Les certifications d’accès dites “sans contact” sont très prisées aujourd’hui. Les transports en commun à eux seuls relèvent essentiellement de ce mode de vérification, du bus au TGV, et il y a de quoi le comprendre : l’usage d’une carte magnétique, d’un QR Code, etc., est d’une facilité déconcertante pour tout un chacun. Il fait cependant une cible de choix pour les cyber-attaques. Il est simple de perdre ou de se faire voler un badge, un téléphone portable… Ce qui peut aussi conduire à de l’usurpation d’identité, des vols ou des agressions physiques. Dans un environnement sensible, le sans contact est une mesure de sécurité aussi rapide et efficace que contournable, car il suffit de posséder le bon appareil pour s’en affranchir.
L’Union européenne a réagi la hauteur des potentielles menaces que cela induit, en introduisant des directives (la NIS2 et la CER, pour ne citer qu’elles, qui s’appliqueront à compter du 17 octobre 2024). Celles-ci visent entre autres à renforcer la sécurité des infrastructures critiques, et à promouvoir la souveraineté numérique. Cela implique par ailleurs des amendes dissuasives pour les entités non conformes et un accroissement des exigences.
En quoi cela consiste, précisément ?
Si l’on renforce le système sans contact contre les attaques à distance, contourner cette barrière ne sera possible qu’en se rendant soi-même sur place et en se munissant de l’appareil nécessaire. Un site aux nouvelles normes sera donc pleinement équipé pour éviter toute attaque frontale, établissant ainsi une double sécurité. Mais c’est sur cette seconde étape que le bât blesse : de nombreux sites continuent d’utiliser des technologies obsolètes, avec environ 70 % d’entre eux reposant sur des badges en basse fréquence, des lecteurs non sécurisés et des protocoles de communication non cryptés.
Ainsi, une transition vers des technologies plus sécurisées semble être en cours, avec une adoption croissante de badges à haute fréquence (comme les Mifare Desfire EV2 ou EV3). Et, bien entendu, la sensibilisation et la formation des utilisateurs sur l’importance de la sécurité des accès sans contact font aussi leur chemin, progressivement, dans le modus operandi des professionnels. Aujourd’hui, il apparaît évident que les solutions de contrôle d’accès virtuel, comme l’utilisation du smartphone, représentent l’avenir. Il est donc nécessaire de réévaluer attentivement la manière dont leur accès est restreint. Par conséquent, des certifications de sécurité sont finalement mises en place pour les applications mobiles. Les experts de l’industrie recommandent vivement le chiffrement des communications, l’utilisation de protocoles de sécurité robustes et la mise en œuvre de dispositifs de sécurité physiques supplémentaires, tels que des lecteurs résistants aux attaques physiques.
Difficile, cependant, de ne pas observer cette évolution de la cybersécurité avec une certaine ironie ; désormais, il semble falloir sécuriser les dispositifs de sécurité eux-mêmes. Bien que cette méthode de sécurisation “globale” fera sans aucun doute ses preuves, le déploiement de tous ces moyens doit prendre en compte l’humain qui doit interagir avec la machine. La juste mesure entre la rigueur et la facilité d’accès du personnel équipé sera un équilibre difficile mais nécessaire à atteindre.