Cartes d’accès sur les chantiers : Pourquoi MIFARE Classic n’est pas sûr et comment fonctionne un chiffrement sécurisé
Christopher Sura · jeudi 12 mars 2026 · 7min
Les cartes d’accès font partie du quotidien des chantiers. Mais rares sont ceux qui savent que la plupart des cartes d’accès peuvent être copiées en quelques secondes – avec des appareils à moins de 50 euros.
Que ce soit pour le contrôle d’accès numérique aux tourniquets, portes ou barrières – quiconque utilise des badges de chantier sans prêter attention à la technologie de chiffrement sous-jacente s’expose à des accès non autorisés, à des vols et à des manipulations du suivi des présences. Les cartes d’accès basées sur l’UID et les cartes MIFARE Classic se copient en quelques secondes – avec des appareils en vente libre à moins de 50 euros.
Dans cet article, nous expliquons pourquoi la lecture de l’UID et MIFARE Classic représentent un risque de sécurité et comment un contrôle d’accès moderne et chiffré pour chantiers basé sur MIFARE DESFire EV3 élimine complètement ce problème.
Copier une carte d’accès : pourquoi les cartes RFID basées sur l’UID ne sont pas sûres
La plupart des systèmes d’accès simples ne lisent que l’UID (Unique Identifier) d’une carte – un numéro de série gravé en usine, attribué lors de la fabrication. Le problème : cet UID est transmis sans chiffrement à chaque lecture. Aucune authentification n’a lieu entre la carte et le lecteur.
Concrètement, cela signifie :
- Tout smartphone compatible NFC peut lire l’UID d’une carte d’accès en quelques secondes.
- Des cloneurs d’UID sont disponibles sur Internet à partir d’environ 30 euros et créent une copie fonctionnelle sur une carte vierge.
- Le système d’accès ne peut pas distinguer s’il s’agit de la carte originale ou d’une copie.
Sur un chantier, cela signifie : toute personne qui s’approche, même brièvement, d’une carte d’accès peut s’introduire sans être remarquée. Personnes non autorisées, vol de matériaux de construction et manipulations du suivi des présences en sont les conséquences.
MIFARE Classic cassé : pourquoi ces cartes d’accès n’offrent aucune sécurité
De nombreux fournisseurs misent sur les cartes MIFARE Classic et les présentent comme « sûres », car contrairement à la simple lecture de l’UID, elles offrent un chiffrement. Mais cette sécurité est trompeuse.
MIFARE Classic utilise l’algorithme propriétaire Crypto-1, qui a été entièrement cassé dès 2008. Depuis, plusieurs méthodes d’attaque sont documentées publiquement :
- Attaque Darkside : permet de lire les clés même si aucun secteur de la carte n’est connu.
- Attaque Nested : si une clé est connue (par exemple la clé d’usine par défaut), toutes les autres clés peuvent être calculées en quelques minutes.
- Attaque Hardnested : fonctionne même avec des clés définies individuellement et ne nécessite qu’un appareil Proxmark ou Flipper Zero.
Important à savoir :
Tous les outils permettant de cloner des cartes MIFARE Classic sont librement disponibles et ne nécessitent aucune expertise. Un Flipper Zero à environ 200 euros suffit pour copier intégralement des cartes MIFARE Classic en quelques minutes.
Le résultat : MIFARE Classic n’offre plus aucune sécurité digne de ce nom et est tout simplement inadapté au contrôle d’accès sur les chantiers, où des centaines de personnes entrent et sortent.
Cartes d’accès infalsifiables : comment fonctionne le chiffrement MIFARE DESFire EV3
Bausicht mise sur MIFARE DESFire EV3 – le standard industriel actuel pour les cartes d’accès sans contact hautement sécurisées. Contrairement à MIFARE Classic, DESFire EV3 repose sur le standard de chiffrement AES-128, également utilisé dans le secteur bancaire et par les administrations gouvernementales.
Les caractéristiques de sécurité décisives :
- Authentification mutuelle : la carte et le lecteur s’authentifient mutuellement avant tout échange de données. Une simple lecture ou interception est ainsi exclue.
- Communication chiffrée : toutes les données échangées entre la carte et le lecteur sont transmises avec un chiffrement AES. L’écoute de la liaison radio ne fournit que des données inutilisables.
- Clés diversifiées : chaque carte reçoit une clé unique, propre à la carte. Même si un attaquant parvenait à extraire la clé d’une seule carte, aucune autre carte ne serait compromise.
Que signifie la diversification des clés (Key Diversification) ?
Avec la diversification des clés, une clé de carte unique est dérivée d’une clé maître secrète et d’une information propre à la carte (par exemple l’UID), selon des algorithmes conformes aux normes NIST. La clé maître ne quitte jamais le Secure Access Module.
Ce procédé garantit que :
- Aucune clé de carte ne ressemble à une autre – même avec des milliers de cartes dans le système.
- La clé maître n’est jamais exposée – ni sur la carte, ni dans le lecteur.
- La copie d’une carte d’accès est exclue, car la clé de carte ne peut pas être extraite de la carte.
Secure Access Module (SAM) – Un stockage de clés inviolable pour votre contrôle d’accès
Un élément central de notre architecture de sécurité est le Secure Access Module (SAM AV3) – une puce cryptographique inviolable avec certification EAL5+. Ce module est utilisé aussi bien dans le lecteur de cartes USB sur PC que dans les contrôleurs d’accès sur le chantier.
Le SAM assume les tâches suivantes :
- Stockage sécurisé des clés : les clés maîtres sont stockées exclusivement dans le SAM et ne le quittent jamais – même en cas d’attaque physique sur le lecteur.
- Opérations cryptographiques : toutes les opérations de chiffrement et de déchiffrement ont lieu directement dans le SAM. La clé n’est à aucun moment déposée dans la mémoire vive du contrôleur ou du PC.
- Protection contre la manipulation : la certification EAL5+ confirme que la puce est protégée contre les attaques physiques (attaques par canaux auxiliaires, probing, injection de fautes).
Même si un attaquant démonte un lecteur d’accès du mur et désassemble entièrement l’appareil, il ne peut pas extraire les clés stockées.
Contrôle d’accès chiffré sur le chantier : de la carte au serveur
La sécurité ne s’arrête pas à la carte d’accès. Bausicht garantit une chaîne de communication chiffrée de bout en bout, du moment où la carte est lue jusqu’au traitement sur le serveur :
1. Carte → Lecteur (sans contact)
La communication entre la carte MIFARE DESFire EV3 et le lecteur s’effectue via une session chiffrée en AES-128 avec authentification mutuelle. Toute écoute ou attaque par rejeu est exclue.
2. Lecteur → Contrôleur (OSDPv2 Secure Channel)
Le lecteur communique avec le contrôleur d’accès via le protocole OSDPv2 avec Secure Channel. OSDPv2 est le successeur du protocole Wiegand obsolète et offre :
- Un canal de données chiffré en AES-128 entre le lecteur et le contrôleur
- Une authentification mutuelle du lecteur et du contrôleur
- Une protection contre la manipulation, les attaques par rejeu et les attaques de type man-in-the-middle
Bon à savoir :
Le protocole Wiegand obsolète, encore utilisé dans de nombreux systèmes d’accès, transmet les données sans chiffrement. Avec un simple sniffer Wiegand à environ 20 euros, les données de carte peuvent être interceptées directement sur le câble – sans aucun accès à la carte elle-même.
3. Contrôleur → Serveur (TLS)
La communication du contrôleur d’accès vers le serveur Bausicht s’effectue via une connexion chiffrée en TLS. Toutes les données d’accès sont transmises de manière chiffrée et traitées en toute sécurité sur le serveur.
Créer des badges de chantier sécurisés : Plug & Play malgré des standards de sécurité de niveau infrastructure critique
Malgré cette architecture de sécurité complète, la mise en place est on ne peut plus simple pour vous en tant que client. Bausicht met à disposition une application Microsoft Windows ainsi qu’un plugin pour le navigateur Chrome, qui vous permettent d’attribuer de nouvelles cartes d’accès chiffrées en quelques secondes :
- Connecter au PC le lecteur de cartes USB avec SAM intégré
- Ouvrir l’application Bausicht ou le plugin Chrome
- Sélectionner l’employé et poser la carte – c’est fait
L’ensemble de la dérivation des clés, du chiffrement et de l’écriture de la carte s’exécute automatiquement en arrière-plan. Vous n’avez besoin d’aucune expertise en cryptographie ou en sécurité informatique. Le système prend en charge automatiquement toutes les étapes liées à la sécurité.
Résumé : le contrôle d’accès sécurisé pour chantiers en un coup d’œil
| Composant | Technologie | Niveau de sécurité |
|---|---|---|
| Carte d’accès | MIFARE DESFire EV3 | AES-128, clés propres à chaque carte |
| Stockage des clés | Secure Access Module (SAM AV3) | Certifié EAL5+, inviolable |
| Carte ↔ Lecteur | DESFire Secure Messaging | Chiffré en AES, authentification mutuelle |
| Lecteur ↔ Contrôleur | OSDPv2 Secure Channel | Chiffré en AES-128, authentification bidirectionnelle |
| Contrôleur ↔ Serveur | TLS | Chiffré de bout en bout |
| Attribution de carte | Application Windows / plugin Chrome + lecteur USB avec SAM | Plug & Play, protégé contre le vol |
Contrairement aux systèmes basés sur l’UID ou MIFARE Classic, Bausicht offre un contrôle d’accès pour chantiers chiffré sans faille, où la copie d’une carte d’accès est exclue. Et l’utilisation reste aussi simple qu’avec n’importe quel autre système – mais en toute sécurité.
Idéal pour les projets d’infrastructures critiques et les zones de haute sécurité
L’architecture de sécurité entièrement chiffrée de Bausicht ne convient pas seulement aux chantiers classiques, elle est particulièrement adaptée aux projets d’infrastructures critiques et aux zones de haute sécurité. Partout où les exigences les plus élevées sont posées en matière de contrôle d’accès, notre système offre le socle de sécurité nécessaire :
- Centres de données : les exploitants d’infrastructures informatiques critiques sont soumis à des obligations strictes, notamment au titre de la directive européenne NIS 2. Un contrôle d’accès infalsifiable avec chiffrement AES-256 et modules SAM inviolables répond à ces exigences.
- Sites militaires : lors de la construction et de la maintenance d’installations militaires, l’accès est strictement réglementé. Les clés propres à chaque carte et les puces cryptographiques certifiées EAL5+ garantissent qu’aucun accès non autorisé n’est possible.
- Banques et institutions financières : de la construction d’une agence bancaire à la transformation d’une salle des coffres – la combinaison de DESFire EV3, OSDPv2 Secure Channel et chiffrement TLS répond aux standards de sécurité du secteur financier.
- Approvisionnement énergétique et infrastructures de réseau : centrales électriques, postes de transformation et stations de traitement de l’eau comptent parmi les domaines les plus sensibles des services publics essentiels. Un contrôle d’accès excluant toute copie de carte y est indispensable.
Bon à savoir :
Le contrôle d’accès Bausicht répond aux exigences de sécurité du référentiel allemand BSI (IT-Grundschutz) et convient aux projets soumis aux réglementations relatives aux infrastructures critiques ainsi qu’à la directive NIS 2.
Un contrôle d’accès sécurisé pour votre chantier avec Bausicht
Vous souhaitez sécuriser votre chantier ou votre projet d’infrastructure critique avec des cartes d’accès infalsifiables basées sur MIFARE DESFire EV3 ? Avec le contrôle d’accès numérique de Bausicht, vous bénéficiez d’une solution chiffrée de bout en bout – de la carte jusqu’au serveur. Faites-vous votre propre opinion et testez-le 14 jours gratuitement !
Élevez vos connaissances d'un étage !
Approfondissez vos connaissances
Découvrez des informations pertinentes sur le secteur de la construction à travers nos articles de blog pendant que nous traitons votre demande.
Expertise
Copier une carte d’accès ? Pourquoi MIFARE Classic est un risque de sécurité sur les chantiers
Christopher Sura
Expertise
Protection des données - Contrôle d’accès sur le chantier
Christopher Sura
Expertise
L’IA dans le secteur de la construction : prévisions 2024
Tristan Ratz
Voir Bausicht en action ?
Planifiez un rendez-vous de démonstration sans engagement pour découvrir comment Bausicht peut vous faire gagner du temps et de l'argent à l'avenir.