Laboratoire Microsoft |  Blog  |  Webcast - BETA SOON |  Students Club |  Forum |  FaqXP |  CertifExpress 
La Référence Absolue sur les Technologies Microsoft




Tous les Articles du Laboratoire Microsoft

L’authentification par carte à puce
Accueil > Articles > Système
Auteurs 
Gregoire LEMAISTRE
LABORATOIRE SUPINFO DES TECHNOLOGIES MICROSOFT
Consultant

 Tous les articles de cet auteur

2,2/5
Moyen


55017
128/284

Introduction
Présentation de l’infrastructure PKI
Procédure d’installation
Préparation du poste destiné à recevoir le lecteur de cartes à puces
Configuration de la carte à puce pour l’ouverture de session

Introduction :

Windows 2000, XP et 2003 supportent les technologies PKI qui peuvent être utilisées conjointement avec des cartes à puces afin de sécuriser l’authentification.

PKI, Public Key Infrastructure, permet un échange de données au travers d’une liaison non sure, comme Internet par exemple. Ce procédé à fait ses preuves, en terme de sécurité.

La carte à puce contient un processeur et une mémoire intégrée. Le processeur permet d’effectuer les calculs de cryptage, décryptage et hashing.

La mémoire permet de stocker les clés privées de manières sures

Les avantages d’une infrastructure PKI à carte à puce sont les suivants :

  • Elles évitent de taper un mot de passe devant les regards indiscrets
  • Une souplesse d’utilisation, elles peuvent être utilisés partout, sur plusieurs machines, ou encore avec des applications multiples, servir de pass dans une entreprise...
  • C’est un gain de temps appréciable car pour ouvrir une session, par la peine de faire Ctrl + Alt + Suppr , puis entrer le nom d’utilisateur, d’une le mot de passe.... Il suffit tout simplement d’introduire la carte à puce dans le lecteur et la session s’ouvre instantanément, de même pour bloquer la session, il suffit de retirer la carte.

Les lecteurs peuvent être soit de type Série, USB ou encore PCMCIA, voici la liste des lecteurs nativement supportés par Windows XP :

Constructeur

Modèle

Interface

American Express

GCR435

USB

Bull

SmarTLP3

Serial

Compaq

Serial reader

Serial

Gemplus

GCR410P

Serial

Gemplus

GPR400

PCMCIA

Gemplus

GemPC430

USB

Hewlett Packard

ProtectTools

Serial

Litronic

220P

Serial

Schlumberger

Reflex 20

PCMCIA

Schlumberger

Reflex 72

Serial

Schlumberger

Reflex Lite

Serial

SCM Microsystems

SCR111

Serial

SCM Microsystems

SCR200

Serial

SCM Microsystems

SCR120

PCMCIA

SCM Microsystems

SCR300

USB

Systemneeds

External

Serial

Omnikey AG

2010

Serial

Omnikey AG

2020

USB

Omnikey AG

4000

PCMCIA


Gemplus GemPC430 USB

Il faut compter en moyenne 50 euros pour un lecteur, les prix sont bien sur, dégressifs en fonction de la quantité commandée.

Cartes a puces supportées par défaut sur XP :

Gemplus

GemSAFE 4k

Gemplus

GemSAFE 8k

Infineon

SICRYPT v2

Schlumberger

Cryptoflex 4k

Schlumberger

Cryptoflex 8k

Schlumberger

Cyberflex Access 16k


Cryptoflex de Schlumberger

Le prix moyen d’une carte à puce est de 10 euros.

Présentation de l’infrastructure PKI :

Chaque utilisateur dispose d’une clef publique, laquelle est librement diffusée à d’éventuels interlocuteurs à partir d’un annuaire par exemple,  ainsi qu’une clef privée, qui elle, est secrète.

Cette clef privée permettra de déchiffrer un message.

Le problème qui se pose alors, est qu’un intrus pourrait intercepter un message et remplacer la clef publique de l’émetteur par la sienne.

Cette faille oblige à valider l’identité des différents propriétaires de clefs publiques, ce par l’intermédiaire d’un certificat numérique. Il est possible de faire l’analogie d’un certificat à une carte d’identité délivrée par une autorité reconnue comme sure, comme une préfecture de police ou un ministère de l’intérieur.

Procédure d’installation :

Il est dans un premier temps nécessaire de disposer d’un serveur de certificats qui permettra de s’assurer de l’identité des interlocuteurs.

Sur un serveur Windows 2000 nous installerons une Autorité de certification racine d’entreprise (Active directory nécessaire).

Pour cela, ajout / suppression de programmes dans le panneau de configuration, onglet composants Windows puis cocher services de certificats.

Sélectionner Autorité racine d’entreprise, et cocher Options avancées

Nous pouvons constater qu’il est possible de paramétrer le fournisseur de services cryptographiques, l’algorithme de hachage, ainsi que la longueur de la clef.

Il est ensuite nécessaire de remplir les informations concernant Autorité de certification que les utilisateurs pourront visualiser.

Nous choisirons les chemins par défaut pour la base de données de certificats et les fichiers journaux.

Dans la console Autorité de certification des outils d’administration, aller dans Paramètres de la stratégie puis faire un clic droit, nouveau, certificat à délivrer.

Cliquer sur le modèle de certificat ouverture de session de la carte à puce (pour ouverture de session uniquement) ou le modèle utilisateur de carte à puce pour à la fois ouvrir des sessions et sécuriser le courrier électronique.

Renouveler l’opération pour sélectionner le modèle Agent d’inscription.

Préparation du poste destiné à recevoir le lecteur de cartes à puces :

Se connecter en administrateur.

Il faut dans un premier temps, bien évidemment, connecter le lecteur de cartes puis installer les drivers éventuels, s’assurer que ce dernier est bien installé en allant voir le gestionnaire de périphériques.

Ouvrir ensuite une console MMC  et ajouter le composant certificats utilisateur actuel.

Avant de demander des certificats d'ouverture de session de la carte à puce il est nécessaire de disposer d'un certificat Agent d'inscription pour générer des demandes de certificats de cartes à puce au nom pour les différents utilisateurs.

Le certificat Agent d'inscription peut être installé sur une carte à puce, dans ce cas, il est nécessaire d’utiliser les services cryptographiques du fabricant de cartes à puce lors de la demande du certificat.

Déployer l’arborescence puis aller dans personnel puis faire un clic droit => toutes les taches => demander un nouveau certificat puis sélectionner agent d’inscription.

Nous sommes ensuite invités à entrer un nom convivial ainsi qu’une description du certificat.

Nous pouvons à présent installer le certificat.

Configuration de la carte à puce pour l’ouverture de session :

Ouvrir une session en tant qu’agent d’inscription.

Avec Internet Explorer, aller sur la page du serveur d’autentification :

http://serveurname/certsrv

 

puis suivant , puis demande avancée

Sélectionner le modèle de certificat Connexion par carte à puce pour les ouvertures de session uniquement ou bien utilisateur de carte a puce pour les ouvertures de session et l’utilisation sécurisée de la messagerie électronique.

Dans certificat de signature de l’administrateur, sélectionner le certificat d’agent d’inscription créé par l’administrateur.

Dans Fournisseur de services cryptographiques, sélectionner le fabricant de la carte à puce.

Sélectionner ensuite un utilisateur puis cliquer sur le bouton inscription.

Le système demande ensuite d’introduire la carte à puce dans le lecteur, cliquer sur OK puis entrez le code PIN (Personal Identification Number) de la carte a puce.

Si la carte possède déjà un certificat, un message vous demande si l’on souhaite le remplacer, cliquer sur oui.

La carte est prête à être utilisée !




En Savoir Plus 
Evaluez cet article 


Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft



Retrouvez ci-dessous les autres sections du Laboratoire Microsoft

Vidéos Express

Windows XP
Fonctionnalités et astuces Windows XP en vidéos gratuites

Windows 2003
Tout ce que vous souhaitez apprendre sous Windows 2003 en vidéo

Windows 2000
Apprendre à administrer Windows 2000 avec nos vidéos

Windows NT
Formez-vous à Windows NT grâce aux Vidéos Express du laboratoire Microsoft

Toutes les Vidéos Express