Carte à puce - Bitlocker

Carte à puce - Bitlocker - Sécurité - Windows & Software

Marsh Posté le 02-02-2016 à 17:52:25    

Bonjour

 

Alors c'est impossible de trouver un tuto clair sur le sujet.

 

Je voudrais utiliser une smartcard pour déverrouiller les HDD chiffrés sous bitlocker.
Mais voilà.

 

1. Il y a 36.000 de cartes différentes et qui ont chacune leur fonctions bien précises. Du coup faut prendre laquelle???

 

2. J'ai lu que les cartes à puce avec contact utilisait la norme PKCS#11 ou CSP pour communiquer avec les applications. Bref pas besoin de middleware spécifique, sauf pour des cartes hautement spécialisées genre carte d'identité, carte bancaire, carte téléphone.
MAIS, j'ai lu que les cartes NFC sans contact, elles n'étaient pas normées et du coup il fallait un middleware à installer pour chaque type de carte et utilisation qu'on en fait. Bref ça existe ce genre de middleware pour Bitlocker???

 

(J'ai qu'un lecteur sans contact, ça me ferait chier de devoir en racheter un autre pour les cartes à puce)

 

Bref, c'est incroyable comme on ne trouve pas de tuto clair sur le sujet sur le net :D

 

Merci


Message édité par fredo3 le 02-02-2016 à 17:53:10
Reply

Marsh Posté le 02-02-2016 à 17:52:25   

Reply

Marsh Posté le 02-02-2016 à 17:53:21    

[:kabouik:3]

Reply

Marsh Posté le 03-02-2016 à 13:44:54    

Up :o
 
Personne n'en utilise?

Reply

Marsh Posté le 03-02-2016 à 14:20:03    

fredo3 a écrit :

Up :o
 
Personne n'en utilise?


 
clairement : non
 

Reply

Marsh Posté le 03-02-2016 à 14:38:01    

Reply

Marsh Posté le 03-02-2016 à 14:48:40    


 
pourquoi on devrait utiliser ton truc?
 
tu réalises que c'est plus que litigieux une smartcard pour craquer un mot de passe?
on est à la limite du post qui devrait être fermé

Message cité 1 fois
Message édité par leroimerlinbis le 03-02-2016 à 14:48:57
Reply

Marsh Posté le 03-02-2016 à 14:56:11    

What??? Fermer le topic? Ca va oui? :heink:

 

Pourquoi une carte à puce?

 

1. Une carte à puce peut se verrouiller au bout de x faux PIN entrés. Et à part si tu bosses pour les services secrets, bonjour pour essayer d'extraire la clé de la puce.

 

2. Les certificats numériques, c'est bien plus sûr que n'importe quel mot de passe, même complexe, que tu devras retenir. Ce qui fait que par brute force le mot de passe pourra être retrouvé bien plus facilement.


Message édité par fredo3 le 03-02-2016 à 14:56:20
Reply

Marsh Posté le 03-02-2016 à 15:00:16    

leroimerlinbis a écrit :


 
pourquoi on devrait utiliser ton truc?
 
tu réalises que c'est plus que litigieux une smartcard pour craquer un mot de passe?
on est à la limite du post qui devrait être fermé


 
 
[:power600] [:rofl] [:albounet] [:power600] [:roxelay] [:rofl]
 
 
 
Je crois que tu ne te rends pas compte à quel point tu es à coté de la plaque dans ta réponse.
 
Je pense que tu confonds avec les Yescard :D
 
 
Les smartcard, c'est tout à fait légitime et considéré plus sécure que les mots de passe par certaines boites, la plupart des ordis portables pros sont même équipés des lecteurs de cartes, et windows est prévu pour depuis, houla, longtemps.
 
http://4.bp.blogspot.com/-nYdkO90pVgM/Vj82qFlv4PI/AAAAAAAACrQ/a1H1gFSuLfo/s1600/ldscreenshot.png
 
 
Par contre c'est velu à mettre en place, j'avais regardé à une époque, il y a de la mise en place de certificats etc, pas sûr que ce soit bien accessible pour du particulier.

Message cité 1 fois
Message édité par flash_gordon le 03-02-2016 à 15:07:21
Reply

Marsh Posté le 03-02-2016 à 15:06:54    

ahhhhhhhhhhhhhhhhh!!!!!!!!!!!!!!!
 
ouh la oui j'ai merdé.
 
j'ai rien dis, je m'en vais
 
 [:taliesin74:5]

Reply

Marsh Posté le 03-02-2016 à 15:17:38    

flash_gordon a écrit :


Par contre c'est velu à mettre en place, j'avais regardé à une époque, il y a de la mise en place de certificats etc, pas sûr que ce soit bien accessible pour du particulier.


Ben pour les certificats, je maîtrise plus ou moins.

 

Moi je bloque sur le côté hardware, je ne sais pas quel type de carte il faut prendre [:tinostar].
A 25€ la carte, je n'ai pas envie de me tromper :D


Message édité par fredo3 le 03-02-2016 à 15:17:48
Reply

Marsh Posté le 03-02-2016 à 15:17:38   

Reply

Marsh Posté le 04-02-2016 à 12:32:22    

Bon apparemment les Gemalto IDPrime .NET 510 et dérivés (511...) font l'affaire.


Message édité par fredo3 le 04-02-2016 à 12:32:31
Reply

Marsh Posté le 21-01-2017 à 19:25:39    

Hello  :)
 
Je profite de ce topic pour rebondir, ayant un temps cherché qq infos sur comment utiliser une smartcard comme moyen d'authentification. Je n'avais pas trouvé grand chose d'exploitable à l'époque.
 
Si j'ai bien tout compris, on peut utiliser une smartcard pour :
 
- s'authentifier au démarrage de l'ordinateur (au boot)
- délocker / monter une partition cryptée/chiffrée (le logiciel utilisé allant chercher les infos qui l'intéresse sur la carte)
- se connecter à un disque réseau
- se connecter à sa session Windows
- ...
 
Est-ce qu'une carte comme les Gemalto sont capables de faire tout ça ?
 
Une seule carte peut-elle servir à la fois pour deux choses ? (ex : au boot, pour un disque réseau - genre elle peut contenir diverses infos comme une clé USB)
 
Quelle différence entre une smartcard et une clé USB qui contiendrait l'info nécessaire au déverrouillage d'un service ? Le fait que la carte peut se bloquer après x essais ?
 
Qu'apporte une smartcard en termes de protection si le pc est volé ? Pour le démarrage de la machine je comprends, mais pour le décryptage d'un disque ? S'il est crypté de manière logicielle, smartcard ou clé USB, ça ne change rien, si ?
 
Et comment programme-t-on cette carte ? On peut choisir son pin si pin il y a ? Ou stocker ce que l'on veut dessus ? Il faut alors de quoi protéger l'accès à la smartcard ? (mot de passe...)
 
Bref je me pose encore qq questions... J'ai un Dell avec lecteur de carte avec contact.
 
Merci  :)

Reply

Marsh Posté le 23-01-2017 à 09:04:28    

Une smartcard dans ce contexte n'est rien de plus qu'un moyen de déverrouillage.
Comme une clé, un mot de passe, un pin, une empreinte digitale, etc ...
 
Ça ne fera rien en tant que tel, tout dépend de comment et pourquoi c'est implémenté.
Pour cela c'est tout un écosystème qui doit être mis en place car Windows ne gère nativement ce genre d'authentification qu'au sein d'un domaine Active Directory.
 
Tu trouvera leur doc de mise en place ici : https://msdn.microsoft.com/en-us/library/bb742531.aspx
 
Une fois mis en place il faut ensuite configurer pour que les applications compatibles l'utilisent.
Exemple pour Bitlocker : https://technet.microsoft.com/fr-fr [...] s.10).aspx
 
Un autre exemple de mise en place d'un écosystème complet : http://integrateurs-cps.asipsante. [...] v2.5.8.pdf


Message édité par nex84 le 23-01-2017 à 09:06:47

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 23-01-2017 à 11:08:39    

Merci pour les infos !
 
Le doc en PDF était celui que j'avais trouvé à l'époque, je pense. La page expliquant la procédure sous Windows 2000 me semble plus simple à comprendre.
 
J'envisageais, personnellement, d'utiliser la smartcard pour déverrouiller le PC et ce plus facilement et plus sécuritairement qu'en tapant un mot de passe Windows (d'accord, et puis aussi pour jouer avec un système qui fait sérieux :P)
 
Si je veux faire ça avant le boot, je pense que je dois m'intéresser à ce que le constructeur a prévu (j'ai un Dell Latitude).
 
Question subsidiaire : peut-on aussi utiliser une smartcard comme stockage ? Par exemple pour stocker une clé Keepass ou tout autre clé, comme on pourrait le faire avec une SD ou une clé USB.  
C'est juste que la carte à puce est plus facile à glisser qq part, je trouve (et moins facile à perdre qu'une SD ou pire, une µSD !)

Reply

Marsh Posté le 23-01-2017 à 12:12:32    

Dell n'implémente qu'un lecteur de carte (l'appareil) dans le PC avec ses drivers.
Ça n'inclus pas la solution logicielle permettant d'utiliser les cartes à puce.
 
Cette solution logicielle et ses capacités dépend du type de carte que tu comptes utiliser.
Par exemple chez Gemalto : https://safenet.gemalto.com/multi-f [...] art-cards/


Message édité par nex84 le 23-01-2017 à 12:12:51

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 23-01-2017 à 13:38:43    

Ok, donc je dois choisir la solution logicielle en fonction de la carte que je pense utiliser... ou vice-versa.
 
Dell a ceci : http://www.dell.com/support/articl [...] N265707/EN
Dans un autre article, on y détaille un peu plus ce à quoi le DDPA (Dell machin data protection) peut servir et les problèmes liés.
 
Si j'ai bien tout compris de ces deux articles, il y a une suite logicielle Dell qui permet d'implémenter l'authentification au démarrage (pas Windows) par smartcard, du moins pour les sans contact. Je vais creuser de ce côté-là, l'installation du logiciel me dira bien si oui ou non ça peut marcher sur ma machine (et quel type de carte je dois acheter).
 
Je rejoins Fredo3 qui a initié ce post, ça manque de tutos clairs. Sans doute parce que c'est un domaine réservé aux grosses boîtes et aux pro de l'IT ?
 
:jap:

Reply

Marsh Posté le 23-01-2017 à 14:01:50    

Mise à jour : sur ma machine le DDPA a été remplacé par le DDPST -> http://www.dell.com/support/articl [...] N286129/en
Ça devrait être préinstallé mais ça ne l'est pas.  
 
Ou alors je l'ai viré à l'époque  :D

Reply

Marsh Posté le 23-01-2017 à 14:03:04    

Cette solution de Dell ne gère que le mot de passe BIOS et Windows pour les PC Dell.
 
Après en regardant rapidement ils ont l'air de le supporter que jusqu'à Windows 7.
 
Edit : Effectivement ton 2e lien a l'air mieux.
Tu as la donc complète ici : http://www.dell.com/support/manual [...] lang=en-us
 
Après il faut regarder comment ça se met en place et quelles cartes utiliser.


Message édité par nex84 le 23-01-2017 à 14:06:46

---------------
#TeamNoBidouille || Come to the Dark Side, we have cookies || Mangez 5 fruits et légumes par an ! || Le digital, c'est les doigts
Reply

Marsh Posté le 23-01-2017 à 15:07:47    

Merci pour le guide !  :jap:  :jap:  
 
On y apprend par contre que le PBA (pre boot authentification) n'est pas disponible avec smartcard (uniquement mot de passe) : http://www.dell.com/support/manual [...] lang=en-us
 
PBA et cryptage/chiffrement sont également liés si je comprends bien : http://www.dell.com/support/manual [...] lang=en-us
 
Cela ne fonctionne donc également qu'avec un disque SED (self encrypted drive), ce qui n'est pas le cas du mien (ou alors tous les SSD le sont, mais y'a pas de raison).
Exit donc aussi - selon la doc - le multiboot.
 
Je comprends donc que l'idée d'avoir une authentification avec smartcard + pin avant tout lancement de Windows n'est possible que si le disque est chiffré (avec un disque SED, donc j'imagine avec un chiffrement en hard).
 
Ce qui serait logique : si l'idée est d'aller plus loin que l'authentification Windows, il faut chiffrer le disque, sinon à quoi servirait l'authentification dès le départ (avant Windows) alors qu'il suffit de sortir le disque de la machine pour avoir accès aux données ? Il n'empêche que ça m'aurait bien plus d'avoir une authentification en hard par la machine elle-même, même si le disque n'est pas chiffré/crypté.
 
Enfin, si j'ai tout bien compris  [:gryzor]

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed