Passer au contenu principal
Didit lève 7,5 M$ pour bâtir l'infrastructure pour l'identité et la fraude
Didit
Retour au blog
Blog · 14 mars 2026

Maîtriser la Sécurité des eID NFC : Comprendre la Dérivation de Clé BAC (FR)

Plongez dans la dérivation de clé BAC, le processus cryptographique qui sécurise les eID NFC. Découvrez comment les normes OACI 9303 utilisent les données MRZ pour générer des clés de session, protégeant ainsi les données.

Par DiditMis à jour le
bac-key-derivation-nfc-eids-security.png

Sécurité FondamentaleLa dérivation de clé BAC (Basic Access Control) est la pierre angulaire de l'accès sécurisé aux données pour les eID NFC, empêchant la lecture non autorisée des données sensibles de la puce.

La MRZ comme Racine de ConfianceLa Zone de Lecture Automatique (MRZ) sur un passeport ou une carte d'identité est essentielle ; ses données (numéro de document, date de naissance, date d'expiration) sont utilisées pour générer les clés cryptographiques.

Processus CryptographiqueLa dérivation de clé implique des algorithmes de hachage sécurisés spécifiques (comme SHA-1) et des fonctions de dérivation de clé pour transformer les données MRZ en clés de session pour une communication chiffrée.

Norme OACI 9303Le BAC est exigé par la norme OACI 9303, garantissant l'interopérabilité mondiale et un mécanisme de sécurité standardisé pour les documents de voyage lisibles à la machine électroniques (eMRTD).

Dans le monde de l'identité numérique, la sécurité des documents d'identité électroniques (eID) compatibles NFC, tels que les passeports électroniques et les cartes d'identité nationales, est primordiale. Ces documents contiennent des données personnelles sensibles stockées sur une micropuce, et la protection de ces informations contre tout accès non autorisé est un défi critique. C'est là qu'intervient le Contrôle d'Accès de Base (BAC), et plus particulièrement son processus fondamental : la dérivation de clé BAC.

Le BAC est la première ligne de défense pour les eID, un mécanisme de sécurité obligatoire défini par l'Organisation de l'Aviation Civile Internationale (OACI) dans sa norme Doc 9303. Il établit un canal de communication sécurisé entre la puce eID et un dispositif de lecture, garantissant que seuls les lecteurs autorisés peuvent accéder au contenu de la puce. Au cœur de l'efficacité du BAC se trouve le processus méticuleux de dérivation des clés cryptographiques, que nous allons explorer en détail.

Le Rôle de la Zone de Lecture Automatique (MRZ) dans la Dérivation de Clé BAC

Le parcours de la dérivation de clé BAC commence par un composant apparemment simple de chaque eID : la Zone de Lecture Automatique (MRZ). Il s'agit du code alphanumérique de deux ou trois lignes imprimé au bas de la page de données biographiques du document d'identité. Bien qu'il apparaisse comme du texte brut, la MRZ contient les informations publiques cruciales nécessaires pour initier le protocole de communication sécurisé.

Plus précisément, trois éléments de données de la MRZ sont utilisés :

  1. Numéro de document : L'identifiant unique du document de voyage.
  2. Date de naissance (DOB) : La date de naissance du titulaire au format AAMMJJ.
  3. Date d'expiration (DOE) : La date d'expiration du document au format AAMMJJ.

Ces trois éléments de données sont choisis parce qu'ils sont publiquement disponibles sur le document lui-même, permettant à un lecteur légitime de les obtenir, et pourtant ils sont suffisamment spécifiques pour générer un ensemble unique de clés pour chaque document individuel. Toute divergence dans ces entrées entraînera un échec de l'établissement du canal sécurisé, protégeant ainsi les données de la puce.

Le Processus Cryptographique : Comment les Clés BAC sont Dérivées

Le processus cryptographique pour la dérivation de clé BAC est une procédure standardisée conçue pour générer deux clés essentielles : la Clé de Chiffrement Symétrique (K_ENC) et la Clé de Code d'Authentification de Message (K_MAC). Ces clés sont ensuite utilisées pour chiffrer et authentifier toutes les communications ultérieures entre le lecteur et la puce eID.

La dérivation implique plusieurs étapes, telles que définies par la norme OACI 9303 Partie 11 et les normes cryptographiques pertinentes :

  1. Concaténation des Données MRZ : Les trois éléments de données MRZ (numéro de document, DOB, DOE) sont d'abord traités. Tous les chiffres de contrôle associés à ces champs sont inclus, et un remplissage peut être appliqué si nécessaire pour atteindre une longueur spécifique (par exemple, le numéro de document est rempli avec des caractères '<' s'il est plus court que 9 chiffres).

  2. Hachage avec SHA-1 : Les données MRZ concaténées et complétées sont ensuite introduites dans un algorithme de hachage sécurisé, généralement SHA-1 (Secure Hash Algorithm 1). Cela produit une valeur de hachage de 160 bits (20 octets), souvent appelée K_seed.

    Exemple : K_seed = SHA-1(NuméroDocument && ChiffreContrôleNuméroDocument && DateNaissance && ChiffreContrôleDateNaissance && DateExpiration && ChiffreContrôleDateExpiration)

  3. Fonction de Dérivation de Clé (KDF) : La K_seed est ensuite traitée à l'aide d'une fonction de dérivation de clé pour générer K_ENC et K_MAC. Cela implique généralement l'utilisation de K_seed comme entrée d'une fonction cryptographique (comme Triple DES en mode CBC) avec des constantes spécifiques (par exemple, '00000001' et '00000002') pour produire les clés de 128 bits (16 octets).

    Exemple (simplifié) : K_ENC = dériver_clé(K_seed, constante_1) K_MAC = dériver_clé(K_seed, constante_2)

Ces clés dérivées sont éphémères, ce qui signifie qu'elles sont générées pour chaque session et ne sont jamais stockées sur le lecteur ou la puce. Cela garantit une confidentialité persistante : même si une clé de session est compromise, elle ne peut pas être utilisée pour déchiffrer les sessions passées ou futures.

Contrôle d'Accès de Base : Sécurisation du Canal de Communication

Une fois que K_ENC et K_MAC sont correctement dérivés par le lecteur et la puce eID (après que le lecteur ait présenté ses clés dérivées à la puce pour vérification), un canal de messagerie sécurisé est établi. Ce canal fournit deux services de sécurité critiques :

  1. Confidentialité (Chiffrement) : Toutes les données échangées entre le lecteur et la puce sont chiffrées à l'aide de K_ENC. Cela empêche l'écoute clandestine et garantit que les informations sensibles, telles que les données biométriques (image faciale, empreintes digitales), ne peuvent pas être interceptées par des parties non autorisées. Ceci est crucial pour protéger la vie privée de l'individu.

  2. Intégrité et Authenticité (MAC) : Les messages sont authentifiés à l'aide de K_MAC. Un Code d'Authentification de Message (MAC) est calculé pour chaque message, garantissant que les données n'ont pas été altérées pendant la transmission et qu'elles proviennent d'une source légitime (soit la puce, soit le lecteur autorisé). Cela empêche la manipulation des données et les attaques par usurpation d'identité.

L'établissement de ce canal sécurisé est une condition préalable à l'accès à tout élément de données sensible sur la puce. Sans avoir réussi le protocole de contrôle d'accès de base, la puce refusera de transmettre les informations protégées. Ce mécanisme robuste explique pourquoi le simple fait de taper une eID avec un téléphone compatible NFC sans connaître les données MRZ ne donnera aucune information personnelle sensible.

Comment Didit Contribue à la Sécurité des eID NFC

Didit comprend les complexités de la vérification d'identité sécurisée, en particulier face aux technologies avancées comme les eID NFC. Notre plateforme prend en charge la lecture de documents NFC, qui exploite le processus standardisé de dérivation de clé BAC pour garantir le plus haut niveau de sécurité et d'authenticité des données. En intégrant les capacités NFC, Didit offre :

  • Garantie de Niveau Gouvernemental : Nous lisons les données cryptographiques de la puce, ce qui offre un niveau d'assurance supérieur à la seule inspection visuelle, car cela valide la signature numérique de la puce conformément aux normes de l'OACI.
  • Détection Améliorée de la Fraude : Le canal sécurisé établi par le BAC permet de détecter les tentatives de fraude sophistiquées, car toute manipulation des données de la puce ou accès non autorisé est empêché.
  • Conformité Simplifiée : Notre solution respecte les normes internationales comme l'OACI 9303, aidant les entreprises à répondre aux exigences réglementaires strictes en matière de vérification d'identité et de lutte contre le blanchiment d'argent (AML).
  • Expérience Utilisateur Fluide : Bien que la sécurité sous-jacente soit complexe, la plateforme de Didit abstrait cette complexité, offrant un flux de vérification fluide et intuitif pour les utilisateurs finaux, capturant et validant rapidement les données nécessaires.

En offrant la lecture de documents NFC dans le cadre de notre suite complète de vérification d'identité, Didit permet aux entreprises de vérifier les identités avec une sécurité et une fiabilité inégalées, renforçant la confiance dans un monde de plus en plus numérique.

Prêt à Commencer ?

Découvrez comment les solutions avancées de vérification d'identité de Didit, y compris la lecture d'eID NFC, peuvent améliorer votre sécurité et votre conformité. Visitez notre page produit pour plus de détails ou contactez-nous pour une démonstration personnalisée. Vous pouvez également essayer notre centre de démonstration pour expérimenter notre technologie par vous-même.

FAQ

Qu'est-ce que la dérivation de clé BAC dans les eID NFC ?

La dérivation de clé BAC est le processus cryptographique utilisé dans les eID NFC (comme les passeports électroniques) pour générer des clés de chiffrement symétrique et d'authentification. Ces clés sont dérivées de données spécifiques trouvées dans la Zone de Lecture Automatique (MRZ) du document et sont utilisées pour établir un canal de communication sécurisé et chiffré entre la puce eID et un lecteur, assurant le contrôle d'accès de base et protégeant les données sensibles.

Pourquoi la MRZ est-elle importante pour la dérivation de clé BAC ?

La MRZ (Zone de Lecture Automatique) est cruciale pour la dérivation de clé BAC car elle contient les données publiques, mais uniques (numéro de document, date de naissance et date d'expiration) qui servent d'entrée pour le processus de génération de clé. Cela garantit que seul un lecteur ayant accès au document physique et à sa MRZ peut dériver les clés correctes pour déverrouiller le contenu protégé de la puce.

Quels avantages de sécurité le Contrôle d'Accès de Base (BAC) offre-t-il ?

Le Contrôle d'Accès de Base (BAC) offre deux principaux avantages de sécurité : la confidentialité et l'intégrité. La confidentialité est obtenue par le chiffrement du canal de communication à l'aide de clés dérivées, empêchant l'écoute clandestine. L'intégrité est assurée par l'authentification des messages avec un Code d'Authentification de Message (MAC), qui empêche l'altération des données et vérifie l'origine des messages. Cela protège les données sensibles sur la puce eID contre tout accès non autorisé.

La dérivation de clé BAC est-elle toujours sécurisée contre les attaques modernes ?

Bien que le BAC offre une couche de sécurité fondamentale, sa dépendance à l'égard de SHA-1 et Triple DES pour la dérivation de clé et le chiffrement signifie qu'il est considéré comme moins robuste contre les attaques cryptographiques modernes par rapport aux protocoles plus récents comme PACE (Password Authenticated Connection Establishment). L'OACI 9303 recommande d'implémenter PACE pour une sécurité renforcée, bien que le BAC reste largement utilisé et légalement conforme pour la sécurité des eID NFC.

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le screening de portefeuilles. Intégration en 5 minutes.

Commencer gratuitementNous contacter
Demande à une IA de résumer cette page
Dérivation de Clé BAC pour eID NFC : Sécurité Renforcée.