L’authentification à deux facteurs, en particulier sous la forme de cartes à puce, est la prochaine étape logique pour améliorer la sécurité informatique. Mais la mise en place de l’authentification à deux facteurs sur la plupart des ordinateurs a été ralentie par l’absence de support du système d’exploitation. Windows 7 rend l’utilisation de cartes à puce beaucoup plus simple
L’authentification à deux facteurs est le plus fréquemment décrite comme « quelque chose que vous possédez et quelque chose que vous connaissez ». Afin d’accéder à des ressources, un utilisateur a besoin des deux.
Une des formes les plus courantes d’une authentification à deux facteurs est la carte bancaire. Pour utiliser un distributeur de billets de banque, vous devez insérer une carte bancaire et saisir un numéro d’identification personnel (PIN), qui sert de mot de passe. La carte et le code PIN sont tous deux nécessaires pour effectuer la transaction.
Bien que les cartes à puce pour un accès physique existent depuis des années et sont utilisées sur des ordinateurs depuis presque aussi longtemps, elles ont connu de nombreuses lacunes qui les ont empêchées d’être plus largement mises en place pour l’authentification sur ordinateur.
Installer un système de cartes à puce sur un ordinateur était un processus compliqué, ce qui a constitué un obstacle majeur à leur mise en place. Pour gérer des cartes à puce, le système devait être équipé d’un logiciel médiateur afin de fournir les services prodigués par les cartes à puce, nécessitant qu’une personne (votre département TI ou peut-être un utilisateur malchanceux) installe le logiciel médiateur et active la carte à puce de l’utilisateur sur cet ordinateur. Ce processus (qui s’applique également à la biométrie) était tellement complexe qu’il a fait de l’authentification à deux facteurs un processus rébarbatif, à l’exception des applications de haute sécurité. Il était techniquement possible de le faire et de nombreuses entreprises l’ont fait, mais c’était un véritable tracas.
L’innovation majeure de Windows 7 en matière d’authentification à deux facteurs est d’ajouter des fonctionnalités prêtes à l’emploi qui intègrent à la fois les cartes à puce et l’authentification biométrique de façon transparente dans l’utilisation d’un ordinateur.
La confusion due au logiciel médiateur
Le support technique n’est pas un problème spécifique aux cartes à puce. Tout doit être connecté à l’ordinateur avec un logiciel médiateur, que ce soient les imprimantes, les disques durs ou les écrans. Cependant, le support destiné à ce type de matériel standard ne ressemble en rien au problème rencontré par les cartes à puce – tout au moins, depuis les débuts de l’informatique), parce que la plupart des logiciels médiateurs destinés à ces périphériques étaient intégrés dans le système d’exploitation. L’utilisateur n’avait besoin que du code nécessaire au dispositif pour le raccorder aux services déjà présents dans le système d’exploitation.
La seconde innovation est l’autoconfiguration (plug-and-play). Le système d’exploitation comprenait des pilotes pour les périphériques communs ou le dispositif était fourni avec les pilotes sur le CD, puis le système chargeait automatiquement les pilotes appropriés avec un minimum de configuration requis par la personne effectuant l’installation. Le fait d’obtenir un nouveau périphérique et de l’installer était devenu une opération presque parfaite grâce à ces deux innovations.
Presque. Sauf lorsque vous tentiez d’installer un périphérique inhabituel comme une carte à puce.
Installer le minipilote
Pour faire face à ces problèmes, Microsoft a introduit un minipilote pour carte à puce dans Windows Vista. À la base, Microsoft avait fourni le logiciel médiateur dans le cadre du système d’exploitation. Les développeurs n’avaient plus qu’à installer le minipilote pour que leur carte à puce spécifique fonctionne avec le système.
Les minipilotes épargnaient aux entreprises informatiques tous les soucis liés à l’installation et à la maintenant des logiciels médiateurs, qui exigeaient souvent des applications spécifiques pour chaque type de carte à puce utilisée par l’entreprise. Il aura fallu du temps pour faciliter l’utilisation des cartes à puce dans ce cadre, ainsi que leur déploiement. Toutefois, il restait aux techniciens informatiques à installer des minipilotes pour carte à puce et aux fabricants de fournir les pilotes avec les lecteurs de carte.
Windows 7 élargit ce concept en fournissant automatiquement les minipilotes et faire en sorte que les cartes à puce fonctionnent avec l’ordinateur. Windows 7 est livré avec certains minipilotes et téléchargera automatiquement le pilote d’une carte à puce particulière à partir de Windows Update si le SE ne l’a pas déjà.
« Cela signifie que les minipilotes pour carte à puce ont atteint le même statut qu’un disque dur ou qu’un écran », déclare James McLaughlin, directeur technique chez Gemalto, un fabricant de cartes à puce. « Quand vous branchez la carte, le pilote se télécharge automatiquement. Cela représente une expérience agréable pour l’utilisateur, sachant qu’’il n’a pas à se soucier de l’installation du pilote. Si le pilote n’est pas dans l’appareil, Windows 7 le recherche ».
En plus de donner accès à un ordinateur, la carte à puce peut être utilisée pour effecteur d’autres tâches nécessitant identification et authentification. Par exemple, en utilisant Windows 7, les authentifiants de la carte à puce peuvent être utilisés pour signer des documents et des courriels, pour se connectez à l’Internet ou au réseau de l’entreprise et accéder aux applications d’accès qui utilisent la cryptographie de nouvelle génération ou des certificats CryptoAPI pour contrôler l’accès. Windows 7 permet un haut degré de granularité, afin que les différents utilisateurs puissent avoir différents faisceaux de privilèges contrôlés par leurs cartes à puce.
Pour obtenir davantage de sécurité, Windows 7 prend également en charge à la fois les lecteurs de cartes à puce et le code PIN. Grâce à ces dispositifs, « le code PIN est envoyé vers la carte et non pas via le logiciel installé dans Windows », explique McLaughlin. Cela est plus sûr parce que le lecteur ne renvoie que oui ou non sans exposer le code PIN ou les données de la carte vers l’ordinateur (et donc vers n’importe quelle autre application s’exécutant sur l’ordinateur).
Élargir l’utilisation des cartes à puces au-delà de l’ordinateur
Certes, les cartes à puce ne servent pas uniquement à se connecter aux ordinateurs. De plus en plus d’entreprises et d’organisations utilisent des cartes à puce pour accéder à des locaux et à des équipements. Toutefois, le processus impliqué généralement une carte à puce différente pour chaque application. Cela commence à changer.
Dans le sillage du 11 septembre, le gouvernement fédéral a institué une norme de contrôle de l’identification appelé FIPS 201 (FIPS signifie « Federal Information Processing Standard »). La norme définit comment les agences exécutives du gouvernement fédéral doivent authentifier l’accès aussi bien à des locaux qu’à des ordinateurs personnels et bien plus.
« Ce que le gouvernement essaie de faire est d’encourager l’utilisation d’une carte pour entrer dans un bâtiment et d’utiliser la même carte pour se connecter à des appareils », explique Michael Yatsko, chef de produit pour le groupe PKI chez Verisign Inc, un fabricant de cartes à puce et de systèmes de chiffrement à clé publique.
La norme FIPS 201 a inspiré l’utilisation d’une carte d’accès standard non seulement au sein du gouvernement, mais également dans d’autres organisations.
« Parce que le gouvernement a adopté cette norme, des clients sont venus nous dire, « Nous voulons collaborer avec le gouvernement américain », dit Yatsko. « Jusqu’à présent, les clients intéressés étaient plutôt des intégrateurs de systèmes et des agences gouvernementales nationales et locales ». Mais les avantages d’une carte d’accès unique sont évidents et le concept est en train de répandre rapidement.
Dans l’ensemble, Windows 7 représente une avancée majeure dans l’intégration des cartes à puce en termes de sécurité informatique en routine, ce qui va encourager une adoption beaucoup plus large.
« Je pense que les entreprises et organisations auront plus de facilité pour trouver le meilleur moyen d’utiliser les cartes à puce », déclare M. McLaughlin. « Elles améliorent le rendement sur investissement, étant donné qu’elles n’ont pas à payer pour les logiciels médiateurs [donc] le fonctionnement des cartes à puces présentera moins de risques ».
