Authentification par carte à puce PKI

Présentation

Usage de base

• Par définition, un certificat permet d'identifier précisément son détenteur. En fonction des autorités délivrant de tels certificats, il pourra être nécessaire de justifier son identité en fournissant les pièces et justificatifs adéquates.

• Un certificat est matérialisé sous forme de chaîne de caractères stockée dans un fichier au format PFX ou P12.

• Un certificat utilisateur peut être directement installée sur le système d'exploitation, dans le magasin de certificat utilisateur.

• Néanmoins, dans ce type de configuration, l'authentification n'est pas jugée "forte". Elle peut être néanmoins combinée à une authentification basique (identifiant/mot de passe) et servir ainsi de MFA (Authentification Multi-Facteur) pour le processus d'authentification globale de l'utilisateur.

Couplage avec une carte à puce

• Il existe des cartes à puce spécifiques appelées cartes à puce PKI par certificats. Elles permettent de stocker un certificat et d'en protéger son utilisation par un code PIN.

• Cette méthode constitue un moyen d'authentification robuste aussi appelé authentification forte. Elle respecte les critères énoncées par l'ANSSI et qui sont cités ci-dessous :

Afind’être considérée comme forte, une authentification doit reposer sur un protocole cryptographique permettant de résister à certaines attaques comme :

• l’écoute clandestine (eavesdroppping en anglais), qui consiste pour un attaquant à passivement écouter le canal de communication entre le prouveur et le vérifieur;
• les attaques par rejeu, qui consistent pour un attaquant à récupérer des informations d’authentification (comme un mot de passe ou son empreinte) et à utiliser ces informations pour les rejouer afin d’usurper l’identité de la cible (l’attaque pass-the-hash en est un exemple);
• les attaques de l’homme-du-milieu, qui consistent pour un attaquant à intercepter et modifier les communications se déroulant entre le prouveur et le vérifieur lors de l’authentification sans être détecté;
• la non-forgeabilité : l’observation par un attaquant de plusieurs échanges d’authentification d’un prouveur ne doit pas lui permettre d’usurper son identité dans un nouvel échange d’authentification.

— Source : ANSSI • RECOMMANDATIONS RELATIVES À L'AUTHENTIFICATION MULTIFACTEUR ET AUX MOTS DE PASSE

Prérequis

• Pour mener à bien ce projet, il sera nécessaire d'être équipé de :
  • Un lecteur de carte à puce : Nous utiliserons le modèle IDBridge CT30.
  • Une carte à puce PKI par certificats : Nous utiliserons le modèle SafeNet IDPrime 930 proposé par Thalès.

• Nous disposons déjà d'un certificat personnel au format PFX / P12 que nous installerons par la suite sur notre carte à puce :
  • Pour générer un certificat personnel à l'aide d'une autorité de certification privée sous Debian, se référer aux articles suivants :Installation de l’autorité de certification (AC) puis Génération d’un certificat client.
  • Pour générer un certificat personnel à l'aide d'une autorité de certification privée sous Windows Server, se référer aux articles suivants : Installation du rôle ADCS.

Installation sur un PC administrateur

Installation de SafeNet Authentication Client

Le logiciel SafeNet Authentication Client permet de configurer les cartes à puces fabriquées par Thalès. Dans notre cas, le logiciel sera utilisé pour paramétrer un code PIN ou encore charger un certificat sur la carte à puce.

1. Télécharger la dernière version du logiciel depuis le site de Digicert à l'adresse : https://knowledge.digicert.com/general-information/how-to-download-safenet-authentication-client.
2. Exécuter le programme téléchargé à l'étape précédente. Le SafeNet Authentication Client Setup s'affiche. Cliquer sur le bouton Next > pour commencer l'installation.
   
3. À l'étape Interface Language, sélectionner la langue souhaitée puis cliquer sur le bouton Next >.
   
4. À l'étape License Agreelent, accepter le contrat de licence en sélectionnant l'option I accept the terms in the license agreement puis cliquer sur le bouton Next >.
   
5. À l'étape Destination Folder, conserver le répertoire d'installation par défaut puis cliquer sur le bouton Next >.
   
6. À l'étape Setup Type, sélectionner l'option Custom puis cliquer sur le bouton Next >.
   
   • À l'étape Installation Type, développer l'item SafeNet Minidriver.
   • Cliquer sur le composant IDPrime Minidriver puis choisir le mode d'installation Entire feature will be installed on local hard drive.
   • Cliquer sur le bouton Next > pour poursuivre.
     
7. À l'étape The wizard is ready to begin installation, cliquer sur le bouton Install.
   
8. Une fois l'installation terminée, cliquer sur le bouton Finish pour quitter l'Assistant d'installation.
   

Configuration du mot de passe du token

Configuration du mot de passe administrateur

Importation d'un certificat

1. Depuis l'utilitaire SafeNet Authentication Client Tools, développer le menu tokens / Card puis cliquer sur le bouton Importation de certificat.
   
2. La boîte de dialogue Importer un certificat s'affiche.
   • Sélectionner l'option Importer un certificat depuis un fichier.
   • Sélectionner un certificat pourvu du rôle Authentification du client et/ou Ouverture de session par carte à puce.
   • Cliquer sur le bouton OK pour procéder à l'importation sur la carte à puce.
     
3. Lors du processus d'importation, la boîte de dialogue Mot de passe PFX ou P12 s'affiche :
   • Si le certificat a été exporté avec un mot de passe, il faut le saisir dans le champ Veuillez saisir le mot de passe PFX ou P12.
   • Le cas échéant, ne rien renseigner.
   • Cliquer sur le bouton OK.
     
4. Une fois le processus d'importation terminée, une boîte de dialogue s'affiche pour signaler le succès de l'opération.
   
5. La présence du certificat sur la carte peut être vérifiée depuis le menu tokens / Card / Certificats utilisateur.
   

Installation sur un PC client

Installation du pilote de carte à puce

• Lorsque la carte à puce n'est pas reconnue par le système d'exploitation, cette dernière remonte avec le libellé Carte à puce inconnue.
  
• Récupérer la dernière version du pilote SafeNet Minidriver depuis le site web du groupe Thales à l'adresse : https://cpl.thalesgroup.com/fr/access-management/security-applications/credentialing-safenet-minidriver.
• Exécuter le programme téléchargé à l'étape précédente. Le SafeNet Minidriver - InstallShield Wizard s'affiche. Cliquer sur le bouton Next > pour commencer l'installation.
  
• Depuis l'écran License Agreelent, accepter le contrat de licence en sélectionnant l'option I accept the terms in the license agreement puis cliquer sur le bouton Next >.
  
• Depuis l'écran Ready to Install the Program, deux choix sont possibles :
  • Activer l'option SAC Tray Application, qui permettra à l'utilisateur de changer le code PIN de la carte à puce.
  • Désactiver l'option SAC Tray Application, en installant uniquement le pilote sans aucun client pour gérer la carte à puce.
  • Cliquer sur le bouton Install pour valider l'installation du pilote.
    
• Une fois l'installation terminée, cliquer sur le bouton Finish pour quitter l'Assistant d'installation.
  
• Depuis le Gestionnaire de périphérique, la carte à puce est correctement identifiée et remonte avec son nom de modèle.