...
L'usage du simple numéro de série de la carte (CSN).
C'est l'usage le plus simple, non sécurisé (que l'on peut estimer comme acceptable dans certains cas d'usages ; certainement pas pour le contrôle d'accès ou le paiement cependant), non spécifique à Mifare DesfirDesfire, on peut penser sa retranscription / émulation aisée au travers d'un téléphone NFC. Il n'en est rien. Pour ne prendre que le système le plus répandu du marché, un Android officiel (non modifié/rooté) propose un CSN aléatoire (qui change a priori à chaque redémarrage de l'OS). De fait, il ne peut pas être utilisé comme identifiant au même titre qu'un CSN (fixe) d'une carte. On notera qu'en rootant un Android, selon la puce NFC du téléphone, on pourra fixer le CSN en le choisissant soi-même (ce qui permet par ailleurs d'usurper une carte pour un bdgeage badgeage se basant sur le CSN fixe).
L'usage du protocole Mifare Desfire (et en excluant l'usage conjoint d'un CSN fixe ... ça exclue d'ailleurs de fait l'application Desfire de la Carte Etudiante Européenne qui propose la diversification de clef via le CSN ainsi que la signature via le CSN).
Théoriquement on peut estimer pouvoir émuler une carte Mifare Desfire avec un Android. ESUP-NFC-TAG lui-même propose avec esup-nfc-tag-droid de jouer des APDU NFC Mifare Desfire au travers d'un téléphone pour interagir avec une carte Mifare Desfire. Jouer les APDU de la carte plutôt que ceux du lecteur n'est donc théoriquement qu'une affaire d'implémentation des calculs des APDU, en se basant en plus sur les mêmes alogorithmes algorithmes de chiffrement déjà en place dans esup-nfc-tag-server. Si l'on souhaite ne pas donner les clefs des applications Mifare Desfire au téléphone (à proscrire pour des raisons de sécurité : les clefs manipulées directement par un logiciel dans un téléphone ne pouvant pas être considérées comme sécurisées - une personne malveillante étant susceptible de pouvoir les récupérer via différents scénarios), on peut en effet imaginer reprendre/étendre esup-nfc-tag : les apdu desfire sont calculés par le serveur esup-nfc-tag-server et esup-nfc-tag-droid ne fait que relais (proxy) avec le lecteur NFC de contrôle d'accès (sans jamais avoir connaissance des clefs notamment).
Cela présuppose que le téléphone ait une connexion internet pour dialoguer avec le serveur esup-nfc-tag-server au moment du badgeage de la carte. Le problème que cela pose également est qu'on se place alors dans un scénario qui ressemble à une attaque de type Man-in-the-Middle pour du contrôle d'accès sans contact : on se retrouve en effet à utiliser un téléphone pour faire proxy avec un mécanisme sécurisé (dans notre cas le serveur et non la carte d'une victime) permettant d'ouvrir une porte. C'est ce type de scénario et donc d'usage que NXP tente d'endiguer avec les évolutions de Mifare Desfire (EV1, EV2 puis maintenant EV3). En plus du problème technique que cela pourrait poser (avec des systèmes sophistiqués visant justement à empêcher ce type de pratique pour raisons de sécurité), on peut ainsi se demander si l'émulation d'une carte NXP Mifare Desfire est accepté/toléré par NXP, les solutions de contrôles d'accès, voire l'ANSSI ... jusqu'à preuve du contraire, la réponse semble plutôt non ; et à notre connaissance aucune solution du marché ne propose actuellement cette fonctionnalité.
Au vu de ces considérations techniques, il parait préférable de reformuler alors la question en : comment peut-on se passer de la carte , et ce, service par service ??
Suivant les services considérésAu vu de l'existant, on trouve des solutions déjà en place.
- Le CROUS propose une application Android spécifiqué spécifique permettant de régler un repas via QR-Code.
- esup-emargement propose la possibilité d'émarger avec un QR-Code (proposée par l'interface web d'esup-emargement, sans application telephone supplémentaire à installer) ; l'interface web permet aussi au gestionnaire de cocher une simple case pour palier l'oubli d'une carte par exemple.
- Les copieurs permettent une authentification par login/password (en plus de l'authentification/identification par badgeage).
- Dans les BUs, les documentalistes peuvent retrouver une personne via le nom/prénom.
- Pour le contrôle d'accès, on note que les portes peuvent être déverrouillées par clef via une serrure classique (en plus du badgeage donc) ; des contrôles d'accès permettent de déverrouiller des portes à distance également (via l'interface web, et donc sans carte).
- ...
...