Sécurité d’accès : la carte davantage universelle que les solutions logicielles
La carte à puce peut contenir des mots de passe, mais elle peut également en générer. On peut l’utiliser au sein de systèmes de sécurisation d’accès aux PC, aux applicatifs, mais aussi aux locaux.
Un lecteur de cartes à puce connecté au poste de travail, et c’est la fin des mots de passe impossibles à retenir, égarés, ou même volés. Tous sont remplacés par un unique code PIN, qui libère les ressources de la carte essentiellement de l’ensemble des codes d’accès et des calculs d’algorithmes cryptographiques. Mais derrière ce système simple en apparence, apparaissent des solutions complètes de gestion de l’accès au parc applicatif, aux bases de données, au réseau, voire aux bâtiments. La carte à puce n’est alors plus qu’un élément d’infrastructure comparable aux mé- thodes de sécurisation de logiciels. A la Caisse primaire d’assurance maladie (CPAM) de Tours, cinquante mille postes sous Windows sont ainsi équipés de lecteurs depuis plus de cinq ans. Auparavant, chaque application possédait sa propre couche de sécurité. La solution actuelle, fondée sur le logiciel Access Master de Bull, a demandé environ six mois de redéfinition de la politique de gestion des droits et la reconfiguration du serveur central. Sans s’engager dans un projet à si grande échelle, il est néanmoins possible d’envisager, selon ses priorités, une sécurisation sélective. Celle-ci s’établit sur trois niveaux. Le premier concerne l’accès aux ressources d’un terminal. Cela peut être un poste de travail, un décodeur pour télévision interactive, une borne de consultation, une badgeuse, etc. Le deuxième concer- ne la couche applicative. A la CPAM de Tours, par exemple, les droits d’accès concernent plus de quatre-vingt-dix applications métier, accessibles depuis n’importe quel poste équipé. Chaque employé possède des droits, inscrits sur la carte, lui attribuant l’accès à un nombre limité d’applications. Troisième niveau : les accès physiques. La puce peut très bien contenir des applications d’accès aux locaux, de gestion d’horaires variables ou de paiement de cantine. La combinaison de ces différents types d’applications nécessite de réserver des zones bien définies sur la carte, qui doit alors être capable de gérer plusieurs applications. Satis-Crypt, de Bull, Cryptoflex, de Schlumberger, ou Gemsafe, de Gemplus, aujourd’hui, les fournisseurs de cartes à puce s’inscrivent tous dans une démarche PKI, ou infrastructure à clé publique. Il suffit pour cela que la carte conserve une clé privée, ou, mieux, qu’elle calcule des algorithmes de type RSA ou DES (lire encadré ” La technologie clé”). Ces logiciels, en plus de gérer la sécurité, prennent en charge l’évolution du parc de cartes. Gemsafe, par exemple, se divise en une partie cliente (Gemsafe Enterprise Workstation) et une partie serveur. Cette dernière donne à l’administrateur des informations sur le cycle de vie des cartes Et elle lui permet d’établir des diagnostics à distance, voire de bloquer certains codes PIN. Des solutions plus légères, comme Satis-Crypt de Bull, se limitent à une sécurisation de fichiers de données en mode local ou distant.
