samedi 18 septembre 2010

S’authentifier à la maison avec un certificat dans une carte à puce, c’est possible!

A la question “Est-il possible d’authentifier un utilisateur local avec un certificat stocké dans une carte à puce?”, Microsoft répond “Non, pour s’authentifier avec un certificat sur une carte à puce il est nécessaire d’utiliser Kerberos et l’utilisation de Kerberos n’est possible qu’avec un contrôleur de domaine”.

Eh bien moi je vous annonce qu’il est désormais possible de le faire avec l’aide de Vincent Le Toux! Merci Vincent!

Deux possibilités s’offrent à vous, vous pouvez soit:

  • créer un certificat avec vos outils préférés puis le stocker sur votre carte à puce
  • générer automatiquement votre certificat via l’outil de Vincent

J’ai personnellement utilisé le certificat généré par l’outil (ce certificat est stocké sur ma carte à puce Gemalto .NET). Je peux visualiser le contenu de ma carte à puce avec l’outil en ligne .NetUtilities.

La première étape consiste à me connecter comme d’habitude sur mon Windows 7 Edition Familiale Premium 64 bits avec mon mot de passe préféré et à installer EIDAuthenticate (la solution fonctionne avec Windows Vista, Windows 7, 32 et 64 bits selon l’auteur).

Puis je lance Smart Card Logon dans System and Security:

ScreenShot026

Je choisis l’option Configure a new set of credentials car ma carte à puce ne contient pas de certificat.

ScreenShot027

Je sélectionne le certificat généré (dans mon cas je n’en ai qu’un) après avoir décidé de lui faire confiance. Tous les boucliers doivent être verts.

ScreenShot028

Puis je saisis le mot de passe de mon compte Windows (après avoir activé Activate the remove policy pour permettre de me déconnecter à chaque retrait de ma carte à puce)

ScreenShot029

Enfin je saisis mon code PIN

ScreenShot030

Lorque je me connecte sur mon ordinateur avec ma carte à puce insérée dans mon lecteur j’ai la possibilité de m’authentifier avec mon mot de passe standard (cette option peut être désactivée) ou avec ma carte à puce. Je choisis la carte à puce et le certificat qu’elle contient et je saisis mon PIN.

ScreenShot032

En conclusion, cette solution permet d’avoir un niveau de sécurité équivalent au mot de passe. Mais elle présente l’énorme avantage de la facilité d’utilisation (on pourrait également désactiver la saisie de PIN pour plus de simplicité). Cette facilité d’utilisation est l’élément différenciateur dans un environnement familial.

Source: Vincent Le Toux - http://www.mysmartlogon.com/

2 commentaires:

  1. Cette solution ayant été prévue pour utiliser les cartes d'identités électronique, la grande majorité des cartes est compatible avec cette solution.
    Par contre, je ne pense pas que l'absence de PIN marche out of the box, mais pas de soucis technique pour développer cette fonctionnalité.

    vincent

    RépondreSupprimer
  2. Nice article

    Thanks

    Sylvain

    RépondreSupprimer

Partager avec...