Authentification par carte à puce Ovotronic, fausse bonne idée…

Pour une fois un article pas technique ou presque. Il y quelques jours de cela, la société Ovotronic, filiale d’AdnX annonçait se lancer dans la vente d’une solution toute en un permettant l’authentification par carte à puce sous OS X.

Étant quelque peu intéressé par le sujet pour avoir écrit un article dessus (lire : Utiliser des cartes à puce pour s’authentifier sur OS X Lion avec un OpenDirectory) j’ai contacté la société pour obtenir plus d’informations.

Première chose assez étonnante, Ovotronic ne propose aucun produit de démonstration pour la presse ou les consultants intéressés par leur produit. Pour évaluer la chose, il faudra donc sortir un billet de 300 €…

Lors de mes échanges avec la société, j’ai pu obtenir quelques informations dont je me doutais en lisant la description du produit. Ovotronic se base sur la technologie de lecteur et de carte Feitian, un fabricant spécialisé dans les produits de sécurité utilisable dans le monde OpenSource et les pilotes libres OpenSC pour l’intégration à OS X. C’est la même technologie que j’ai utilisée pour mon article, je connais donc très bien ses implications.

La première chose qui me choque ici c’est le prix de la solution. 300 € me semble un peu cher pour ce qui est proposé. Ovotronic proposant les cartes et lecteurs au détail, nous allons commencer par comparer les prix avec Gooze :

Et nous parlons ici en prix public unitaire sans réduction ! Le pack de 50 cartes étant vendu chez Gooze 390 €, cela donne un cout unitaire d’achat part Ovotronic à 7,8 € voire moins. Ovotronic fait donc une belle marge sur un matériel qu’elle n’a pas fabriqué.

Mais soit, c’est le principe du commerce. Cependant, le lecteur plus la carte ne font pas 299 €, le packaging en lui même avec le logiciel de configuration semble donc valorisé à 231 €.

Ce logiciel présenté sur le site d’Ovotronic choque déjà par une chose, pour un outil professionnel, son intégration à OS X est assez… étrange ! Je n’ai pas eu l’occasion de l’essayer, mais les captures d’écran montrent une interface très personnalisée, une énorme perte de temps selon moi pour un logiciel qui va être utilisé très peu de fois et donc une augmentation des coûts inutile.

OvotronicConfigTool

Mais le plus intéressant c’est ce que fait se logiciel, il permet d’installer les pilotes, de configurer OS X et de configurer la carte.

En me référant à l’article que j’ai écrit en avril 2012, comparons les actions.

Installation des pilotes, soit une liste de package à déployer :

Et c’est tout. Deux packages tout ce qu’il y a de plus standard.

Après quoi vient la configuration du Mac pour qu’il utilise les cartes à puce pour l’ouverture de session, ça ce complique un peu ici, deux lignes de commande à taper :

$ sudo /usr/libexec/PlistBuddy -c "add rights:system.login.console:mechanisms:0 string builtin:smartcard-sniffer,privileged" /etc/authorization.working
$ sudo /usr/libexec/PlistBuddy -c "add rules:authenticate:mechanisms:0 string builtin:smartcard-sniffer,privileged" /etc/authorization.working

Viens maintenant la partie plus complexe et pour laquelle le logiciel d’Ovotronic peut être intéressant, la configuration de la carte à puce et l’association à un utilisateur.

OvotronicConfigTool2

Pour configurer la carte à puce, il faut la formater et lui donner un certificat de sécurité. Le certificat de sécurité, l’interface d’Ovotronic ne semble pas le demander. Cela peut laisser croire qu’ils génèrent un certificat auto signé, un mauvais choix en terme de sécurité et une mauvaise intégration de leurs outils dans le monde de l’entreprise.

La version ligne de commande pour effacer, formater et charger la carte serait :

$ pkcs15-init -E
$ pkcs15-init --create-pkcs15 --profile pkcs15+onepin --use-default-transport-key --label "Yoann Gini" --pin 1234 --puk 11111111
$ pkcs15-init --store-private-key Desktop/YoannGini.p12 -l "yoann@inig-services.com" --format pkcs12 --auth-id 01

Quant à l’association à un utilisateur elle se fait de la manière suivante :

$ sudo sc_auth accept -d /Local/Default -u yoanngini -k yoann@inig-services.com

Et c’est tout. Une fois que vous en êtes là, vous en avez fini avec la ligne de commande ou avec l’outil d’Ovotronic, vous ne vous en resservirez que pour créer de nouvelles cartes. Le reste du temps, lors de l’usage et non de la configuration de la carte, ce sont les pilotes et les fonctions natives d’OS X qui sont utilisés.

Nous avons donc ici un packaging de produit vendu plus cher que la concurrence avec un logiciel de configuration simplifié qui pour 231 € vous évite de taper 6 lignes de commande… Cela fait quand même près de 40 € la ligne !

En discutant avec Ovotronic, je leur ai fait part de mon état plus que dubitatif face à leur placement produit et leur ai également demandé si leur outil était compatible avec l’Open Directory ou tout autre système de service d’annuaire.

Outre le fait que le service support « crois de moins en moins a Open Directory » je pense que le plus choquant pour moi est la cible de marché qui est « le docteur, le pharmacien, etc. qui n’a pas d’admin sous la main…lui ».

Bien que la chose soit louable, en tant que consultant cela me pose un énorme problème, ces clients qui n’ont pas d’admin sous la main, que vont-ils faire lorsqu’une mise à jour système va casser l’authentification par carte à puce ou qu’ils vont perdre leur carte ? Ils sont sur des machines de travail, sur un secteur médical en plus, qui va faire une intervention d’urgence pour débloquer des machines ? Qui a une sauvegarde des certificats de sécurité des utilisateurs ? Ovotronic ne fournit même pas de documentation de fonctionnement sur leur site pour qu’un consultant ou un technicien puisse comprendre comment ça marche et s’en dépatouiller sans les contacter…

En somme, nous avons là un logiciel cher, qui ne répond pas aux besoins des PME par ce que le gérant n’y croit pas et qui pose des problèmes de sécurité (opacité de fonctionnement, manque de formation des utilisateurs et des techniciens).

Si j’ai donc une recommandation à faire sur ce produit, ce serait de passer votre chemin. Apprenez à le faire en ligne de commande (j’ai tous les 2 ou 3 mois des messages de personnes ayant réussi l’intégration de la chose via mon article) ou mettez-vous en relation avec un technicien ou un consultant qui s’engage au fonctionnement de la chose.

3 réflexions au sujet de « Authentification par carte à puce Ovotronic, fausse bonne idée… »

  1. Super !
    Hier je pensais te contacter pour te poser quelques questions rapides sur l’authentification par cartes à puce sur Mac. Je suis consultant sécurité et je veux m’amuser un peu…
    La première questions était « combien ça va me coûter cette plaisanterie ». La réponse me convient : pas très cher.
    J’aurais peut-être 2 ou 3 autres questions rapides à venir.

    Si la cible ce sont les professionnels de santé, ça me parait mal joué : autant utiliser leur carte CPS, et je ne suis pas certain que ce soit compatible (ou en tous cas adapté).

    • Bonjour,

      Aucun souci pour les questions. J’ai eu plusieurs retour ces derniers temps comme quoi mon article est toujours viable pour 10.8, par contre quelques bug actuellement dans la beta de 10.8.3, à surveiller donc.

      Concernant les cartes CPS, le soucis de la carte à puce c’est le protocole de dialogue des cartes. Ce n’est pas dit qu’une implémentation libre existe.

      • Bon, ben je ne vais peut-être pas avoir besoin de plus d’aide que ton premier article sur le sujet.

        Je me suis tiré des certificats de signature et de chiffrement et je les ai injectés dans la carte. Ca marche nickel avec Mail.
        Prochaines étapes pour moi :
        – Tirer un certificat d’authentification et m’authentifier avec sur le Mac (je vais suivre ton article)
        – Générer les bi-clés dans la carte et utiliser une CSR pour la certification (parce que j’ai des principes, et que je n’aime pas faire sortir des clés de signature et d’authentification d’une carte à puce !)

        Encore merci pour tes articles sur le sujet.

Laisser un commentaire