Acheter des cartes à puce et se connecter via celles-ci sous Windows 10 et Windows Server 2016 - Windows Server - Tutoriels

Si vous avez besoin d'une authentification forte dans votre entreprise, vous aurez besoin de lecteurs de cartes et de cartes à puces (dans lesquelles vous inscrirez les certificats de vos utilisateurs).
Ainsi, ils pourront par exemple se connecter sur un PC client grâce à leur carte à puce et au code PIN associé.

Néanmoins, avant de commander votre matériel, il sera primordial de vous renseigner pour savoir quels lecteurs de cartes et quelles cartes à puces acheter.
En effet, toutes les cartes à puces ne supportent pas le stockage de certificats.

1. Où acheter des cartes à puces ?

Pour commander des cartes à puces et des lecteurs de cartes à puces compatibles, nous vous recommandons d'aller chez Cardelya.
En effet, il s'agit d'une société française qui accepte de vendre des produits aux entreprises, mais aussi aux particuliers.

Si vous êtes un geek et que vous ne possédez pas d'entreprise, vous pourrez donc aussi commander sans problème sur ce site.
Néanmoins, faites attention aux prix, car ceux-ci sont affichés HTVA (hors TVA) étant donné que ces produits sont destinés principalement aux professionnels. En tant que particulier, vous devrez aussi payer la TVA associée (si vous résidez en UE).

Comme vous pouvez le voir dans la section "Nos solutions -> Authentification forte -> Infrastructure à clés publique - PKI" du site de Cardelya, vous verrez que Cardelya peut vous aider dans l'implémentation de votre infrastructure à clés publiques (PKI) en vous permettant d'authentifier vos utilisateurs grâce à des cartes à puces.

Si vous allez dans la section "Nos produits", vous verrez que Cardelya peut vous fournir différents produits de sécurité informatique :

Cartes à puce : cartes à puces contenant des données ou des certificats (si applicable)
Lecteurs de cartes : pour lire et utiliser vos cartes à puces
HSM - HSE : pour générer, stocker et protéger vos clés de chiffrement de manière sécurisée
Logiciel : logiciel permettant d'utiliser et/ou gérer vos cartes à puces
etc

A droite, vous verrez également que Cardelya vous permet de commander leurs produits en ligne via leur e-shop.

Important : Cardelya n'est que le site vitrine de cette entreprise.
Les achats sont gérés via leur e-shop officiel "scardshop.com". Les produits sont donc plus à jour sur l'e-shop que sur le site vitrine Cardelya.

L'e-shop de Cardelya est accessible via le domaine "scardshop.com".

Comme vous pouvez le voir, cet e-shop vous permet d'acheter plusieurs types de produits, dont les cartes à puces "cartes microprocesseur" dont vous aurez besoin pour l'authentification forte via votre infrastructure PKI.

Si vous cliquez sur le lien "Qui sommes-nous ?" situé en bas de cet e-shop, vous verrez que ce site est le site de vente de Cardelya.
Les 2 sites sont donc gérés par la même société.

Si vous allez dans la section "Cardelya -> Marques partenaires"du site de Cardelya, vous verrez que Cardelya travaille avec plusieurs partenaires, dont : :

Gemalto (qui est devenu Thales entre-temps) : fournit les cartes à puces dont vous aurez besoin
HID Global : fournit le lecteur de cartes compatible que nous vous proposerons dans ce tutoriel

En cas de question concernant les produits de Cardelya et/ou de vos besoins, n'hésitez pas à contacter Cardelya par téléphone au numéro : +33 (0)2 99 00 30 83.
Leurs coordonnées sont disponibles dans la section "Contact" de leur site.

Si vous préférez les contacter par e-mail, contactez :

Typhaine VANNIER à l'adresse "typhaine.vannier[AT]cardelya.fr" pour les questions techniques
Noémie MESSAGER à l'adresse "noemie.messager[AT]cardelya.fr" pour les questions administratives ou commerciales

Note : n'oubliez pas de remplacer "[AT]" par "@" dans les adresses e-mail citées ci-dessus.

2. Quelles cartes à puces choisir ?

Pour commencer, allez sur l'e-shop "scardshop.com".

Si vous allez dans "Cartes à puce", vous verrez que de nombreux types de cartes sont proposés.
En effet, vous pourrez utiliser des cartes à puce contact (cartes similaires à votre carte de banque avec une puce), des cartes RFID (cartes sans contact), ...

Pour pouvoir inscrire des certificats via votre infrastructure PKI Microsoft, vous devrez utiliser des cartes microprocesseur.

Attention : les cartes mémoire de la section "Cartes à puce contact" NE permettant PAS de stocker des certificats.
Il s'agit uniquement de cartes programmables dans lesquelles vous pouvez stocker manuellement des données.

Comme vous pouvez le voir, les cartes à puces disponibles dans la section "Cartes à puce -> Cartes à puce contact -> Cartes microprocesseur" de cet e-shop sont fournies par THALES (anciennement GEMALTO) et vous correspondent à vos besoins en PKI.
Grâce à ces cartes à puces, vous pourrez bénéficier de l'authentification forte dans votre entreprise.

Comme vous pouvez le voir, il existe différentes versions de ces cartes à puces.

Ce qui change principalement est :

la puce qui est utilisée sur ces cartes à puce
la taille de l'espace de stockage disponible sur celle-ci
le niveau de sécurité supporté

Pour ce tutoriel, nous avons acheté la carte à puce "THALES IDPrime MD940" (qui est la version la plus récente disponible sur cet e-shop).

Si vous ne savez pas quelle puce choisir, choisissez celle dont le numéro est le plus élevé.
En effet, cela indique qu'il s'agit de la version la plus récente.

Si la carte à puce "THALES IDPrime MD940" n'est plus disponible au moment où vous suivez ce tutoriel, nous vous recommandons d'utiliser une carte "THALES IDPrime MDxxx" plus récente.
En effet, la mention "MD" dans le modèle de cette carte à puce "THALES IDPrime" indique qu'elle peut fonctionner avec Microsoft Windows Minidriver (ce qui simplifie l'intégration dans votre environnement Microsoft Windows).

Le plus important pour que cette carte à puce puisse fonctionner avec votre infrastructure PKI est que celle-ci supporte l'interface ISO 7816.
En effet, cela signifie que vous pourrez inscrire un certificat sur celle-ci.

Sources :

Comme vous pouvez le voir sur la fiche ci-dessous, cette carte à puce à une taille mémoire de 400 KB.
Ce qui est largement suffisant.
En effet, un certificat utilisant une clé de 1024 bits occupera environ 2,5 Ko de place dans votre carte à puce.
Le reste de l'espace de stockage de votre carte mémoire contient :

son système d'exploitation : 16 Ko
les applications de son fournisseur, telles que CSP : 8 Ko
la structure de ses dossiers : 4 Ko

Notez que plus la taille de la clé utilisée pour votre certificat sera élevée, cela sera sécurisé.
Néanmoins, une clé de 1024 bits est suffisante (d'après Microsoft) pour sécuriser l'accès distant ou les comptes Administrateurs.
De plus, plus la taille de clé sera élevée, plus le processus d'ouverture de session prendra de temps.

Source : Évaluation des cartes à puce - Microsoft Docs.

En bas de chaque fiche, vous trouverez souvent la documentation liée au produit concerné.

Dans cette documentation, vous verrez que THALES indique que les cartes à puces SafeNet IDPrime sont conçues pour les applications basées sur de la PKI et que le SafeNet minidriver offre une intégration parfaite avec le support natif de Microsoft (sous Windows 10).
Grâce au minidriver, les fabricants de cartes à puces peuvent utiliser le support natif de Microsoft et utiliser notamment le fournisseur de chiffrement : Smart Card Base Cryptographic Service Provider (CSP).

Sources :

Si vous avez des besoins très spécifiques ou que vous voulez vérifier la compatibilité de cette carte à puce avec votre infrastructure PKI, vous pourrez obtenir toutes les informations souhaitées sur celle-ci dans la suite de ce fichier PDF très complet.
Comme prévu, pour cette carte à puce "THALES IDPrime MD940", on retrouve les informations importantes :

le nom de la carte à puce : SafeNet IDPrime 940
les normes qu'elle supporte : BaseCSP minidriver (SafeNet minidriver) et ISO 7816 (support de l'inscription de certificats sur la carte à puce)

3. Quel lecteur de cartes choisir ?

Maintenant que vous savez quelles cartes à puce contact acheter, il est important d'acheter un lecteur de cartes à puce compatible avec celles-ci pour pouvoir les lire et les utiliser.
Pour cela, allez dans la section "Lecteurs de carte à puce -> Lecteurs carte contact" de cet e-shop "scardshop".

Dans cette section "Lecteurs de carte à puce -> Lecteurs carte contact", vous trouverez plusieurs lecteurs de cartes fournis par différents fabricants.

Dans notre cas, nous avons choisi le lecteur de cartes à puce "HID OMNIKEY 3121".
Comme vous pouvez le voir, il s'agit d'un lecteur de cartes à puces "PC/SC" (Personal computer/Smart Card).

Dans sa description, vous verrez qu'il supporte à nouveau cette norme "PC/SC" et qu'il peut notamment lire les cartes à puces compatibles avec l'interface ISO 7816.
Notez que ce lecteur de cartes peut lire toutes les cartes à puces "ISO 7816" (peu importe la puce utilisée sur vos cartes à puces).

Comme nous l'a confirmé Typhaine VANNIER travaillant chez Cardelya, ce lecteur de cartes "HID OMNIKEY 3121" peut lire toutes les cartes à puces utilisant l'interface "ISO7816" (peu importe la puce utilisée : MD940, MD930, ...).

Comme vous pouvez le voir sur la page "Architecture des cartes à puce" de la documentation officielle de Microsoft, Microsoft supporte les lecteurs de cartes à puces utilisant la norme "Ordinateur personnel/Carte à puce" (PC/SC).