L’identification par smartphone, « solution d’avenir » du contrôle d’accès
La pandémie de Covid-19 a vu, dans certains pays, l’émergence d’applications permettant de détecter si un individu a été en contact avec des porteurs de la maladie en remontant ses itinéraires au cours des jours précédents. Ce nouvel usage du smartphone nous rappelle que cet appareil s’étend au-delà du simple moyen de communication vocale d’origine. Cela y compris lorsqu’il s’agit de contrôle d’accès.
Le 13 janvier 2020, Picard Serrures obtenait la certification A2P@ par CNPP pour sa serrure connectée Ermetis Tapkey, dont l’ouverture se fait par le biais d’un smartphone.
« C’est le premier produit qui satisfait à la fois aux exigences de résistance mécanique et de robustesse aux attaques numériques. Cela fait suite à une évolution du programme de certification A2P en 2019 pour prendre en compte la robustesse aux attaques numériques et ainsi pleinement couvrir les serrures connectées », nous confiait alors Amaury Lequette, directeur de CNPP Cert (lire notre actu « Picard Serrures, première serrure connectée certifiée A2P@ en Europe »).
Pour obtenir cette distinction A2P@, l’entreprise a dû satisfaire une dimension cybersécurité intégrée dans ce nouveau processus de certification. Une partie qui intègre notamment des tests de sniffing (technique dite de « reniflage de réseau » utilisée par les hackeurs), de gestion d’authentification, de robustesse du mot de passe ou encore de réponse du produit en cas de brouillage du bluetooth.
Chef produits serrures chez Picard Serrures, Julien Maliar nous explique l’intérêt que représente l’usage d’un smartphone dans le domaine du contrôle d’accès : « Il permet de donner l’accès d’un site à une personne sans que vous ayez besoin d’être sur place ».
« En cas de perte du smartphone, il suffit d’utiliser un badge de secours. »
Par l’intermédiaire d’un mail, l’individu ayant besoin d’un accès sur site reçoit un lien renvoyant vers une application, la plateforme Tapkey dans ce cas précis. Une fois sur place, l’intéressé n’a plus qu’à se connecter à l’application et à passer son smartphone devant la serrure connectée afin de l’ouvrir et de disposer d’un droit d’entrée.
« C’est une technologie qui a plusieurs cibles, ajoute notre interlocuteur. Elle est essentiellement destinée à des PME ou à des entreprises ayant plusieurs accès à un bâtiment et des dizaines de salariés. Mais elle peut aussi être utilisée par des particuliers sensibles aux nouvelles technologies, comme dans le cas d’une location Airbnb. »
Outre la possibilité de contrôler à distance les personnes pouvant disposer d’un accès, il est également possible de définir des tranches horaires précises durant lesquelles chacune de ces personnes disposera de cette autorisation. Et en cas de perte du smartphone, « il suffit d’annuler le droit d’accès et d’utiliser un tag de secours – ou badge de secours », confie Julien Maliar.
Et ce dernier de conclure sur la solidité du système : « La batterie du cylindre – intégrée dans la serrure – a une durée de vie allant jusqu’à 5 ans, et peut se changer en une trentaine de minutes grâce à l’intervention d’un spécialiste ».
Le NFC, technologie longtemps freinée par Apple
Si la certification A2P@ est finalement assez récente, l’utilisation d’un smartphone dans le processus du contrôle d’accès n’a pourtant rien de nouveau. « Ce n’est pas une technologie récente comme on pourrait le croire. Dans le monde de l’identification, elle existe depuis le début des années 2000, bien qu’elle ne soit connue du grand public que depuis 5 ans », confie Dominique Auvray, directeur marketing chez Fichet Group, intégrateur et fabricant de solutions de systèmes de sécurité électronique.
Pour expliquer ce décalage temporel auprès du grand public, il est nécessaire de se pencher sur le rôle d’Apple au sujet du NFC (Near Field
Communication, ou « communication en champ proche »).
« Le smartphone, ce n’est pas qu’une technologie. Ce sont plusieurs technologies », lance Stéphane Klintzing, responsable bureau d’études pour DEF Sûreté (intégrateur de solutions STID et HID Global pour l’identification par smartphone dans des systèmes de contrôle d’accès). « L’identification par smartphone peut se faire par le NFC ou le bluetooth. Si l’on parle de NFC, cela fait déjà plusieurs années que cette technologie – la première du genre – est en place. Il s’agissait d’une émulation du badge Mifare DESfire qui nécessitait une carte SIM spécifique afin de pouvoir utiliser le contrôle d’accès. Le lecteur permettait de lire cette information et d’identifier la personne via l’UTL (Unité de traitement local) », rappelle-t-il.
« Le problème du NFC chez Apple était politique. »
Le NFC, c’est ce système qui permet d’échanger des données entre deux appareils – ou deux supports – sans le moindre contact, avec une distance de quelques centimètres. Il est par exemple utilisé pour le paiement sans contact chez les commerçants, ou pour la recharge des cartes Navigo des usagers de la RATP résidant hors de l’Île de France.
Indisponible sur les produits de la marque à la pomme jusqu’en 2014, il était impossible durant les cinq années suivantes pour les utilisateurs d’iPhone de pouvoir s’en servir pour une autre tâche que le fameux Apple Pay ou d’autres applications propres à la marque. « Le problème du NFC chez Apple était politique », lâche un spécialiste, mais « ils ont fini par ouvrir ce système sous la pression » abonde un second témoin.
Des pressions, notamment gouvernementales comme l’illustre la loi contre le blanchiment d’argent votée en Allemagne à l’automne 2019, obligent en partie un changement de position chez Apple.
Le bluetooth comme moyen d’identification
Durant plusieurs années, seuls les smartphones fonctionnant sous Android avaient de fait la possibilité de se servir du NFC comme badge virtuel devant un lecteur de contrôle d’accès. Difficile cependant pour les concepteurs de se priver des utilisateurs d’iPhone, qui représentent une part considérable sur le marché du smartphone. D’où la nécessité de trouver une alternative.
« Il y a environ 5 ans, l’indentification par bluetooth a fait son apparition. L’idée était d’utiliser le bluetooth du téléphone pour s’identifier auprès du lecteur de badge, précise Stéphane Klintzing. L’avantage du bluetooth est que l’on n’est pas fermé sur la marque du téléphone. Cela fonctionne aussi bien sous Android que iOS. »
Autre avantage non négligeable du bluetooth : la distance. « Le BLE (Bluetooth Low Energy) a une plus longue portée. Il peut être utilisé à plusieurs dizaines de mètres. Un smartphone utilisant un système NFC, ou un badge classique, a un temps de réponse plus court mais il doit être placé à quelques centimètres du lecteur pour permettre l’identification. L’amélioration du temps de réponse de la technologie bluetooth est l’un des objectifs à court terme », renchérit Dominique Auvray.
Les avantages non négligeables du smartphone
La distance n’est cependant pas le seul atout que peut représenter le smartphone en comparaison avec un badge. « Le smartphone permet une facilité d’ergonomie et des baisses des coûts d’administration », énonce le directeur marketing de Fichet Group.
« Les entreprises qui emploient un nombre important de salariés ont un budget “badges” astronomique, poursuit Stéphane Klintzing. Entre le coût d’acquisition et la prestation de configuration, on parle d’une dizaine d’euros pour fournir un badge. Avec un smartphone, vous pouvez faire cela via un cloud, en enregistrant une adresse email. Le destinataire y reçoit un lien pour télécharger l’application et la configuration du badge virtuel afin de pouvoir entrer sur le site. Certes les badges virtuels ne sont pas gratuits, mais leur coût est bien inférieur à celui d’un badge physique », conclut le responsable bureau d’études de DEF Sûreté.
Sans oublier le fait que les possibilités de perdre un smartphone sont moindres. « Un smartphone n’est pratiquement jamais oublié. On y porte plus d’attention. Alors qu’un badge peut être oublié chez soi, sur le plateau à la cantine… », argue notre interlocuteur, qui par ailleurs n’oublie pas de préciser que les possibilités d’usurpation sont plus nombreuses.
Si les intégrations de systèmes par badges sont plus nombreux, les solutions par smartphones se démocratisent.
« Un badge, dès lors qu’il est trouvé, peut être utilisé. Le smartphone dispose d’un contrôle renforcé comprenant une part d’identification et d’authentification. Si le smartphone n’est pas déverrouillé et que l’application n’est pas activée, le badge virtuel n’est pas utilisable.
Tout est entièrement chiffré, que cela soit : la communication vers le cloud, qui est hébergé sur un site sécurisé ; l’application sur le smartphone, qui est stockée dans une zone sécurisée du téléphone ; et la communication avec le lecteur de badge, qui est aussi cryptée », ajoute l’intéressé.
Pour autant, le niveau de sécurité dans un système ne diffère pas, qu’il comprenne comme moyen de contrôle d’accès un badge ou un smartphone. « Le niveau de sécurité du système n’est pas supérieur avec un smartphone qu’avec un badge, tempère tout de même Dominique Auvray. Pour garantir ce niveau de sécurité, il est important de s’assurer que les clés d’accès aux données soient stockées dans l’unité de traitement local (UTL) et non dans la tête de lecture [devant laquelle est présenté le badge ou le smartphone, Ndlr]. L’UTL, ou “contrôleur”, est le dispositif qui permet le traitement des droits d’accès sur chaque porte. »
Ainsi au-delà du support servant à identifier et à authentifier une personne disposant d’un droit d’accès, c’est avant tout la sécurisation du système sur site dans son ensemble qui reste primordiale.
Lutte des classes et marqueur social
Outre l’aspect technique, la dimension humaine ne doit pas être oubliée. Notamment lorsqu’il s’agit de smartphones. Si tous les employés d’une entreprise sont logés à la même enseigne avec un badge – sur l’aspect visuel du moins car les droits d’accès peuvent varier d’un endroit du bâtiment à un autre et d’une personne à une autre – la donne diffère dès lorsqu’il s’agit de smartphones… qui peuvent alors faire office de marqueur social au sein d’une entreprise.
« La principale contrainte, c’est le produit final : le smartphone. Quand l’employeur fait le choix d’un badge physique, il en fournit un à chaque collaborateur. Quand l’accès au site passe par un smartphone, ce n’est plus la même chose. Soit l’employeur fournit un smartphone professionnel à tous ses collaborateurs, ce qui représente un coût conséquent, soit il demande à ses collaborateurs ne disposant pas de smartphone professionnel d’utiliser leur smartphone personnel. Mais l’utilisateur final n’est pas toujours d’accord » avertit Stéphane Klintzing, en se basant sur une expérience vécue chez un client.
Rappel d’une certaine forme de hiérarchisation, voire d’une potentielle différence de considération entre des « cadres privilégiés » disposant d’un téléphone professionnel et des « salariés lambdas » contraints d’utiliser leur téléphone personnel… La mise à disposition d’un smartphone peut très vite tourner à la lutte des classes lorsqu’il n’est pas accessible à l’ensemble des collaborateurs d’une entreprise.
La solution à ce type de problématique a pourtant rapidement été trouvée avec la mise en place de lecteurs multi-technologies, permettant l’identification de badges et de smartphones.
Les lecteurs multi-technologies, futur immédiat du contrôle d’accès
Badge ou smartphone… L’avenir de l’identification devrait en réalité s’écrire avec les deux technologies. « Aujourd’hui, les intégrations de systèmes par badges sont plus importantes que celles par smartphones. Mais la demande est en hausse pour ces derniers. C’est une solution d’avenir, qui prend son temps mais se démocratise », relate Stéphane Klintzing.
Preuve que cet avenir s’écrira probablement avec des lecteurs multi-technologies, Fichet Group lancera très prochainement son nouveau lecteur ProStyl B, qui inclura la lecture de badges Mifare DESFire, mais aussi des technologies NFC et BLE, afin que l’ensemble des smartphones disponibles sur le marché – fonctionnant sous Android ou iOS – puissent servir de support d’identification et d’authentification.
Malgré la domination des badges sur le plan national, la France n’est pas pour autant lâchée à l’international s’agissant de l’identification via smartphones. En termes de conception, « elle est plutôt dans le bon wagon, analyse Dominique Auvray. Les groupes de télécommunications et les grands constructeurs français sont très avancés sur ces questions ».
Pour ce qui est de l’utilisation, les pays asiatiques restent néanmoins leaders en la matière. « En Asie, ils sont beaucoup plus ouverts à l’utilisation des smartphones personnels pour accéder aux sites professionnels », note notre interlocuteur de DEF Sûreté. Les différences culturelles sur la collecte et le partage de données personnelles (incluant la reconnaissance faciale), régulés en France par le RGPD, tend par ailleurs à expliquer cette ouverture d’esprit plus largement diffusée au sein des pays asiatiques quant à ces formes d’utilisation du smartphone.
Enfin, notons que le badge a encore un bel avenir devant lui en France. L’Anssi (Agence nationale de la sécurité des systèmes d’information) impose en effet l’utilisation de badges Mifare DESFire aux OIV (Opérateurs d’importance vitale). Une condition renforcée par le fait que, jusqu’à présent, « aucun badge Mifare DESFire EV1 ou EV2 n’a été décrypté »… Et que les possibilités de se faire hacker sur un support « coupé du monde extérieur et d’internet » sont bien moindres en comparaison d’un smartphone qui, « bien que sécurisé, conserve un lien vers l’extérieur avec les données mobiles et peut, potentiellement, subir une perte de données », rappelle Stéphane Klintzing.
Reste que pour l’heure, cette décision légitime de l’Anssi éloigne inéluctablement les smartphones « du marché du contrôle d’accès de la très haute sécurité », conclut Dominique Auvray. D’où l’émergence d’un compromis incluant badges et smartphones.
Eitel Mabouong – Journaliste
Les plus lus…
Le 11 mars 2024, un incendie a touché le site de la raffinerie Esso de Port-Jérôme-Gravenchon. Trois jours plus…
En phase d’expérimentation jusqu’au 31 mars prochain, la vidéosurveillance algorithmique était au cœur de nombreuses tables-rondes sur le dernier…
Dekra, organisme mondial exerçant dans les domaines de l’inspection, de la certification et de l’audit et conseil en matière…
Un enregistrement réalisé par un salarié à l’insu de son employeur est soumis à la Cour de cassation dans…
Les violentes inondations qui ont frappé l’Espagne en octobre et novembre 2024 ont fait au moins 230 morts, selon…
Le 9 juillet 2024, les sapeurs-pompiers d’Alès (Gard) sont engagés sur un violent feu d’usine d’huiles alimentaires. Les écoulements…