De plus en plus d’entreprise utilisent des cartes RFID pour renforcer leur contrôle d’accès.
Mais les niveaux de sécurité des badges de chaque technologie ne sont pas les mêmes, et de loin.
Cet article propose de décrypter les technologies de carte RFID, leurs forces et leurs faiblesses, afin que chaque personne en charge de la sécurité et du contrôle d’accès à un bâtiment puisse juger de son niveau actuel de sécurité; et ce qu’il est possible de faire aujourd’hui avec des technologies plus récentes.
Le premier moyen est la clé métallique. Elle peut être copiée, la serrure peut être crochetée, et le cout pour faire remplacer une clé perdue est élevé. De plus, la clé perdue ne peut être révoquée et est donc parfaitement utilisable par celui qui l’aura trouvée.
Le badge magnétique est apparu dans les années 50/60. Chaque badge porte un numéro unique ressemblant à un code barre, la baree étant remplacée par des petites zones magnétisées, qu’il est donc possible de révoquer dans le système quand le badge est perdu. Le cout de duplication ou de création d’un badge est faible. Par contre, les données sur le badges sont écrites « en clair », il est donc très facile de dupliquer une carte de contrôle d’accès posée sur un bureau puis de la remettre en place après copie sans que son utilisateur ne s’en soit rendu compte.
Les badges de contrôle d’accès RFID en 125 khz ont vu le jour dans les années 80. Ils reprennent les avantages de la piste, avec une difficulté de copie un peu supérieure car les cartes vierges n’étaient pas facilement disponibles au départ. Le numéro de la carte est cependant envoyé « en clair » au lecteur de carte, si bien qu’il est aisé de nos jours de simuler le même numéro sur une carte RFID vierge programmable et ainsi d’avoir réalisé une copie.
Il a fallut attendre les années 1990 pour que les cartes RFID, en 13,56 Mhz, soient équipées d’une puce à mémoire et à processeur cryptographique. Grace aux mathématiques appliquées à la sécurités des transactions, le lecteur est capable non plus de récupérer un simple numéro, mais d’authentifier la carte RFID présentée.
On parle d’authentification quand après plusieurs échanges de données cryptées entre le lecteurs et la carte, le lecteur comme la carte ont pu vérifier – sans jamais que la clé de chiffrement n’ait été échangée – que les calculs ont ête réalisés de chaque coté avec une même clé. Comme la clé de la carte chargée lors de la personnalisation de la mémoire en usine ne peut être ni lue ni altérée, c’est un moyen réel de prouver l’authenticité.
Découvrez le produit carte RFID MIFARE®
Il reste une faille : une carte perdue n’est pas déclarée perdue immédiatement, et une personne mal intentionnée peut aller dérober un sac pendant le repas d’un employé au restaurant voisin, et s’introduire dans la société pendant ce temps.
Si l’on veut totalement éviter l’usage d’un badge véritable par un tiers, il faut accompagner le passage du badge RFID de contrôle d’accès devant le lecteur par la saisie d’un code secret (code PIN comme Personnal Identification Number) sur un clavier pour améliorer significativement la sécurité.
Un badge aussi sécurisé qu’une carte RFID MIFARE DESFire EV1 ou EV2 reste un objet qui peut être dérobé et utilisé par un tiers. Il est donc indispensable que le corps de carte lui même soit facilement et visuellement contrôlable par un agent de sécurité lors d’un contrôle, comme l’est un passeport ou une carte nationale d’identité.
Nous proposons l’impression de guilloches, de microtexte, l’utilisation d’encre UV ou scintillante, iridescente afin qu’il soit extrêment difficile d’imiter les badges de votre entreprise.
Copyright RFID-Labs 2016 - tous droits réservés