ce code, les utilisateurs doivent faire correspondre un code PIN confidentiel afin de s'identifier de façon unique et d'obtenir un accès autorisé.

Les jetons matériels offrent la plupart des avantages liés aux cartes à puce, mais peuvent impliquer un processus de planification et de déploiement plus complexe. Microsoft® Windows Server™ 2003 et Windows® XP n'offrent pas de prise en charge intégrée des jetons matériels.

Cartes à puce

Les cartes à puce sont des objets en plastique de la taille d'une carte de crédit. Elles contiennent un micro-circuit et une petite quantité de mémoire permettant le stockage sécurisé de clés privées et de certificats de sécurité X.509. Les cartes à puce disposent généralement de 32 ou 64 Ko de mémoire morte EEPROM (Electrically Erasable Programmable Read Only Memory) et ROM (Read Only Memory), et de seulement 1 Ko de mémoire vive (RAM). La ROM contient le système d'exploitation de la carte à puce, ainsi que l'EEPROM qui contient les structures de répertoires et de fichiers, l'applet de gestion des codes PIN et le certificat d'authentification. La RAM constitue une mémoire de travail pour les opérations effectuées avec la carte, telles que le chiffrement et le déchiffrement.

Pour s'authentifier sur un ordinateur ou pour se connecter à distance, l'utilisateur insère la carte à puce dans le lecteur approprié et entre le code PIN. L'utilisateur ne peut pas obtenir d'accès avec le code PIN seul ou la carte à puce seule. Les attaques en force sur les codes PIN des cartes à puce sont impossibles, car la carte à puce se verrouille après plusieurs tentatives infructueuses de saisie du code PIN. Les codes PIN ne dépassant généralement pas huit caractères, ils sont plus faciles à retenir que de longs mots de passe choisis de façon aléatoire. Les cartes à puce constituent le mécanisme d'authentification à deux facteurs recommandé par Microsoft.

Remarque : les codes PIN des cartes à puce ne sont pas nécessairement numériques. Les kits de développement des fournisseurs de cartes à puce vous permettent de spécifier le nombre souhaité de caractères alphabétiques, numériques, majuscules, minuscules ou non-alphanumériques.

Microsoft déploie des cartes à puce pour les administrateurs de domaine ou pour l'accès distant à des ressources réseau et recommande cette pratique dans le cadre de l'initiative de renforcement des défenses. Les services de conseil Microsoft, le Support Premier, les services de support client, les partenaires Microsoft et d'autres fournisseurs de solutions encouragent les entreprises à utiliser des cartes à puce pour sécuriser l'accès au réseau.

La liste ci-dessous décrit les étapes nécessaires à la mise en œuvre d'une solution de carte à puce pour les administrateurs réseau :

  • Sur les serveurs cible, activez la prise en charge d'ouvertures de session de bureau interactives, secondaires et distantes à l'aide de comptes accessibles par carte à puce.

  • Identifiez les administrateurs devant utiliser un compte de type administrateur de domaine accessible par carte à puce.

  • Déployez les lecteurs de cartes à puce.

  • Développez un processus sécurisé permettant de distribuer les cartes à puce et d'inscrire les administrateurs.

La liste ci-dessous décrit le processus nécessaire à l'intégration d'une solution de carte à puce pour l'accès distant :

  • Mettez à niveau les serveurs d'accès distant afin qu'ils puissent prendre en charge l'authentification par carte à puce.

  • Identifiez les utilisateurs devant utiliser des cartes à puce pour un accès distant.

  • Déployez les lecteurs de cartes à puce.

  • Distribuez les cartes à puce aux administrateurs appropriés et inscrivez les utilisateurs distants.

Conditions préalables à la mise en œuvre

Le déploiement de cartes à puce nécessite une approche planifiée pour s'assurer que les entreprises prennent en compte l'ensemble des problèmes avant le début de la phase de mise en œuvre. Cette section traite des conditions préalables les plus courantes, sachant que votre environnement peut exiger des conditions supplémentaires.

Identification des comptes

L'identification des utilisateurs et des groupes nécessitant un accès par carte à puce constitue une phase importante du déploiement des cartes à puce.

Remarque : les entreprises disposant du budget et des conditions de sécurité nécessaires pour mettre en œuvre un accès par carte à puce pour l'ensemble de leurs utilisateurs peuvent passer directement à la prochaine étape.

Parmi les groupes et les utilisateurs ayant besoin de cartes à puce peuvent figurer :

  • les administrateurs de domaine pour tous les domaines de la forêt ;

  • les administrateurs du schéma ;

  • Administrateurs de l’entreprise

  • les administrateurs de bases de données ;

  • les administrateurs des ressources humaines ;

  • les utilisateurs disposant d'un accès distant ;

  • les utilisateurs disposant d'un accès utilisateur ou administratif à des ressources sensibles, telles que des données comptables ou financières.

Une entreprise peut également demander un accès par carte à puce pour des utilisateurs et des groupes ne figurant pas dans la liste ci-dessus, par exemple le personnel du conseil d'administration. L'identification de ces comptes dès le début du processus permet de définir la portée du projet et de contrôler les dépenses.

Pour identifier les comptes critiques, vous devez définir dans quel cas utiliser les cartes à puce. Par exemple, la bonne pratique de sécurité recommande d'attribuer deux comptes d'utilisateurs aux administrateurs : un compte standard pour les tâches quotidiennes telles que l'envoi et la réception de courrier électronique et un compte d'administrateur pour la maintenance du serveur et les autres tâches administratives. En général, l'administrateur ouvre une session à l'aide de son compte d'administrateur et utilise le service d'ouverture de session secondaire pour effectuer des tâches administratives. L'administrateur peut également utiliser le composant Bureau à distance pour administration de Windows Server 2003 prenant en charge l'ouverture d'une session par carte à puce. Pour plus d'informations sur les comptes d'administrateurs, reportez-vous à la section Identification des groupes et comptes d'administrateurs du chapitre 3 : « Utilisation de cartes à puce pour sécuriser les comptes d'administrateurs ».

Prise en charge de l'infrastructure des cartes à puce

Les cartes à puce nécessitent une infrastructure appropriée prise en charge par le système d'exploitation et les composants du réseau. Microsoft prend en charge la mise en œuvre des cartes à puce utilisant les composants suivants :

  • Services de certificats Microsoft ou Infrastructure à clé publique (PKI) externe

  • Modèles de certificats

  • Windows Server 2003

  • Service d'annuaire Active Directory®

    • Groupes de sécurité

    • Stratégie de groupe

    • Stations et agents d'inscription

    • Serveur Web d'activation

  • EAP – TLS (Extensible Authentication Protocol – Transport Layer Security) (nécessaire uniquement pour les solutions d'accès distant)

D'autres composants comprennent des stations et des agents d'inscription.

Infrastructure à clé publique

Les cartes à puce nécessitent une infrastructure PKI pour fournir des certificats contenant des paires de clés publiques/clés privées permettant le mappage des comptes dans Active Directory. Vous pouvez implémenter cette infrastructure de deux façons différentes : mettez en service l'infrastructure des certificats internes pour une organisation externe ou utilisez les services de certificats dans Windows Server 2003. Les entreprises peuvent sous-traiter tout ou partie du processus de gestion des certificats des cartes à puce.

Les entreprises financières peuvent en tirer des avantages si elles relient leur infrastructure PKI à une racine externe approuvée pour la vérification des messages électroniques et la sécurisation des transactions réalisées avec des entreprises partenaires. Une autre approche consiste à utiliser les services de certificats inclus dans Windows Server 2003 pour habiliter l'infrastructure PKI.

Pour plus d'informations sur les services de certificats dans Windows Server 2003, reportez-vous au site Web Public Key Infrastructure for Windows Server 2003 (Infrastructure à clé publique pour Windows Server 2003) à l'adresse suivante : www.microsoft.com/windowsserver2003/technologies/pki/default.mspx

L'infrastructure de clés publiques doit comprendre un mécanisme chargé de gérer la révocation des certificats. La révocation intervient lorsqu'un certificat arrive à expiration ou a pu être compromis par un attaquant. Chaque certificat mentionne l'emplacement de sa liste de révocation de certificats (CRL). Pour plus d'informations sur la manière de gérer la révocation des certificats, reportez-vous à la rubrique Manage Certificate Revocation (Gérer la révocation de certificat) à l'adresse suivante : technet2.microsoft.com/windowsserver/fr/library/92a5e655-3eb2-4843-b9cb-58c84c0a91d61036.mspx

Modèles de certificats

Windows Server 2003 propose des modèles de certificats permettant de délivrer des certificats numériques destinés à l'utilisation des cartes à puce. Vous pouvez copier et personnaliser ces certificats afin de les adapter aux besoins de votre entreprise. Ces modèles de certificats sont les suivants :

  • Agent d'inscription. Permet à un utilisateur autorisé de faire une demande de certificats pour d'autres utilisateurs.

  • Utilisateur de carte à puce. Permet à un utilisateur d'ouvrir une session à l'aide d'une carte à puce et de signer un courrier électronique. Fournit également une authentification client.

  • Ouverture de session par carte à puce. Permet à un utilisateur d'ouvrir une session à l'aide d'une carte à puce et de fournir une authentification client, mais ne permet pas de signer un courrier électronique.

Windows Server 2003 Édition Professionnelle dispense des modèles de version 2 (v2) qu'il est possible de modifier et d'étendre afin de disposer de plusieurs fonctionnalités telles que l'ouverture de session, la signature de messages électroniques et le chiffrement de fichiers. Vous pouvez également étendre les modèles de certificats pour fournir des informations supplémentaires dont votre entreprise a besoin, telles que des informations médicales ou des droits d'accès à la retraite. Windows Server  2003 Édition Professionnelle prend en charge l'inscription automatique, ce qui facilite la gestion des cartes à puce dans une organisation de grande taille. La demande de renouvellement des certificats peut être signée à l'aide du certificat en cours de validité.

Remarque : Microsoft recommande fortement de passer de l'infrastructure PKI Windows Server 2003 actuelle à la PKI Windows Server 2003 Service Pack 1 (SP1) pour bénéficier des fonctions de sécurité améliorées.

Pour plus d'informations concernant les modèles de certificats, reportez-vous à la rubrique Modèles de certificats à l'adresse suivante : technet2.microsoft.com/windowsserver/en/library/c25f57b0-5459-4c17-bb3f-2f657bd23f781033.mspx.

Windows Server 2003

Microsoft Windows 2000 Server prend en charge les cartes à puce permettant uniquement l'accès distant et l'authentification de l'administrateur pour se connecter à la console. Pour mettre en œuvre des cartes à puce destinées aux administrateurs, les serveurs gérés doivent fonctionner avec Windows Server 2003, qui prend en charge les actions secondaires telles que l'ouverture de session par carte à puce via des connexions RDP (Remote Desktop Protocol). Les conditions requises concernant le système d'exploitation s'appliquent également aux contrôleurs de domaine. Pour plus d'informations sur les conditions requises, reportez-vous au chapitre 3 : « Utilisation de cartes à puce pour sécuriser les comptes d'administrateurs ».

Active Directory

Active Directory est un composant essentiel de la mise en œuvre des déploiements des cartes à puce. Active Directory dans Windows Server 2003 contient une prise en charge intégrée permettant la mise en place de l'ouverture de session interactive par carte à puce et la possibilité de mapper les comptes à des certificats. Cette fonction de mappage de comptes d'utilisateurs sur des certificats lie la clé privée de la carte à puce au certificat stocké dans Active Directory. La présentation des informations d'identification d'une carte à puce à l'ouverture de la session exige d'Active Directory de retrouver le compte d'utilisateur correspondant à cette carte spécifique. Pour plus d'informations sur le mappage des certificats, reportez-vous à la rubrique Map Certificates to User Accounts (Mappage de certificats aux comptes d'utilisateurs) à l'adresse suivante : technet2.microsoft.com/windowsserver/fr/library/0602148e-1a8f-4957-bb01-6fd342aba7161036.mspx.

Active Directory prend également en charge les groupes de sécurité et les stratégies de groupe pour faciliter la gestion du processus d'ouverture de session par carte à puce et l'émission de cartes à puce.

Groupes de sécurité

L'utilisation de groupes de sécurité dans Active Directory pour organiser les utilisateurs facilite considérablement le processus de déploiement et de gestion des cartes à puce. Par exemple, un déploiement de cartes à puce type peut nécessiter la création des groupes de sécurité suivants :

  • Groupe d'agents d'inscription des cartes à puce. Ceux-ci sont chargés de distribuer les cartes à puce aux utilisateurs. La prochaine section aborde les agents d'inscription en détail.

  • Groupe intermédiaire des utilisateurs de cartes à puce. Le groupe intermédiaire des utilisateurs de cartes à puce englobe l'ensemble des utilisateurs autorisés à recevoir des cartes à puce, mais pour qui l'agent d'inscription n'a pas encore inscrit, ni activé les cartes.

  • Groupe d'utilisateurs de cartes à puce. Ce groupe intègre l'ensemble des utilisateurs dont le processus d'inscription est terminé et dont la carte à puce est activée. C'est l'agent d'inscription qui déplace les utilisateurs du groupe des utilisateurs de cartes à puce non inscrits vers le groupe des utilisateurs de cartes à puce.

Pour plus d'informations sur la création de groupes, reportez-vous à la rubrique Checklist: Creating a Group (Liste de vérification : création d'un groupe) à l'adresse suivante : technet2.microsoft.com/windowsserver/fr/library/4fc5b998-51f5-4bc5-863d-0ab0c60742851036.mspx.

Stratégie de groupe

La stratégie de groupe vous permet d'appliquer des paramètres de configuration à plusieurs ordinateurs. Vous pouvez définir la configuration requise pour l'utilisation des cartes à puce dans le cadre d'une ouverture de session interactive dans un objet de stratégie de groupe (GPO), puis appliquer cet objet de stratégie de groupe à des unités d'organisation ou des sites dans Active Directory. Pour plus d'informations sur l'utilisation de la stratégie de groupe, reportez-vous au chapitre 3 : « Utilisation de cartes à puce pour sécuriser les comptes d'administrateurs ».

Stations et agents d'inscription

Une entreprise peut utiliser une interface Web pour délivrer des cartes à puces ou inscrire des utilisateurs de cartes à puce, dans laquelle les utilisateurs doivent entrer leurs informations d'identification pour obtenir leur carte à puce. Cependant, ce mécanisme réduit le niveau de sécurité des cartes à puce au même niveau que celui des informations d'identification entrées dans l'interface Web. Il est préférable de créer des stations d'inscription et de désigner un ou plusieurs administrateurs comme agents d'inscription.

Remarque : les entreprises peuvent utiliser une interface MMC (Microsoft Management Console) ou développer leurs propres applications d'activation.

Une station d'inscription se compose généralement d'un ordinateur équipé de deux lecteurs de cartes à puce. L'un des lecteurs permet à l'agent d'inscription d'ouvrir une session à son nom et l'autre permet de délivrer de nouvelles cartes à puce à des utilisateurs. Les stations d'inscription nécessitent un certificat d'inscription et doivent être autorisées à accéder aux modèles de certificats. La station d'inscription comporte un paramètre de stratégie de groupe qui force la fermeture de session dès que l'agent d'inscription retire sa carte à puce.

Un administrateur désigné comme agent d'inscription utilise sa carte à puce pour ouvrir une session sur la station d'inscription. Il ouvre ensuite la page Web des services de certificats, vérifie l'identité de l'utilisateur, inscrit ce dernier et délivre la carte à puce correspondante.

Les entreprises doivent réfléchir attentivement au nombre de stations d'inscriptions nécessaires, ainsi qu'à leur emplacement. L'entreprise peut éventuellement placer une station d'inscription au sein des bureaux du service de sécurité à proximité des installations qui délivrent des droits d'accès aux locaux ou au site, ainsi que d'autres laissez-passer de sécurité. Pour faciliter le développement initial au sein d'une grande entreprise, les équipes d'agents d'inscription peuvent utiliser des ordinateurs portables en guise de stations d'inscription mobiles dans les bureaux des filiales.

Remarque : afin de réduire la complexité de la gestion et de contrôler l'inscription des cartes à puce, il est vivement recommandé de limiter le nombre d'agents et de stations d'inscription au nombre minimum nécessaire au déploiement.

Serveur Web d'activation

Un serveur Web d'activation est un composant personnalisé qui permet aux utilisateurs d'activer leurs nouvelles cartes à puce par réinitialisation du code PIN. Certains kits de développement de logiciel des fournisseurs contiennent des outils d'aide à la construction d'un serveur Web d'activation. Microsoft ne fournit aucun composant de serveur d'activation.

Pour réinitialiser le code PIN, l'utilisateur exécute l'utilitaire d'un fournisseur de services cryptographiques (CSP) qui génère une chaîne de demande d'accès hexadécimale à partir de la carte à puce. L'utilisateur entre cette chaîne de demande d'accès dans un champ de la page Web et le serveur Web d'activation génère une réponse. L'utilisateur saisit la réponse dans le champ réponse de l'utilitaire, qui autorise alors l'utilisateur à définir le code PIN de la carte à puce.

Le serveur d'activation Web peut également faire partie du processus de gestion. Les agents de support technique peuvent utiliser ce processus pour débloquer les cartes lorsque l'utilisateur a dépassé le nombre de saisies autorisées d'un code PIN erroné. Dans ce cas, l'utilisateur lit la demande d'accès à l'agent de support technique qui répond à l'aide de la réponse.

EAP-TLS

Les environnements sécurisés à l'aide de certificats utilisent EAP-TLS (EAP-Transport Level Security) pour bénéficier de la méthode d'authentification et de détermination de clés la plus efficace. EAP-TLS fournit une authentification mutuelle, une négociation de la méthode de chiffrement et une détermination de clés chiffrées entre le client et l'authentificateur. RFC 2284 contient une description détaillée d'EAP.

Évaluation des cartes à puce

Lors de l'évaluation des cartes à puce, commencez par vérifier que le modèle que vous avez choisi prend en charge la longueur de clé prévue. Windows Server 2003 prend en charge des longueurs de clés de certificats allant de 384 bits (niveau de sécurité faible) à 16 384 bits (niveau de sécurité maximal).

Plus la clé du certificat est longue, plus le niveau de sécurité est élevé. Cependant, une longueur de clé importante ralentit considérablement l'ouverture d'une session à l'aide d'une carte à puce. La présence d'une mémoire limitée dans les cartes à puce restreint également la longueur de clé maximale que vous pouvez utiliser.

Une longueur de clé de certificat de 1 024 bits suffit pour sécuriser les comptes d'administrateurs ou l'accès distant. Le certificat d'une clé de 1 024 bits occupe environ 2,5 Ko d'espace mémoire dans la carte à puce. Le reste de l'espace mémoire nécessaire contient le système d'exploitation (16 Ko), les applications du fournisseur de la carte à puce, telles que le CSP (8 Ko) et la structure de répertoires et de dossiers de la carte à puce (4 Ko). Par conséquent, les cartes à puce disposant de moins de 32 Ko de mémoire ne conviennent généralement pas au stockage de certificats d'ouverture de session et à la mise à disposition des fonctions nécessaires à l'extension d'une solution de carte à puce.

Vous devez ensuite vérifier si la carte dispose d'une prise en charge intégrée de Windows Server 2003 et Windows XP. Avant d'acheter des cartes à puce, faites part de vos besoins au fournisseur.

Remarque : vous devez vous procurer les cartes à puce directement chez leurs fournisseurs respectifs. Les cartes à puce ne sont pas disponibles auprès de Microsoft.

Bien que Windows XP et la famille Windows Server 2003 contiennent une prise en charge intégrée des cartes à puce, les autres cartes à puce cryptographiques RSA fonctionnent également bien avec ces systèmes d'exploitation. Pour ces cartes dont la prise en charge n'est pas incluse à l'origine dans Windows, le fournisseur de cartes doit mettre en œuvre un CSP pour la carte qui utilise l'interface CryptoAPI.

Pour plus d'informations sur l'évaluation des cartes à puce, reportez-vous à la rubrique Evaluating Smart Cards and Readers (Évaluation des cartes à puce et des lecteurs de cartes à puce) à l'adresse suivante : http://technet2.microsoft.com/windowsserver/en/library/0eae38ec-d6e5-4ca7-96a3-42f2fd6c6e741033.mspx.

Gestion des codes PIN

Un utilisateur peut modifier le code PIN d'une carte à puce à tout moment en utilisant l'utilitaire permettant au CSP d'afficher la boîte de dialogue du code PIN de la clé privée. L'utilisateur entre alors son ancien code PIN, puis le nouveau code PIN à deux reprises. Dans la mesure où les utilisateurs retiennent plus facilement un code PIN qu'ils ont choisi, des outils doivent être mis à leur disposition pour leur permettre de modifier le leur.

Remarque : il peut être utile de rappeler aux utilisateurs de ne pas définir des codes PIN trop faciles à deviner. Par exemple, leur date de naissance, leur plaque d'immatriculation ou leur numéro de téléphone sont à éviter.

L'utilisateur est responsable de la gestion de son code PIN grâce aux dispositifs fournis par le CSP. Windows XP et la famille de systèmes d'exploitation Windows Server 2003 ne gèrent pas les codes PIN. Pour obtenir des outils de gestion des codes PIN et les instructions correspondantes, contactez votre fournisseur de cartes à puce.

La plupart des fournisseurs de cartes à puce proposent des cartes à puce s'intégrant directement sous Windows 2000 (ou une version ultérieure) et n'impliquant aucun élément de personnalisation ou de développement supplémentaire. Les fabricants fournissent ces cartes à puce avec un code PIN prédéfini, mais vous pouvez définir des contraintes pour la carte, telles que l'obligation de redéfinir un code PIN à l'inscription. Cependant, un grand nombre d'entreprises ne trouvent pas ce mécanisme acceptable.

Pour créer un code PIN plus complexe et plus sûr, utilisez les outils de gestion de codes PIN pour exiger des utilisateurs qu'ils choisissent un code PIN comprenant entre cinq et huit caractères. Assurez-vous que le fabricant de la carte à puce que vous avez sélectionnée prend en charge les codes PIN de huit caractères ou moins.

Kits de développement logiciel des cartes à puce

Microsoft ne fournit pas de solution standard pour le déploiement de cartes à puce. Il se peut que vous ayez à effectuer des opérations de personnalisation supplémentaires si votre environnement le nécessite.

Les fournisseurs de cartes à puce proposent des kits de développement logiciel et des outils de personnalisation permettant aux entreprises de personnaliser le déploiement de leurs cartes à puce. Par exemple, les développeurs peuvent utiliser un kit de développement logiciel pour délivrer des cartes à puce en attente d'activation. Lorsque l'agent d'inscription délivre la carte, l'utilisateur active la carte et modifie le code PIN. Si vous souhaitez profiter du niveau de sécurité supérieur fourni par cette méthode, vous devez vous préparer à investir dans des éléments de personnalisation et de développement supplémentaires.

Évaluation des lecteurs de cartes à puce

Pour sélectionner un lecteur de cartes à puce adapté, vous devez d'abord choisir celui qui correspond le mieux aux besoins de votre activité. Par exemple, une station de travail moderne installée sous le bureau d'un administrateur dispose normalement d'au moins deux prises USB. Un lecteur de carte USB constituera donc probablement le meilleur choix. L'utilisateur peut relier le lecteur de cartes à puce à côté de son moniteur ou le placer à un autre endroit plus pratique. Les utilisateurs se connectant à distance à partir de leurs ordinateurs portables préfèrent généralement un lecteur de cartes à puce ayant le format d'une carte PC.

Les claviers peuvent comporter des lecteurs de cartes à puce fonctionnant également via une interface USB. Ces claviers peuvent parfaitement être utilisés avec un seul ordinateur et sont susceptibles de fonctionner avec plusieurs ordinateurs dans des racks de serveur à l'aide de commutateurs KVM (Keyboard Video Mouse) équipés d'une prise USB. Adressez-vous au fabricant du commutateur KVM que vous avez choisi pour savoir s'il prend en charge l'authentification des cartes à puce pour plusieurs serveurs.

Windows XP et la famille Windows Server 2003 prennent en charge les lecteurs de cartes à puce répertoriés dans le tableau ci-dessous. Windows installe les pilotes appropriés une fois le lecteur de cartes à puce Plug-and-Play détecté.

Remarque : Microsoft vous recommande fortement d'utiliser des lecteurs de cartes à puce ayant obtenu le logo de compatibilité avec Windows.

Tableau 2.1 : Lecteurs de cartes à puce pris en charge par Windows Server 2003

Marque

Modèle

Interface

American Express

GCR435

USB

Bull

SmarTLP3

Série

Compaq

Serial reader

Série

Gemplus

GCR410P

Série

Gemplus

GPR400

PCMCIA

Gemplus

GemPC430

USB

Hewlett Packard

ProtectTools

Série

Litronic

220P

Série

Schlumberger

Reflex 20

PCMCIA

Schlumberger

Reflex 72

Série

Schlumberger

Reflex Lite

Série

SConnection Manager Microsystems

SCR111

Série

SConnection Manager Microsystems

SCR200

Série

SConnection Manager Microsystems

SCR120

PCMCIA

SConnection Manager Microsystems

SCR300

USB

Systemneeds

Externe

Série

Omnikey AG

2010

Série

Omnikey AG

2020

USB

Omnikey AG

4000

PCMCIA

Remarque : les lecteurs de cartes à puce à interface série nécessitent le redémarrage de l'ordinateur après installation. Cette contrainte peut être problématique pour les mises en œuvre de serveurs.

Microsoft ne prend pas en charge ni ne recommande l'utilisation de lecteurs de cartes à puce qui ne soient pas Plug-and-Play. Si vous utilisez un lecteur de ce type, vous devez vous adresser directement au fabricant du lecteur de cartes à puce pour obtenir les instructions d'installation (y compris les pilotes des périphériques associés).

Scénario de la Woodgrove National Bank

Les chapitres suivants s'appuient sur le scénario de la Woodgrove National Bank. La Woodgrove National Bank est une banque d'investissement mondiale fictive au service d'instituts, d'entreprises, du gouvernement et de particuliers dans son rôle d'intermédiaire financier. Ses activités incluent les hypothèques, les ventes et le commerce, les services de conseil financier, la recherche de placements, le capital de risque et les services de courtage pour les institutions financières.

La Woodgrove National Bank emploie plus de 15 000 personnes, dans plus de 60 bureaux répartis dans le monde entier. Elle possède des sièges sociaux (sites satellites) qui comptent un grand nombre d'employés, à New York (5 000 personnes), à Londres (5 200 personnes) et à Tokyo (500 personnes). Chaque site satellite prend en charge plusieurs bureaux.

La Woodgrove National Bank est dotée d'un environnement serveur mixte sous Windows et UNIX, mais son infrastructure est exécutée sur une dorsale Windows Server. Elle compte au total 1 712 serveurs Windows. La plupart d'entre eux exécutent Windows Server 2003. Une centaine de ces serveurs sont directement connectés à Internet. L'entreprise comprend également 18 000 stations de travail et 2 000 ordinateurs portables. L'entreprise a amorcé un processus qui jette les bases d'une généralisation de l'utilisation de Windows XP Professionnel avec SP2 et de Windows Server 2003 avec SP1.

La majorité des serveurs sont situés dans les trois sièges sociaux de l'entreprise. L'entreprise a réparti les stations de travail et les ordinateurs portables dans tous ses bureaux. Les ordinateurs portables se déplacent souvent d'un pays ou d'une région à un(e) autre. La Woodgrove National Bank utilise Microsoft Systems Management Server 2003 pour gérer les ordinateurs de bureau et les ordinateurs portables et Microsoft Operations Manager (MOM) 2005 pour gérer les serveurs.

La Woodgrove National Bank doit respecter le cadre réglementaire financier en vigueur pour chaque pays/région où elle exerce son activité. Elle doit également se conformer à toutes les législations applicables en matière de protection des données et montrer une sécurité opérationnelle efficace.

Le reste de cette documentation décrit les choix de conception disponibles pour la Woodgrove National Bank lors de la planification du déploiement de leurs cartes à puce.

Résumé

Ce chapitre décrit les éléments courants à prendre en compte lors de la planification de solutions d'authentification par carte à puce. Parmi les conditions requises figurent notamment la PKI et Active Directory. Il décrit la nécessité d'une évaluation des cartes à puce et des lecteurs de cartes à puce, aborde les problèmes de mémoire des cartes à puce, de longueur de clé et de gestion des codes PIN. Les chapitres suivants sont consacrés aux aspects uniques liés à l'utilisation de cartes à puce pour protéger les comptes d'administrateurs et l'accès à un réseau distant.

Télécharger

Obtenez le Guide de planification de la sécurisation des accès par carte à puce

Notifications de mise à jour

Abonnez-vous aux mises à jour et aux nouvelles versions

Commentaires

Envoyez-nous vos commentaires et vos suggestions.