Blog ENI : Toute la veille numérique !
Dernière chance (fin le 29/02) : -25€ dès 75€ sur les livres en ligne, vidéos... code FUSEE25. J'en profite !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres et vidéos
  2. PKI sous Windows Server 2016
  3. Utilisation de cartes à puce
Extrait - PKI sous Windows Server 2016 Sécurité, cryptographie et certificats
Extraits du livre
PKI sous Windows Server 2016 Sécurité, cryptographie et certificats Revenir à la page d'achat du livre

Utilisation de cartes à puce

Introduction

Le stockage par défaut des certificats et des clés privées sur l’ordinateur de l’utilisateur pose des problèmes de fiabilité de sécurité.

Côté fiabilité, si l’ordinateur tombe en panne (perte du disque dur, impossibilité de démarrer le système…) l’accès aux certificats et aux clés privées est définitivement perdu. Côté sécurité, en cas de vol de l’ordinateur, les certificats et les clés privées qui y sont stockés peuvent être compromis.

L’utilisation de carte à puce sécurise les certificats et clés privées de l’utilisateur en déportant le stockage de l’ordinateur local vers un support externe sécurisé. Les certificats ne sont plus stockés sur l’ordinateur physique et ne peuvent plus être compromis en cas de panne ou de vol de l’ordinateur.

Les cartes à puce sont fréquemment utilisées pour l’authentification VPN, l’ouverture\verrouillage de session Windows, le stockage des clés de chiffrement EFS, etc. Les cartes à puces peuvent cependant être combinées avec tout service\protocole utilisant des certificats pour sa sécurisation ou pour l’authentification de l’utilisateur. Le champ d’utilisation...

Fournisseur de carte à puce (Cardelya)

La société Cardelya (www.cardelya.fr) est une des rares sociétés françaises spécialisées dans la sécurité numérique et le contrôle d’accès.

Cardelya distribue aux grandes entreprises comme aux particuliers les tokens, lecteurs de cartes à puce et cartes à puce utilisables avec une infrastructure de PKI Windows.

images/11EP01.PNG

Le site web de la société Cardelya (www.cardelya.fr)

1. Carte à puce

Classiquement, les certificats et clés privées sont stockés sur des cartes à puce au format standard (l’équivalent de nos cartes de crédit actuelles).

L’utilisation de ces cartes requiert l’ajout sur l’ordinateur d’un lecteur de carte à puce. Le lecteur peut être physiquement intégré à l’ordinateur (lecteur physique supplémentaire sur un portable) ou se présenter sous la forme de support additionnel connecté à l’ordinateur en USB.

Vous trouverez également des socles pour la pose de lecteur de carte à puce sur un bureau.

Pilotes (drivers)

Pour une gestion correcte de vos cartes à puces, il faut disposer d’un fournisseur capable de vous livrer le matériel mais également, si nécessaire, les pilotes correspondants aux différents systèmes...

Agent d’inscription

Afin de simplifier et sécuriser le déploiement de cartes à puce dans un environnement Active Directory, celles-ci sont enregistrées, non pas par l’utilisateur final, mais par un agent d’inscription désigné par le service informatique.

L’agent d’inscription inscrit les certificats de l’utilisateur sur la carte à puce et la remet en main propre à l’utilisateur. Lors de cette remise, l’agent d’inscription peut alors détailler l’utilisation de la carte à l’utilisateur final ainsi que la procédure à suivre en cas de dysfonctionnement, de perte ou de vol de la carte à puce. Cette procédure consiste généralement à signaler immédiatement le problème à l’agent d’inscription afin qu’il puisse révoquer le certificat si nécessaire (perte ou vol) et qu’il génère une nouvelle carte à puce pour l’utilisateur.

Afin de réaliser cette tâche, l’agent d’inscription doit disposer d’un certificat d’agent d’inscription délivrée par l’autorité de certification de l’entreprise. Ce certificat doit être présent (ou importé) sur l’ordinateur sur lequel sont réalisées les inscriptions de cartes à puce...

Utilisation des cartes à puces

Les cartes à puces sont très généralement utilisées pour sécuriser l’ouverture de session. Cela fournit une authentification forte aux serveurs sensibles ou aux postes clients mobiles disposant de données confidentielles (PC portables clients sécurisés avec EFS, par exemple).

Deux stratégies de groupe permettent de contrôler le processus d’ouverture de session par carte à puce. Elles se trouvent dans les options de sécurité (Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales) :

  • Ouverture de session interactive : carte à puce nécessaire

  • Ouverture de session interactive : comportement lorsque la carte à puce est retirée

La première stratégie indique si une carte à puce doit être requise pour l’ouverture de session. Elle est désactivée par défaut ce qui autorise l’utilisation de la carte à puce ou du mot de passe pour l’ouverture de session. Son activation bloque l’ouverture de session classique par mot de passe, seule la carte à puce est alors utilisable.

La deuxième stratégie indique la réaction du système au retrait de la carte à puce du lecteur. Dans ce cas, on peut demander un verrouillage automatique...

Application pratique : Gestion de carte à puce

Ces ateliers sont réalisés avec des cartes à puce et un lecteur de carte à puce IDBridge CT30 de Gemalto® acquis auprès de www.cardelya.fr. Il devra être éventuellement adapté dans le cas de l’utilisation de matériels différents.

1. Objectif

Les administrateurs de la société Corp se sont récemment équipés de cartes à puce et de lecteurs de cartes à puce. Nous allons, dans cet atelier, implémenter l’ouverture de session sécurisée avec carte à puce sur les postes clients Windows. Nous testerons également les possibilités offertes par le logiciel de gestion de carte à puce du fournisseur.

Rôles et ordinateurs virtuels utilisés :

  • S1 : contrôleur de domaine (Corp.lan)

  • S2 : autorité de certification racine entreprise (Corp.lan)

  • W10 : ordinateur du client du domaine (Corp.lan)

2. Installer le logiciel de gestion

Installation des pilotes/logiciels

Les pilotes et le logiciel de gestion obtenus auprès du fournisseur doivent être installés sur l’ordinateur physique ainsi que sur tous les ordinateurs virtuels qui utiliseront le lecteur de carte à puce.

 Téléchargez le dernier pilote pour la carte à puce depuis http://support.gemalto.com/?id=pc_usb_tr_and_pc_twin#.WFp5OFPhCUl.

 Installez les pilotes sur l’ordinateur physique exécutant le programme installation des pilotes téléchargés (GemPcCCID.exe au moment de la rédaction de ce livre).

 Si nécessaire, installez les bibliothèques (API) correspondantes (IDGo800_PKCS11_Library.msi).

 Copiez sur le bureau le dossier correspondant au logiciel de gestion MiniDriver Manager.

3. Mode Session étendue

Le mode de Session étendue permet de rediriger le périphérique de l’ordinateur physique vers un ordinateur virtuel. Il permet, ici, de disposer du lecteur de carte à puce, installé sur l’ordinateur physique, sur nos ordinateurs virtuels !

a. Activer le mode Session étendue

Sur l’ordinateur physique, dans les paramètres d’Hyper-V, nous allons activer le mode Session étendue.

Ce mode de fonctionnement permet aux ordinateurs virtuels de récupérer...