Acheter des cartes à puce et se connecter via celles-ci sous Windows 10 et Windows Server 2016

4. Commande du matériel nécessaire pour l'authentification forte via votre PKI

4.1. Commande du matériel en ligne

Vous l'aurez compris, dans notre cas nous avons acheté :

• le lecteur de cartes "HID OMNIKEY 3121", car il supporte les normes "PC/SC" et "ISO7816".
• une carte à puce "THALES IDPrime MD940", car elle supporte la norme ISO7816 (qui permet d'y inscrire un certificat) et qui permet d'utiliser le Microsoft Windows Minidriver.

Notez que pour la carte à puce, nous avons choisi l'option "Carte blanche".
En effet, nous l'avons achetée uniquement pour effectuer des tests et pour la réalisation de ce tutoriel.

Petite précision concernant le prix :

• en tant que particulier (si vous êtes un geek en informatique ou que vous faites des études dans ce domaine, par exemple), vous devrez payer le prix "TTC" (toute taxe comprise).
  Si celle-ci n'est pas facturée automatiquement lors du paiement, attendez-vous à ce que Noémie MESSAGER vous la réclame par e-mail.
• en tant que professionnel, vous payerez le prix HT (hors taxe).
  En effet, la TVA est gérée différemment lors d'achats entre professionnels (B2B).

En tant que professionnel, vous souhaiterez surement personnaliser vos cartes à puces.
Comme vous pouvez le voir dans la section "Nos prestations" de cet e-shop "scardshop", plusieurs prestations sont possibles.

Lorsque vous indiquerez votre adresse (dans votre compte ou lors de votre 1ère commande), vous verrez que le nom de la société est optionnel.
Ce qui indique que Cardelya accepte de vendre aux professionnels, mais aussi aux particuliers.

Pour le mode de livraison, il sera choisi automatiquement en fonction du pays où vous résidez :

• Colissimo pour les livraisons en France
• UPS pour tous les autres pays situés dans l'Union Européenne (UE)

Pour le paiement, vous aurez le choix entre :

• carte bancaire : carte bleue, VISA ou MasterCard.
  Banconctact/Maestro N'est PAS supporté.
• virement bancaire

Note : si vous choisissez de payer par virement bancaire, vous recevrez un e-mail avec les coordonnées bancaires de Cardelya.

Si vous avez choisi de payer par virement bancaire, vous recevrez un e-mail "[SCARDSHOP.COM] En attente de virement bancaire" avec les informations bancaires de Cardelya.

Attention : lorsque vous enverrez votre virement bancaire, n'oubliez pas d'indiquer l'identifiant de votre commande dans la description de celui-ci pour que Cardelya sache à quelle commande est associé ce paiement.

Notez qu'un virement bancaire met souvent quelques jours (3 jours ouvrables dans notre cas) à arriver chez le destinataire.

Suite à votre commande, Noémie MESSAGER vous contactera pour vous demander si vous passez cette commande en tant que particulier ou si vous disposez d'un numéro de TVA intracommunautaire.
En effet, une loi de 2021 les oblige à facturer la TVA française aux clients particuliers qui résident dans l'Union Européenne (UE).

Si le montant que vous avez payé était HT (hors taxe), que vous êtes un particulier et que vous n'avez pas de numéro de TVA intracommunautaire, vous devrez donc envoyer le montant de la TVA demandé pour être en règle.

4.2. Commande reçue

Une fois le matériel reçu, voici à quoi cela ressemble dans notre cas.

Pour commencer, voici à quoi ressemble le lecteur de cartes HID OMNIKEY 3121 que nous avons acheté.

Voici à quoi il ressemble en dessous.

Voici à quoi il ressemble de face.

Si vous le souhaitez, vous pouvez le fixer à la verticale grâce au socle livré avec le lecteur de cartes.

Pour les cartes à puces, celles-ci sont livrées dans un petit sachet en plastique sur lequel le modèle de la puce est indiqué.
Comme prévu, il s'agit de cartes avec une puce MD940.
Plus précisément, il s'agit de cartes blanches : THALES IDPrime MD940.

A l'arrière du sachet, vous verrez les codes secrets définis par défaut sur vos cartes à puces :

• User PIN : 0000
• Signature PIN : 000000
• Signature PUK : 000000
• Admin PIN : 0000...0000 (24 bytes = 48 chiffres).

Comme indiqué en orange sur le papier fourni : 5 essais ratés sur le code "Admin PIN" rendent la carte à puce inutilisable et THALES (Gemalto) ne remplacera pas vos cartes à puces bloquées.
Evitez donc de vous tromper sur ce code "Admin PIN", car ces cartes à puces coutent chacune environ 20 €.

Comme vous l'aurez remarqué, dans notre cas, nous avons choisi l'option "Carte blanche" pour ces cartes.
Du coup, il s'agit de simples cartes blanches avec la puce souhaitée.

5. Télécharger le middleware (SAC et minidriver)

Pour vous authentifier avec une carte à puce ou gérer vos cartes (changement de code PIN, ...), vous aurez besoin des logiciels créés par le fabricant.
Dans ce cas-ci, il s'agit de logiciels développés par THALES (anciennement : Gemalto).

5.1. Télécharger le middleware via Cardelya

Suite à votre commande de cartes à puces THALES IDPrime MD940, Typhaine VANNIER vous proposera peut-être le middleware SAC (SafeNet Authentication Client).
Ce logiciel est entièrement gratuit et vous permet de gérer vos cartes à puces (changement de code PIN, ...).

Si elle ne vous le propose pas, n'hésitez pas à lui envoyer un e-mail à l'adresse "typhaine.vannier[AT]cardelya.fr" pour lui demander le middleware SAC et le SafeNet Minidriver.

Note : remplacer "[AT]" par "@" dans l'adresse citée ci-dessus.

Typhaine VANNIER vous enverra le middleware SAC et le minidriver adapté via le service WeTransfer.

Note : le lien de téléchargement que vous recevrez n'est valable que pendant 7 jours.
Donc, assurez-vous de garder le fichier téléchargé à un endroit où ne risquer pas de le perdre.

Le fichier a été téléchargé.

Comme vous pouvez le voir, le fichier fourni par Cardelya contient :

• le logiciel SAC (SafeNet Authentication Client) permettant de gérer vos cartes à puces (codes PIN, ...).
• le pilote SafeNet Minidriver requis pour l'utilisation de vos cartes à puces sous Windows (Server).

5.2. Télécharger le SafeNet Minidriver chez le fabricant : THALES

Au fil du temps, THALES mettra à jour son pilote SafeNet Minidriver.
Plutôt que de recontacter Cardelya à chaque mise à jour de ce pilote, vous pouvez accéder au site web de THALES et cherchez "SafeNet Minidriver".
Dans les résultats de recherche qui apparaissent, cliquez sur le lien : SafeNet Minidriver.

Sur la page "SafeNet Minidriver" qui apparait, descendez un peu et cliquez sur le bouton : Download SafeNet Minidriver.

Sur la page "SafeNet Minidriver Support - KB0016030" qui apparait, vous trouverez des liens vers les dernières versions du Minidriver disponibles.
Notez que le dernier lien "Minidriver 10.8 (R6) (2)" (barré en rouge sur l'image ci-dessous) ne fonctionne pas. Ignorez-le.
Par contre, tous les autres liens de téléchargements disponibles sur cette page fonctionnent.

La dernière version disponible pour le moment est : Minidriver 10.8 (R6).

En bas de la page qui s'affiche, vous trouverez :

• File Name : le nom du fichier à télécharger. Dans ce cas-ci : SafeNet Minidriver 10.8 R6.zip.
• File Size : la taille du fichier à télécharger. Dans ce cas-ci : 7955 KB.
• Click here to download file : le lien de téléchargement pour obtenir ce fichier. Dans ce cas-ci : DOW0007394.

En cliquant sur ce lien de téléchargement, une petite fenêtre apparaitra.

Attention : si ce popup n'apparait pas, c'est que votre navigateur web a bloqué l'ouverture de celle-ci.
Si tel est le cas, cherchez la notification ou l'icône qui a apparu en haut de la fenêtre ou dans la barre d'adresse de votre navigateur web.

Comme prévu, le téléchargement de ce fichier a réussi.

5.3. Impossible de télécharger le middleware SAC depuis le site de THALES

Si Cardelya vous propose de vous envoyer le middleware SAC (SafeNet Authentication Client), c'est simplement parce que THALES ne vous permettra pas de télécharger ce middleware depuis son site officiel.
En effet, si vous tentez de télécharger le middleware SAC (SafeNet Authentication Client) depuis la page "SafeNet Authentication Client (SAC) 10.8 R6 Post GA (2) & SafeNet Minidriver 10.8 R6 Post GA (2) – Release Announcement", vous verrez que cela ne fonctionnera pas.

Le site web de THALES vous indiquera que vous tentez d'accéder à un article protégé et que vous pouvez peut-être y accéder en vous connectant à votre compte THALES.

Néanmoins, pour créer un compte sur le site de THALES, vous devez :

• posséder un identifiant de client THALES.
  Mais, vous n'en avez pas étant donné que vous êtes passé par un intermédiaire (en l'occurrence : Cardelya).
• connaitre l'adresse e-mail d'un collègue qui travaille dans la même société que vous.
  Mais, si vous avez acheté vos cartes à puces en tant que particulier (car vous souhaitez simplement apprendre à utiliser cette technologie, par passion ou pour vos futures études), vous ne pouvez pas utiliser cette possibilité non plus.
• demander de l'aide à THALES.

Sauf, que THALES n'accepte pas de travailler avec les particuliers.
En effet, le formulaire qu'il propose vous demande d'indiquer une adresse e-mail d'entreprise.

Dernière possibilité (qui ne fonctionne pas non plus), tentez de parler à une personne travaillant chez THALES en passant par le robot "Thally" disponible sur le site de THALES.
Sauf que ce robot vous demandera d'abord votre adresse e-mail avant de pouvoir parler à un membre de l'équipe de THALES et que ce robot N'accepte PAS non plus les adresses e-mail gratuites (gmail, hotmail, ...).
Du coup, il vous renverra l'erreur "Please enter a valid business email" et vous ne pourrez pas aller plus loin.

5.4. Télécharger le logiciel SAC (SafeNet Authentication Client) chez digicert

Si vous êtes un particulier (passionné d'informatique) et que vous ne souhaitez pas embêter la société Cardelya à chaque mise à jour du logiciel SAC (SafeNet Authentication Client), sachez que digicert propose la dernière version de ce logiciel avec des liens de téléchargement pointant sur leurs propres serveurs.
Les liens de téléchargement fournis par digicert sont référencés sur leur page : How to download SafeNet Authentication Client.

Si vous avez acheté des cartes à puces, vous savez ce qu'est une autorité de certification et vous connaissez probablement l'autorité de certification "digicert".
En effet, il s'agit d'une autorité de certification très connue et dont le certificat public fait d'ailleurs partie du magasin de certificats "Autorité de certification racines de confiance" des ordinateurs et serveurs sous Windows (Server), par défaut.