La technologie ContactLess a désormais investi tous les terrains de la transmission de données sécurisées. Tour d'horizon de quelques solutions disponibles sur le marché...
Du contrôle d’accès à la billettique, en passant par la biométrie et les transports, le 13,56 procure de multiples avantages. Outre un niveau de sécurité plus élevé, les technologies 13,56 MHz, à l’appui des standards créés voici quelques années avec les normes 14443 A, 14443 B et 15693, permettent de regrouper en une carte des applications autrefois attribuées à plusieurs cartes. La notion de standard entend une compatibilité à 100%. Pour une utilisation peu sécurisée en contrôle d’accès, ce terme convient. Mais dès lorsqu’il s’agit d’attribuer un cryptage spécifique, on se heurte à des technologies propriétaires. Entre volonté de standardisation et monde propriétaire, comment disposer d’un badge unique aux potentiels multiapplicatifs dignes de ce nom ? La réponse n’est d’emblée pas simple. D’une part, le 13,56 MHz ne résout pas tout en matière de contrôle d’accès, notamment au niveau des distances de lecture, domaine où le 125 KHz révèle encore toutes ses vertus. D’autre part, les entreprises ne sont pas toutes prêtes à remplacer des systèmes existants, plus anciens, encore opérationnels. Quelles sont les solutions permettant de concilier les enjeux de la multi-applications ?
L’état des normes
Rappelons le contenu des normes attribuées à la technologie de fréquence 13,56 MHz.
La norme ISO 14443 s’applique aux cartes de proximité et définit les modalités d’alimentation ainsi que la vitesse de communication entre un lecteur et une carte à puce sans contact, à une distance d’environ 5 cm. Plus précisément, cette norme comprend deux types distincts, nommés 14443 A et 14443 B. Ces deux types se différencient par la modulation du champ magnétique, le format de codage et la méthode de gestion des collisions. De son côté, la norme ISO 15693 s’applique aux cartes de voisinage, conçues pour être lues à plus grande distance que les cartes de proximité, avec une distance de lecture maximale de 1,5 m. Ce standard, dont la transmission est un peu plus lente, est davantage destiné à la RFID. Par rapport aux technologies 125 KHz, les technologies 13,56 MHz conservent les mêmes avantages.
La norme 14443
La norme ISO 14443 comprend les parties suivantes, présentées sous le titre général Cartes d’identification — Cartes à circuit(s) intégré(s) sans contact – Cartes de proximité : Partie 1: Caractéristiques physiques Partie 2: Interface radio fréquence et des signaux de communication Partie 3: Initialisation et anticollision Partie 4: Protocole de transmission
La réalité des standards
Définir des standards est une chose, concevoir des cartes sans contact totalement conformes à ces standards en est une autre. Une réalité que le discours actuel sur la norme 14443 ne reflète pas toujours. Pour qu’une carte puisse être déclarée compatible, il lui faut en effet remplir les exigences des 4 chapitres de la norme. Yves Ackermann (HID) : « L’essentiel des produits présents sur le marché claironne une compatibilité totale avec cette norme, alors que la plupart du temps, ce n’est pas le cas. Certaines cartes s’arrêtent au chapitre 14443 A-3. Or, le 4ème chapitre de la norme ISO 14443 A est justement celui qui définit la standardisation des échanges entre la carte et le lecteur. Pour qu’une carte puisse prétendre à une totale compatibilité avec un standard, la norme ISO doit être exclusivement prise en compte. » Alors, standard ou non ? Tout dépend de l’utilisation qui est faite des potentiels des cartes 13,56 MHz. Si un système de contrôle d’accès n’exploite qu’un niveau d’identification, via le numéro de série CSN non crypté, la compatibilité d’une carte est effectivement possible avec la plupart des lecteurs. Au détriment du niveau de sécurité. L’utilisation de la mémoire, à des fins de cryptage plus sécurisé, implique en revanche de passer par le constructeur. En conséquence, le standard disparaît derrière une technologie propriétaire nécessitant le lecteur correspondant. Et contraint l’utilisateur à rester dépendant de son fournisseur. Le flou entretenu autour de la compatibilité affichée de la plupart des cartes 13,56 MHz résulte d’une attente spécifique, d’une logique de marché déterminant les prix : « Une technologie en conformité avec la totalité de la norme ISO 14443 A-4 nécessite l’utilisation d’une carte à microprocesseur, au coût plus élevé qu’une carte à mémoire classique. Or, le marché a tout de suite tendu vers des cartes très bon marché, au détriment d’un haut niveau de sécurité garanti par des cartes 14443 A-4 ou 14443 B-4. Si bien qu’aujourd’hui, on peut estimer que 80% des cartes 13,56 MHz utilisées en France pour le contrôle d’accès n’utilisent que le CSN. Voilà pourquoi, sur le marché, le discours autour des cartes 13,56 est pour le moins vague… » (Yves Ackermann)
Les standards 13,56 et les principaux vendeurs de puces sans contact
Standard : Vendeurs
ISO 14443 A : NXP (Mifare)
ISO 14443 B : Inside Contactless, ST Microelectronics, Legic (Kaba), ASK (badge RATP)
ISO 14443 B + 15693 : Inside Contactless
ISO 15693 : Texas Instruments, Inside Contactless, Philips (I code)
Le 125 KHz, des qualités toujours prisées
Dans bien des cas, la technologie 125 KHz reste appréciée pour sa simplicité d’utilisation et son efficacité. Le volume des ventes de cartes 125 KHz ne recule pas, en témoigne sa progression de 15% dans les 12 derniers mois. Cette technologie reste donc une valeur sûre, bien perçue pour sa praticité. Et qui, confrontée à un système 13,56 MHz dont les fonctions de cryptage ne sont pas exploitées, se révèle tout aussi sécurisante. Par ailleurs, la distance de lecture élevée reste un avantage de poids. « Les produits répondant aux normes 14443 sont conçus pour des distances de l’ordre de 5 cm… on visualise aisément les contraintes liées à la lecture devant les accès de parking. C’est une des raisons pour lesquelles beaucoup d’utilisateurs réclament un lecteur parking spécifique et une carte autorisant une distance de lecture raisonnable. En 125 KHz, un lecteur classique lit jusqu’à 2 mètres. On comprend que beaucoup d’entreprises soient encore attachées à cette technologie. » (Yves Ackermann)
Badge unique ou non ?
Face aux multiples systèmes de contrôle d’accès existants et aux différentes technologies qui leur sont associés, comment faire du badge unique une réalité ? Laurent Rouyer (Evolynx) : « À l’origine, l’idée du badge unique vient résoudre le problème des technologies propriétaires du 125 KHz. A savoir qu’un grand nombre d’établissements s’étaient retrouvés équipés de nombreux badges différents employant des technologies diverses. De fait, les entreprises concernées par ce problème ont basculé vers un badge unique normalisé en 13,56 MHz. » Une migration totale vers les 13,56 Mhz, offrant une distance de lecture réduite, n’est donc pas toujours aisée, notamment dans le domaine des accès parking : « La majorité de nos clients adoptent des puces Mifare, qui conviennent pour le contrôle d’accès des personnes et des voitures. Lorsque l’on parle d’accès pour les camions, le 13,56 MHz montre ses limites. Dans ces cas-là, nous préconisons deux badges. L’un pour les contrôles d’accès courants en 13,56 MHz, l’autre pour l’accès des véhicules avec une technologie différente, de plus longue portée. » (Laurent Rouyer)
13,56 et multi-applications
Le 13,56 est aujourd’hui devenu la base du marché. La baisse des prix des cartes et des lecteurs permet désormais au 13,56 MHz de venir concurrencer les puces en 125 KHz sur leur propre terrain. Utilisées à leur potentiel réel, les technologies 13,56 Mhz révèlent tous leurs atouts. En termes de sécurité, tout d’abord. En 14443, l’écriture de données cryptées dans la zone mémoire offre une protection bien supérieure à l’identification unique par le CSN. L’association avec un système biométrique représente une solution de contrôle d’accès extrêmement fiable. En matière de multi-applications, les potentialités de la carte unique se sont révélées voilà plusieurs années en investissant de nombreux terrains : la monétique, le transport, les industries, les loisirs… « Indéniablement, la carte multi-applications se développe de plus en plus. On intègre toujours plus de fonctionnalités dans une carte mono-technologie, même si, relativise Yves Ackermann, on ne peut pas encore prétendre à l’exhaustivité ». Si, malgré des performances manifestes, la carte multi-applications ne représente pas encore tout à fait la panacée du badge unique, de quels moyens dispose-t-on pour s’équiper en 13,56 MHz ?
Des applications spécifiques
> Dans les milieux industriels, le badge trouve des applications variées, notamment au niveau de la commande des machines. Le badge agit comme un élément de reconnaissance de l’utilisateur, autorisé ou non, à actionner une machine. C’est aussi un élément de démarche qualité quand celle-ci inclut la traçabilité de l’opérateur. Ce sont à vrai dire des applications assez indépendantes de la technologie du badge. Dans ce contexte, il s’agit d’exploiter l’utilité d’un badge dans des circonstances données, de lui attribuer des fonctionnalités plus spécifiques. Toujours dans les milieux industriels, le badge, associé à un lecteur mains libres, contribue à libérer la mobilité de l’utilisateur, contraint par son équipement (des gants qui ne lui permettent pas d’ouvrir correctement un accès) ou par les charges qu’il transporte.
> Le milieu hospitalier profite également d’innovations notables. Depuis, peu le multimédia et la télématique ont commencé à faire leur apparition, par l’intermédiaire d’écrans installés dans les chambres de patients. L’idée consiste à associer à un écran un lecteur de badge relié au réseau de l’établissement et permettant au médecin de consulter directement le dossier complet du patient.
> Dans l’agro-alimentaire, le badge est intégré aux démarches de contrôle d’hygiène et de sécurité. Utilisé en contrôle d’accès, il contribue à développer les démarches d’une entreprise en matière de réduction des risques de contamination extérieure.
Migration vers le 13,56 : des solutions souples et ouvertes
Bon sens et réalité économique incitent à développer des stratégies pour faciliter l’intégration des technologies 13,56 MHz. Elles ont notamment pour enjeu la conciliation des technologies existantes avec les fonctionnalités de la technologie 13,56 MHz. Une des solutions les plus simples et les plus abordables est offerte par l’adjonction d’une puce 13,56 Mhz à un badge existant. Pierre-Antoine Larrera de Morel (Stid) : « Si une entreprise souhaite associer un badge d’accès parking en 125 KHz à une technologie 13,56 MHz d’accès piéton, il est possible de coller un tag sur un badge existant. Il existe également des systèmes d’identification des véhicules, qui viennent se substituer au badge. »
D’autres solutions visent à associer plusieurs technologies, soit au badge, soit au lecteur :
> Les badges multi-technologies
Yves Ackermann : « Le principal avantage des badges multi-technologies réside dans le fait que l’on n’a pas besoin de modifier l’existant. C’est une solution très appropriée pour regrouper différentes technologies dans une seule carte : 13,56 MHz, 125 KHz, puce à contact, piste magnétique, code barre, effet Wiegand, infra-rouge, perforation… » Laurent Rouyer livre un exemple explicite : « Considérons un badge regroupant trois technologies : contact, sans contact, code-barre. La puce à contact contrôle l’accès logique, c’est-à-dire l’accès à un système informatique. La partie contactless de la carte contrôle l’accès physique, avec une mémoire dédiée à un certain nombre d’applications. Troisième partie, le code barre ou la piste magnétique, dévolue à des applications où les enjeux de sécurité sont moins importants. Ce sont des technologies souvent utilisées pour activer des systèmes un peu anciens de gestion horaire ou de gestion de restaurant, par exemple. Le badge est muni d’un code barre imprimé ou d’une piste magnétique encodée pour contrôler un accès spécifique, comme l’entrée d’un restaurant d’entreprise. Certes, ce genre de cartes a un coût, engendré par la puce à contact, laquelle nécessite une personnalisation électrique du badge. » Cependant, ajoute Yves Ackerman, « la difficulté actuelle réside dans la production de petites quantités. Si un client souhaite combiner deux technologies peu répandues, il aura des difficultés à obtenir, disons, 50 ou 100 cartes. C’est une question de rentabilité des processus de fabrication. » Néanmoins, la demande actuelle de ce type de cartes enregistre une augmentation notable, en particulier les cartes double-technologies contact-sans contact. Laurent Rouyer : « La plupart de nos clients redoutent par-dessus tout les intrusions dans leur système informatique, dont l’accès est géré par un système de puce à contact. En associant cette technologie à un badge sans contact, dédié à l’accès physique, on dispose d’une solution plus sécurisante qu’en utilisant des badges multiples. » Yves Ackermann confirme : « Les cartes réunissant puce à contact et puce sans contact, permettant accès logique et accès physique, font effectivement l’objet d’une demande croissante. Mais là encore, en-dessous de 1000 pièces, de telles cartes sont difficiles à obtenir. C’est la raison pour laquelle nous avons mis en place un programme, baptisé Crescendo, qui permet d’offrir une production minimale de 1 pièce. Auprès des PME, ce programme rencontre un franc succès. »
> Les lecteurs multi-technologies
Les solutions proposées par la société STID offrent une alternative à l’adoption du badge unique en agissant sur le développement des capacités des lecteurs. Pierre-Antoine Larrera de Morel : « Nous cherchons avant tout à simplifier l’intégration des technologies 13,56, car ce sont des technologies complexes qui ont encore tendance à faire fuir les systémiers. Pour faciliter les migrations, nous avons mis en œuvre une technologie basée sur le lecteur. Nous avons développé les performances du lecteur, de manière à ce qu’il prenne en charge les capacités de gestion d’un système. Le dispositif que nous avons mis en place, le Mifare sécurisé, permet au client de charger ses propres clés de sécurité dans le lecteur et de programmer son comportement. En résultent des capacités d’identification plus développées, caractéristiques des lecteurs multi-technologies. Quelle que soit la diversité des badges existants dans une entreprise, nous proposons la solution la plus ouverte possible au niveau de leur lecture. À titre d’exemple, le lecteur multi-technologies LXS Stid est ainsi capable de lire tous les standards présents sur le marché : ISO14443-3A, ISO14443-2B, ISO14443-3B, ISO15693-2 et ISO15693-3. En conséquence, notre système a la vertu de mettre en œuvre un dispositif de sécurité sans avoir à remettre en cause le système existant. Car l’introduction d’une technologie de contrôle d’accès plus puissante et plus moderne implique en effet une mise à niveau des systèmes. C’est une démarche qui, on l’imagine facilement, coûte énormément de temps. Nous avons préféré faciliter la tâche de nos clients en leur donnant un moyen d’exploiter les nouvelles fonctionnalités du 13,56 MHz, sans avoir à repenser leur installation de fond en comble. »
crédit photo : Le lecteur de cartes sans contact 13,56 MHz LX One Multitechno est capable de lire l’ensemble des normes ISO 14443 A-3 (Mifare 1K, 4K, DESFire), 14443-2B (GTML, SRIX4K), ISO14443-3B (Calypso), ISO15693-2 (Iclass, Picopass), ISO15693-3 (LRI, Icode, Tag-it).
Evolynx sécurise le LHC du CERN
Les nouveaux contrôles d’accès du LHC, le plus grand accélérateur de particules du monde, vont bientôt utiliser une technologie dernier cri : l’identification par reconnaissance de l’iris de l’œil. Cette installation, gérée par le système Evolynx, a été choisie pour permettre un accès «mains libres» et faciliter la maintenance. On compte actuellement 28 000 passages par semaine pour l’accès au tunnel. L’intérêt de la biométrie est d’authentifier le porteur du badge. Avant de présenter son œil, il faut donc badger pour déclencher l’ouverture du sas. C’est la première fois que la biométrie est utilisée au CERN pour assurer le contrôle des accès, mais ce n’est pas la seule nouveauté. De nouvelles technologies de cartes ont été graduellement distribuées, après un enrôlement sur des postes Evolynx. Équipées d’une puce électronique, elles comportent plus d’informations que les précédentes et sont plus faciles d’utilisation. Pour que la porte s’ouvre, il suffit de les passer à proximité du lecteur, sans même les sortir de leur étui. Des puces électroniques similaires seront intégrées aux dosimètres qui feront dès lors double usage, servant à la fois de dosimètre et de carte d’accès. Le poste d’enrôlement Evolynx permet l’enregistrement de l’iris et la création d’un badge d’accès au LHC pour le personnel, badge combiné au dosimètre.
Clonage : de réelles menaces ?
Les récents remous provoqués par le clonage des puces Mifare Classic mettent en exergue les enjeux liés à la sécurisation des contrôles d’accès. Laurent Rouyer explique : « Concernant la sécurité d’un système de contrôle d’accès, il faut faire état d’un contexte plus large. Mettre en place un tel système via une technologie contactless est une chose, encore faut-il s’assurer que l’ensemble du système de sécurité d’une entreprise soit fiable dans son ensemble. La protection doit être globale, sachant que la plus grosse faille qui puisse exister dans un système sécurisé, c’est l’homme. La course au cryptage ultra-sécurisé doit donc faire l’objet d’une réflexion globale. Pour revenir au problème, il faut savoir que NXP recommande l’utilisation d’un numéro crypté. Ce fondeur a d’ailleurs développé des puces comprenant plusieurs niveaux de cryptage. Une entreprise a donc la possibilité d’opter pour une puce de gamme supérieure, comme la Mifare 4K DESfire. Face à un tel investissement, toutes les entreprises ne sont bien sûr pas égales : les entreprises déjà équipées vont sentir la nécessité de monter en gamme, avec le surcoût que cela engendre, tandis que les entreprises qui ne sont pas encore équipées vont directement opter pour des solutions plus cryptées. »
En savoir plus
Cet article est extrait du Magazine APS n°175 – Novembre 2008.
Pour plus d’information sur nos publications, contactez Juliette Bonk.
Commentez