La carte à puce : un must pour la sécurité informatique des données sensibles ?

Pour tenter de se prémunir contre la criminalité informatique, certaines DSI luttent contre les virus, les chevaux de Troie, le piratage, etc. Elles intègrent également dans leur stratégie le vol possible de données internes. Mais leur plus grande menace reste probablement la sécurisation des mots de passe, hasardeuse et incontrôlable.

L’informatique en entreprise : comme dans un livre ouvert

Nombreuses sont les entreprises qui ne disposent d’aucune politique viable en termes de sécurité informatique. Ou si elles en ont une, elles ont bien souvent oublié d’en informer correctement leurs salariés. Les conclusions d’une enquête menée en Allemagne par l’association BITKOM montrent en effet que 40% des personnes interrogées ne connaissent pas les procédures correctes pour gérer les paramètres de sécurité tels que les mots de passe ou les supports externes de données (type clés USB). De quoi rapidement compromettre toute infrastructure informatique !
Les secteurs d’activité traitant d’informations critiques sont pourtant largement représentées: banques, assurances, mutuelles santé, cabinets comptables et également institutions médicales, qui possèdent un nombre important de données sur leurs patients. Et dans toute entreprise, on compte également des services tels que la comptabilité, la R&D, les ressources humaines ou les ventes.

Le chaos des mots de passe trop nombreux

Des risques accrus, la complexité toujours plus grande de l’utilisation des matériels informatiques et l’accès à distance aux réseaux d’entreprise rendent les procédures d’identification de plus en plus compliquées. Les clients de messagerie, bases de données, applications spécifiques type ERP ou CRM, les "salles virtuelles" sécurisées, l’intranet : tout cela augmente le nombre de mots de passe, codes PIN ou ID d’accès.
La sécurisation des mots de passe est donc une question très problématique. L’association "nom d’utilisateur"/"mot de passe" n’est souvent pas suffisante pour s’assurer que des données critiques gardent une protection fiable contre des accès non autorisés. De plus, stressés ou incapables de tout retenir, les utilisateurs font souvent la grave erreur de noter leurs mots de passe sur des supports non protégés tels que leur téléphone portable ou leur répertoire.

Mémoire ou processeur : la solution des cartes à puce

Pour parer aux risques liés aux mots de passe, les cartes à puce sont maintenant une solution technique reconnue dans le monde entier. Comparés aux cartes à piste magnétique, ces "mini‑ordinateurs" peuvent être utilisés dans une plus large gamme de situations et être lus jusqu’à 100 000 fois, soit une durée de vie bien plus longue. Ils ne sont pas affectés par les champs magnétiques et grâce à une protection intégrée contre les surtensions ils sont également à l’abri des décharges électriques.
Le modèle de base, peu onéreux, est appelé carte mémoire ou carte synchrone. Il s’agit essentiellement d’une mémoire intelligente (c’est à dire permettant la réécriture multiple) dont les cellules sont accessibles de manière séquentielle par le lecteur via une interface appropriée. Les cartes mémoires peuvent être copiées et sont donc utilisées dans des situations où des données doivent juste être stockées et non dans des cas où les données doivent être protégées contre une lecture abusive ou une manipulation non autorisée.
Celles-ci sont généralement choisies quand il s’agit d’octroyer à différentes personnes un accès rapide, sécurisé et facile à des données centralisées. Ces cartes permettent aux médecins ou personnel soignant dans les hôpitaux, par exemple, d’accéder aux données des patients. Qui plus est, ils peuvent le faire à partir de différents endroits de l’hôpital via une procédure d’authentification simple et rapide.
Le type de carte à puce le plus intelligent est la carte processeur ou carte à puce asynchrone. Celle-ci fonctionne différemment, le microprocesseur intégré dans la carte utilisant des procédures de chiffrement afin d’empêcher tout accès non autorisé aux données stockées.
Les plus fréquentes utilisations des cartes processeurs sont, par exemple, la lecture des cartes Vitale via des claviers Cherry avec lecteur de carte intégré, ou les cartes électroniques d’identité, comme par exemple les cartes d’identité allemandes avec preuve électronique d’identité, le registre hollandais UZI ou les cartes électroniques d’identité eID en Belgique. Dans le secteur financier, les solutions DESKO ainsi que les claviers Cherry avec lecteur de carte à puce intégré sont également très courants.

Les cartes processeurs sont également utilisées pour une authentification sécurisée dans une infrastructure à clé publique. Contrairement au cryptage traditionnel, où les deux phases d’authentification nécessitent la même clé, le processus de chiffrement nécessite ici une clé privée et une clé publique. Et comme une clé publique est accessible à tous, des informations cryptées peuvent être envoyées à n’importe quel individu, qui peut ensuite les décrypter en utilisant sa propre clé privée. Cette procédure permet la mise en place d’un processus de signature numérique afin de créer des signatures "infalsifiables".

Si aucun système n’est fiable a 100% (les cartes mémoires peuvent en effet être copiées et les cartes processeurs transmises à des tiers), une sécurisation par carte à puce demande de plus gros efforts pour accéder à un environnement non autorisé. De plus, cela reste une solution très abordable financièrement et rapidement rentabilisée.
D’autant plus lorsqu’on sait que la fiabilité et la réputation d’une entreprise peuvent être remises en cause par de simples mots de passe notés sur un bout de papier, trouvés et utilisés à mauvais escient…

 

Autour du même sujet