Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Paul Baas, Tools4ever : Le badge, dénominateur commun entre accès physique et logique

octobre 2013 par Paul Baas, directeur France Tools4ever

Les entreprises qui ont choisi de protéger l’accès physique à leur immeuble ou à des parties de celui-ci par un badge souhaitent de plus en plus fréquemment utiliser également ce badge même pour l’accès au réseau et aux applications. Cette demande émane souvent des départements informatiques à la recherche d’une solution pour faire face à la multiplication des mots de passe complexes que les utilisateurs doivent mémoriser. Utiliser une solution Single Sign On (SSO) en combinaison avec la gestion de l’authentification permet de répondre à cette nouvelle tendance.

Il existe deux possibilités pour combiner l’accès physique et logique : soit utiliser une solution SSO, soit avoir recours à un couple de sécurisation : certificats et PKI (Public Key Infrastructure). Cependant, les PKI ne fonctionnent qu’avec un badge du type ‘contact’ et constituent de ce fait une alternative plus coûteuse. Ed Dijkers, directeur des ventes chez OmniCard BV, déclare à ce sujet : « Lorsque des entreprises souhaitent envoyer des e-mails cryptés ou mettre en place un accès codé, nous leur conseillons de déployer une structure PKI. Mais elles sont alors liées à une puce de cryptage à contact, or elles souhaitent généralement obtenir de manière simple et rapide une identité de connexion pour leurs utilisateurs finaux. Dans ce cas, nous leur conseillons de mettre en œuvre en amont une solution Single Sign On. »

Authentification à deux facteurs

La technologie Single Sign On combinée avec un badge permet de remplacer toutes les combinaisons alliant identifiant et mot de passe. En présentant son badge à un lecteur avec ou sans contact et en introduisant éventuellement un code PIN, l’utilisateur se connecte automatiquement à Windows. Ensuite, la technologie SSO traite automatiquement toutes les autres procédures de connexion et ainsi, les applications de l’utilisateur s’ouvrent directement.

Lorsque ce dernier enlève son badge ou le maintient à nouveau au lecteur par la suite, il se déconnecte. Il s’agit d’un moyen d’authentification puissant, car il se fonde à la fois sur un dispositif matériel, le badge et sur une clé logicielle, le code PIN. C’est ce que l’on appelle l’authentification à deux facteurs.

« On nous demande souvent si les badges d’accès physique conviennent également à l’accès au réseau », indique Ed Dijkers. « Actuellement, pratiquement tous les badges conviennent à l’accès logique en combinaison avec une solution Single Sign On. MIFARE Classic, MIFARE DESFire EV1 et HID Prox en sont quelques exemples. Ces systèmes à badges peuvent aussi être utilisés pour régler la note de la cantine ou imprimer des documents de façon sécurisée partout dans l’entreprise. »

L’hôpital Kennemer Gasthuis situé aux Pays-Bas a réalisé un couplage entre accès physique et logique avec une solution du type Single Sign On. Gerard Hensels, IT and Medical Technology Manager explique comment les utilisateurs en bénéficient à l’intérieur des locaux : « Notre personnel soignant était pénalisé par la lenteur de démarrage des applications. Pour contourner les problèmes de connexion et déconnexion aux applications, il utilisait toutes sortes de moyens, comme notamment travailler à partir d’un seul et même compte utilisateur. Actuellement, nous testons un pilote avec une centaine d’utilisateurs disposant d’un badge MIFARE pour se connecter à leurs applications en passant leur badge devant le lecteur. Après la première connexion, ils peuvent retrouver la session ouverte sur n’importe quel autre ordinateur du réseau. En positionnant à nouveau leur badge devant un lecteur, ils accèdent en quelques secondes à leurs applications ouvertes. C’est crucial pour les départements ou la réactivité est prépondérante comme, les services d’urgence. »

Lien avec le système du personnel

Du point de vue de la sécurité, il n’est pas souhaitable que les collaborateurs puissent établir une connexion avec un quelconque badge Myfare sans contact (RFID) pour pouvoir accéder à leur station de travail. La solution SSO offre la possibilité, grâce à un lien avec le Système informatique des Ressources Humaines (SIRH), de contrôler si le badge que l’utilisateur souhaite connecter est enregistré et valide dans la base d’authentification, c’est à dire qu’il n’est pas bloqué, déclaré perdu, etc. Ainsi, les badges peuvent être désactivés en temps utile lorsque le contrat d’un collaborateur se termine. Lorsqu’un nouveau collaborateur rejoint l’organisation, un badge lui est automatiquement attribué par le SIRH.

La commune de Lelystad en Hollande est un bon exemple d’organisation ayant réalisé un lien avec le système de gestion de la sécurité iProtect. Les utilisateurs sont automatiquement identifiés au travers d’un Windows Active Directory qui englobe jusqu’aux autorisations d’accès aux bâtiments de la municipalité. Le lien entre le SIRH et l’Active Directory est réalisé au moyen d’un logiciel d’intermédiation. Les informations concernant la présence ou l’absence d’un collaborateur peuvent en outre être reliées en temps réel dans l’annuaire téléphonique en ligne de l’organisation. Comme le système de gestion de la sécurité sait si un collaborateur est entré dans l’immeuble avec son badge, cette information peut être à nouveau dispatchée par un logiciel alimentant l’intranet. Les entreprises qui connaissent des croissances soudaines de leur effectif voudront sans doute avoir la possibilité de bloquer ou débloquer un badge d’accès immédiatement. À l’aide d’un portail, il est possible de déléguer certaines tâches à un collaborateur - généralement en charge de la sécurité – sans qu’il ait lui-même accès au SIRH ou au système de gestion des services. Outre le blocage et le déblocage de badges, il peut procéder à l’enregistrement d’un nouveau collaborateur, la modification d’un code pin ou la délivrance d’un badge provisoire à la suite d’une perte ou un vol. Dans ce dernier cas, le code PIN existant ne sera pas modifié, ce qui apporte un niveau de sécurité supplémentaire, car le centre d’assistance n’a pas à le connaître et ne le voit pas. Par ailleurs, l’utilisateur final ne peut plus utiliser que son badge provisoire.

Emporter sa session ouverte avec soi

La technologie Single Sign On se développe à un rythme très rapide offrant aux entreprises des possibilités accrues. La fonctionnalité Follow Me est un exemple de nouveau développement qui peut être appliqué dans les organisations déjà équipées d’une infrastructure de bureau virtuel (VDI) comme par exemple VMware View 4.5 utilisé conjointement avec Citrix XenApp. Un des avantages offerts par la VDI est qu’elle permet de transférer facilement des sessions d’un ordinateur à l’autre. Mais habituellement la reprise des sessions est ralentie par l’obligation d’entrer un nom d’utilisateur et un mot de passe et d’effectuer des étapes de connexion complémentaires. Aussi, dans les organisations telles que les hôpitaux, où l’on change d’ordinateur de nombreuses fois par jour, une telle approche n’est pas souhaitable. En revanche, avec la fonction Follow Me, il est possible de continuer son travail directement avec les applications ouvertes sur un autre ordinateur. Pour un médecin spécialiste qui effectue des visites dans différents services et de fait, devra avoir accès à différents ordinateurs, il y a là un gain de temps considérable. Il lui suffit de placer sa carte sur le lecteur, et dans les 8 secondes qui suivent, il est relié automatique à sa session ouverte.

Authentification par smartphone

Utiliser son smartphone comme moyen d’authentification est une étape logique de cette évolution, étant donné que les utilisateurs finaux ont généralement tous leur téléphone en permanence avec eux. L’authentification à deux facteurs au moyen d’un smartphone représente une alternative intéressante aux solutions avec token plus coûteuses, car elles ne nécessitent pas d’investissements en matériels supplémentaires. À l’aide d’un logiciel de gestion des identités et des accès, l’identité unique d’un smartphone est associée à la procédure de connexion de l’utilisateur final. Lorsque celui-ci se connecte au réseau de l’intérieur de l’entreprise ou à distance, il entre son identifiant et son code PIN sur l’écran de connexion. La procédure de connexion attend alors qu’une confirmation lui soit adressée par l’utilisateur du smartphone. À cette fin, une fenêtre contextuelle s’affiche sur le terminal mobile. Après réception de la confirmation par l’utilisateur final, la procédure de connexion se poursuit pour autoriser l’accès aux applications.

Il y aura dans l’avenir de nombreuses possibilités supplémentaires de réaliser une authentification forte au moyen de smartphone en s’appuyant par exemple sur la reconnaissance vocale et/ou la géolocalisation de l’utilisateur.




Voir les articles précédents

    

Voir les articles suivants