...
Concernant le NFC, et confère la page Tags NFC - getting started sur ce même wiki, il faut distinguer 2 grands usages des cartes Mifare Desfire dans nos établissements.
L'usage du simple numéro de série de la carte (CSN) d'une part, c'.
C'est l'usage le plus simple, non sécurisé (que l'on peut estimer comme acceptable dans certains cas d'usages ; certainement pas pour le contrôle d'accès ou le paiement cependant), non spécifique à Mifare Desfire et donc que l'on pourrait croire facile à restranscrire ou émuler au travers d'un téléphone NFC. En fait il n'en est rien. Pour ne prendre que le système le plus répandu du marché, un Android officiel (non modifié/rooté) propose un CSN aléatoire (qui change a priori à chaque redémarrage de l'OS). Il ne peut de fait pas être utilisé comme identifiant au même titre qu'un CSN (fixe) d'une carte. On notera qu'en rootant un Android, selon la puce du téléphone, on pourra fixer le CSN en le choisissant soi-même (ce qui permet par ailleurs d'usurper une carte pour un bdgeage se basant sur le CSN fixe).
Concernant lL'usage du protocole Mifare Desfire maintenant (et en excluant l'usage conjoint d'un CSN fixe ... ça exclue d'ailleurs de fait l'application Desfire de la Carte Etudiante Européenne qui propose la diversification de clef via le CSN ainsi la signature via le CSN), théoriquement .
Théoriquement on peut estimer pouvoir émuler une carte avec un Android. ESUP-NFC-TAG lui-même propose avec esup-nfc-tag-droid de jouer des APDU NFC Mifare Desfire au travers d'un téléphone pour interagir avec une carte Mifare Desfire. Jouer les APDU de la carte plutôt que ceux du lecteur n'est donc théoriquement qu'une affaire d'implémentation des calculs des APDU, en se basant en plus évidemment sur les mêmes alogorithmes de chiffrement déjà en place dans esup-nfc-tag-server. Si l'on souhaite ne pas donner les clefs des applications Mifare Desfire au téléphone (à proscrire pour des raisons de sécurité : les clefs manipulés manipulées directement par un logiciel dans un téléphone ne pouvant pas /plus être considérées comme sécurisées - une personne malveillante étant susceptible de pouvoir les récupérer via différents sécanriosscénarios), on peut en effet imaginer reprendre le principe développé dans /étendre esup-nfc-tag : les apdu desfire sont calculés par le serveur esup-nfc-tag-server et esup-nfc-tag-droid ne fait que relai relais (proxy) avec le lecteur NFC de contrôle d'accès (sans jamais avoir connaissance des clefs notamment).
Cela présuppose que le téléphone ait une connexion internet pour dialoguer avec le serveur esup-nfc-tag-server au moment du badgeage de la carte. Le problème que cela pose également est qu'on se place alors dans un scénario qui ressemble à une attaque de type Man-in-the-Middle pour du contrôle d'accès sans contact : on se retrouve en effet à utiliser un téléphone pour faire proxy avec un mécanisme sécurisé (dans notre cas le serveur et non la carte d'une victime) permettant d'ouvrir une porte. C'est ce type de scénarios scénario et donc d'usage technique que NXP tente d'endiguer avec les évolutions de Mifare Desfire (EV1, EV2 puis maintenant EV3). En plus du problème technique que cela pourrait poser (avec des systèmes sophistiqués visant justement à empêcher ce type de pratique pour raisons de sécurité), on peut ainsi se demander si l'émulation d'une carte NXP Mifare Desfire est accepté/toléré par NXP, les solutions de contrôles d'accès, voire l'ANSSI ... jusqu'à preuve du contraire, la réponse semble plutôt non (; et à notre connaissance aucune solution du marché ne propose actuellement cette fonctionnalité).
Au vu de ces considérations techniques, il parait finalement préférable de reformuler alors la question en : comment peut-on se passer de la carte, et ce, service par service ?
Au vu de l'existant, la question se pose service par service : des réponses sont en effet déjà apportées pour bon nombre de serviceson trouve des solutions déjà en place.
- Le CROUS propose une application Android spécifiqué permettant de régler via QR-Code.
- esup-emargement propose la possibilité d'émarger avec un QR-Code (proposée par l'interface web d'esup-emargement, sans application telephone supplémentaire à installer) ; l'interface web permet aussi au gestionnaire de cocher une simple case pour palier l'oubli d'une carte par exemple.
- Les copieurs permettent une authentification par login/password (en plus de l'authentification/identification par badgeage).
- Dans les BUs, les documentalistes peuvent retrouver une personne via le nom/prénom.
- Pour le contrôle d'accès, on note que les portes peuvent être déverrouillées par clef via une serrure classique (en plus du badgeage donc) ; des contrôles d'accès permettent de déverrouiller des portes à distance également (via l'interface web, et donc sans carte).
- ...