Articles sur 'Sécurité'
Dans le monde des cartes sans contact, et particulièrement lorsqu’il s’agit de contrôle d’accès, on dit systématiquement que l’utilisation de l’ID (ou CSN) de la carte n’est pas une bonne idée.
La réponse des intervenants est souvent qu’il est difficile de cloner l’ID d’un badge et que cela relève plus du mythe que d’une réalité.
Du coup, dans cet article je voudrais vous prouver que loin d’être d’une légende urbaine pour faire peur aux responsables de sécurité le clonage des ID est une réalité qu’il ne faut pas négliger.
La diversification (ou dérivation) est un procédé cryptographique permettant, à partir d’une clef symétrique, de générer une seconde clef.
Le procédé ne doit pas permettre, à partir de la seconde clef de retrouver la clef d’origine.
Le but de cet article est de présenter les concepts mis en oeuvre par Spring Security pour la partie Authentification. Il existe bon nombre de sources d’informations sur le sujet (notamment la documentation officielle), la plupart rédigée en anglais et en grande partie très technique. Rare sont les articles qui vulgarise et présente l’architecture de Spring Security qui peut très vite paraître très complexe.
Nous avons vu dans les précédent articles ce qu’était le NFC et la norme principale ISO/IEC 14443. Je fais une petite pause dans les normes pour aborder un sujet majeur de la communication NFC, la sécurité !!
Trop souvent, l’usage d’étiquettes NFC ou la lecture de l’ID de la carte fait oublier ce sujet. On tombe après sur des articles “choc” : “Le NFC est moins sécurisé que ….” ou alors “Une faille critique découverte sur les objets connectés en NFC …”, et c’est encore ce qui m’est arrivé ce weekend. Alors évidemment, si personne ne chiffre ses communications on ne peut pas s’attendre à des miracles…
La norme ISO/IEC 7816-4 décrit un mode d’authentification basé sur les clefs symétriques (“Three Pass Authentication”). Ce processus assez simple à mettre en oeuvre peut servir à chiffrer les informations échangées durant la session.