GUIDE : Bien choisir son architecture pour le contrôle d'accès physique
Dans son guide sur la « Sécurité des technologies sans contact pour le contrôle d’accès », l’ANSII (Agence Nationale de Sécurité des Systèmes d’Information) préconise deux types d’architecture.
ARCHITECTURES ANSSI 1 ET ANSSI 2
Le choix d’une architecture avec têtes de lecture passives (qui se contentent simplement de transférer les messages) permet de s’affranchir des problématiques de sécurité des liaisons filaires entre les têtes de lecture et les UTL, dans la mesure où le badge est sécurisé. Dans le cas contraire, les informations circulant dans les liaisons filaires extérieures doivent être protégées en confidentialité et en intégrité. Il existe différents types d’architectures, faisant intervenir les trois éléments supports principaux : le badge, la tête de lecture, et l’unité de traitement local (UTL). Ces éléments interviennent à différents niveaux et avec des mécanismes de sécurité variables.
Architecture n°1, hautement recommandée Tête de lecture transparente, authentification de bout en bout ; Le badge, sécurisé, s’identifie et s’authentifie directement à l’UTL par l’intermédiaire de la tête de lecture qui transmet les messages sans les modifier, et ne participe pas au protocole cryptographique (tête de lecture dite « transparente »). Avantages : le badge, sécurisé, ne peut pas être cloné ; aucune information ne circule en clair, que ce soit sur le canal sans fil ou sur la liaison filaire ; la tête de lecture ne contient aucun élément secret : il n’y donc aucun impact en cas d’exploitation d’une vulnérabilité de cette dernière. Inconvénient : l’UTL doit avoir la capacité d’effectuer le protocole d’authentification. Cette architecture est hautement recommandée, bien qu’elle reporte le risque d’exploitation d’une vulnérabilité de la tête de lecture sur l’UTL. Les mesures de protection concernant l’UTL devront donc requérir une attention toute particulière, notamment pour la protection des clefs cryptographiques (voir Chapitre 4.1.3 : « Unités de traitement local »). Idéalement certifié Critères Communs au niveau EAL4+.
Architecture n°2, acceptable Tête de lecture intelligente, double authentification en coupure Le badge, sécurisé, s’identifie et s’authentifie à la tête de lecture. Cette dernière a également une liaison sécurisée (avec authentification et garantie de l’intégrité) avec l’UTL. Elle envoie l’identité récoltée à l’UTL. Avantages : le badge, sécurisé, ne peut pas être cloné ; la liaison filaire est protégée. Inconvénients : la tête de lecture, située hors de la zone de sécurité, renferme à la fois les secrets permettant l’authentification de la carte et les secrets permettant de protéger la liaison filaire ; le badge est authentifié indirectement par l’UTL. La tête de lecture est un intermédiaire dont le bon fonctionnement est crucial pour la sécurité du système. Cette architecture est acceptable si la tête de lecture a fait l’objet d’une étude de sécurité approfondie.
