Gestion d'accès physique - Page 1

Je m'occupe du système de gestion d'accès d'une salle de sport .
Actuellement, c'est un bête système par lecture du code barre sur la carte du sportif (actuellement, c'est une douchette couplée à un site web fait maison). Seulement, le gérant s'est rendu compte que c'était possible de photocopier la carte et donc d'y accéder sans faire partie de l'association, et m'a donc demandé si on pouvait éviter ce problème.
Je vais déjà implémenter un bête contrôle du dernier passage, pour afficher une alerte si la même carte est flashée plusieurs fois dans la même journée.
Je me demande si on peut faire quelque chose de plus fiable à faible coût.

- Le niveau de sécurité exigé est relativement faible, donc ce n'est pas gravissime si la carte peut être copiée avec des moyens un peu élaborés,
- Il faut que ça soit simple, autant pour le sportif que pour le garde qui vérifie, et idéalement aussi pour l'administrateur,
- Il faut que ça ne soit pas cher (1€ par sportif, ça reste raisonnable).

Je suis parti pour évaluer deux options, pas forcément exclusives :
- un tag NFC couplé à la carte actuelle (avec une appli sur smartphone pour configurer le tag),
- une appli sur smartphone réduite au minimum (genre affichage de la photo et d'un code QR validé par le smartphone du garde à l'entrée). Lors de l'inscription, un secret partagé serait enregistré dans l'application du sportif.
Malheureusement, on ne peut pas encore faire de NFC avec du JS

Auriez-vous d'autres idées ?

Vu que c'est pour une salle de sport, par principe je devrais ignorer le topic, mais je fais une exception seulement parce que c'est toi

Je ne suis pas sûr d'un point : est-ce qu'il y a toujours un garde qui vérifie ? Si oui, même s'il ne voit pas que la carte est une photocopie, il devrait se rendre compte que la photo ne correspond pas, non ?

De mon point de vue, le tag NFC :
+ relativement simple et standard
+ fonctionne même pour les gens qui n'ont pas de smartphone
- objet physique, donc susceptible d'être prêté aux "copains", donc nécessité de combiner avec une autre forme d'identification
- à 1 € et par petites quantités, je ne suis pas sûr que tu aies mieux qu'un truc basique sans sécurité (ou à sécurité trivialement contournable), potentiellement clonable/émulable avec une appli toute faite sur smartphone ; mais je me trompe peut-être

Sinon, pour ta seconde option, pourquoi pas un code QR généré dynamiquement par une page web, avec une validité de quelques minutes ?

merci ^^

Oui, il y a toujours un gendarme à l'entrée, mais je pense que la photo n'est pas toujours renseignée dans l'appli (ou qu'elle est de mauvaise qualité, tout simplement).

Je suis conscient qu'on peut toujours prêter la carte, mais disons qu'il faut trouver le meilleur compromis possible avec les contraintes de coût (et de temps de dév. : c'est du bénévolat et je n'ai pas envie d'y passer trop de temps )
Je pense que la recopie de tag NFC est hors de portée des membres de l'association et le risque peut donc être acceptable.

Pour le QR code, je ne comprends pas : s'il est généré par le site web, où est la preuve d'identité de l'utilisateur ?

flanker (./3) :
Pour le QR code, je ne comprends pas : s'il est généré par le site web, où est la preuve d'identité de l'utilisateur ?

Le QR code est généré côté serveur, avec comme condition préalable de s'être logué sur le site avec ses identifiants personnels (et d'avoir la permission d'accès dans la BDD du serveur). Et il a une limite de validité dans le temps pour éviter que ce soit contournable avec une simple capture d'écran.

Bien sûr, sur le papier ça n'empêche pas la personne de partager ses identifiants (ou carrément de prêter son téléphone, même si c'est moins probable), mais en pratique je pense que les gens réfléchiront à deux fois avant de communiquer ces infos, là où c'est "facile" de prêter une carte physique.

flanker (./3) :
Je pense que la recopie de tag NFC est hors de portée des membres de l'association et le risque peut donc être acceptable.

Je sais bien que ce sont des sportifs, mais je ne serais pas surpris que tu trouves des applis toutes faites pour ça, au moins pour les tags avec les niveaux de sécurité les plus faibles. (Je vais me renseigner, ça m'intéresse de savoir à quel point ce genre de sécurité est facile à déjouer pour quelqu'un qui n'est pas spécialiste).

C'est un asso ou une structure privée ?
Parce qu'il existe des solutions qui gèrent ça (l'adhésion, la réservation , la gestion d'accès en option) mais forcément ça coute un peu (abonnement mensuel + matériel éventuel pour gérer l'accès)

Après, même une asso de salle de sport se débrouille généralement bien niveau finances tant qu'il n'y a pas de salarié ou coach à payer Dans le village d'à coté, ils arrivent à renouveler une partie des machines tous les ans et pour l'accès, ils ont une solution simple : code d'accès pour déverrouiller la porte + signature d'un cahier + surveillance vidéo.
En gros, si un inconnu traine dans la salle, tu peux être sur que le responsable (ou quelqu'un qu'il prévient) déboule dans les 10 minutes (idem s'il remarque que quelqu'un rentre sans chaussures spécifiques, ne nettoie pas les machines après chaque usage, sort prendre l'air par la porte de secours avec ses chaussures de salle...). Et comme souvent le gars est avec un copain qui lui a ouvert, celui là est exclu.
Et comme dans tous les cas tout le monde sait qu'il passe très régulièrement pour une raison X ou Y et qu'il vérifie à chaque fois le cahier par rapport aux présents, il n'y a pas trop de soucis au final (mais c'est une tout petite salle, moins de 100m2 je pense et un nombre d'abonnés limité donc le responsable connait quasiment tout le monde)
Bref surveillance humaine à distance, mais vu que vous avez quelqu'un à l'entrée normalement, il ne devrait pas y avoir de problèmes.
Et vu qu'il y quelqu'un à l'entrée, pourquoi ne pas aussi ajouter la photo sur la carte ? Et/ou mettre/imprimer le code barre sur un objet physique qui du coup ne peut pas être photocopié ?

(tiens, j'avais justement failli faire un !call ^^)

Ben perso je paie un abonnement Deciplus depuis 3 mois mais la salle n'est toujours pas ouverte (et je ne n'aurai pas de contrôle d'accès, uniquement gestion des adhérents, règlements et planning/réservation - le contrôle des présents est fait par le coach - donc moi en fait - sur une appli dédiée vu qu'il n'y a pas de créneaux accès libre). ca me coute moins de 200€ par mois (mais ça facilite le boulot pour la remontée d'infos vers le comptable et la franchise, ça fait aussi un mini CRM avec module d'envoi de mails, ...

Sinon, il y a la solution des vieux systèmes de tennis ou les adhérents présents ont un badge à clé et ils le placent sur un tableau quand ils sont dans la salle. Vu qu'il y a potentiellement la photo, difficile de le prêter, mais ça ne doit quasiment plus exister et le nombre de slots était généralement limité car il y a souvent moins de monde dans un club de tennis qu'une salle de sport.

(Tu aurais demandé, avec Vince on t'aurait fait un système à base de Lynx, gratos )

Zerosquare (./4) :

flanker (./3) :
Pour le QR code, je ne comprends pas : s'il est généré par le site web, où est la preuve d'identité de l'utilisateur ?

Le QR code est généré côté serveur, avec comme condition préalable de s'être logué sur le site avec ses identifiants personnels (et d'avoir la permission d'accès dans la BDD du serveur). Et il a une limite de validité dans le temps pour éviter que ce soit contournable avec une simple capture d'écran.

Bien sûr, sur le papier ça n'empêche pas la personne de partager ses identifiants (ou carrément de prêter son téléphone, même si c'est moins probable), mais en pratique je pense que les gens réfléchiront à deux fois avant de communiquer ces infos, là où c'est "facile" de prêter une carte physique.

Je pense que le partage d'identifiants est nettement plus probable qu'une copie de NFC ^^ Mais je pense qu'une appli pour smartphone permettrait de limiter encore plus (en ne donnant une carte NFC qu'à ceux qui n'ont pas de smartphone).

flanker (./3) :
Je pense que la recopie de tag NFC est hors de portée des membres de l'association et le risque peut donc être acceptable.

Je sais bien que ce sont des sportifs, mais je ne serais pas surpris que tu trouves des applis toutes faites pour ça, au moins pour les tags avec les niveaux de sécurité les plus faibles. (Je vais me renseigner, ça m'intéresse de savoir à quel point ce genre de sécurité est facile à déjouer pour quelqu'un qui n'est pas spécialiste).

Je suis preneur de tes retours ^^
Vu le temps mis pour penser à photocopier une simple carte, je reste confiant pour la puce NFC

Fadest (./5) :
C'est un asso ou une structure privée ?

C'est une asso, avec peu de budget, donc 200€/mois serait non néligeable. Le public est assez restreint, à 90% des gendarmes (qui ne paient pas).
La photo sur la carte ne limite pas spécialement : il suffit de photocopier la carte et de changer la photo sur la photocopie ^^

C'était pour ça que je demandais asso ou structure. Quoique comme je l'ai dis, certaines assos roulent sur l'or, pour peu qu'elles n'aient pas de loyer, ni de charges...

Sinon, il y un truc pas clair, c'est avéré qu'il y a des resquilleurs ou le responsable vient de rendre compte que c'était possible et souhaite anticiper (parce qu'avec 90% de gendarmes à titre gracieux le risque de fraude est réduit non ?)

Je suppose que vous avez un règlement intérieur qui indique que l'accès est réservé aux adhérents, que vous l'avez affiché en gros ? Préciser également que le contrat d'assurance ne couvre que les adhérents et que tout accident provoqué par un non adhérent engage sa seule responsabilité (et ça peut monter vite si on blesse quelqu'un d'autre) et que des poursuites seront engagées.

Pour la photo et pour une réponse rapide au problème en attendant une solution plus travaillés, il ne serait pas possible de la mettre en "délavée" derrière le code barre (donc toujours piratable mais après scan, extraction du code barre et recréation avec la nouvelle photo) ? Je n'ai jamais essayé, mais j'avais fait un QR Code avec mon logo en couleur dans les points du QR code et ça fonctionnait (par contre, ça avait été un boulot manuel important)

Le vrai risque n'est pas financier, il est administratif. Un intrus dans la salle pourrait être une raison de fermer l'association, car certains trouvent déjà qu'il y a trop de civils et que ça devrait être réservé aux gendarmes.

Je note l'idée de la photo sur la carte, ça pourrait fonctionner, en effet (même si normalement, la photo s'affiche déjà quand tu scannes ta carte, si elle est bien enregistrée).

Ah ben justement, s'il y a un gars à l'entrée et si la photo associée au code barre s'affiche sur son ordi, il peut rapidement comparer photo à l'écran, tête du gars (cas de prêt de carte) et photo de la carte (cas de falsification donc là, vous êtes encore plus en droit de porter plainte, enfin, je suppose que des gendarmes savent gérer ce genre de cas )

Rien n'empêche de travailler sur un système plus sécure (NFC ou autre) en parallèle pour un second temps (à la rentrée ou début 2025 par exemple)

Edit: Et pour moi, le risque n'est effectivement pas financier (perte d'une adhésion) mais bien de responsabilité. Un accident impliquant une personne non adhérente (qu'il casse quelque chose, se blesse ou blesse quelqu'un d'autre) et les assurances ne marcheront pas, ça doit pouvoir aller assez loin niveau juridique pour toutes parties, vous y compris pour négligence de contrôle.

Si tu as une webcam pour lire un qr code, elle peut bien prendre une photo et utiliser la reco faciale pour valider le visage, non ?

(nextcould utilise une fonction de reco faciale préentrainée opensource, donc ça doit pouvoir se trouver)

Flanker confirmera (ou pas), mais pas sûr que ce soit légal de faire ça en France, sauf en magouillant pour que la salle de sport soit considérée comme un site des JO...

Pour ce qui est des cartes NFC, j'ai trouvé ça (je ne connais pas ce site, c'est juste un exemple) :

Ils annoncent 0.65 € par carte, donc c'est raisonnable. Certains sites proposent aussi d'imprimer ce que tu veux sur les cartes pour un petit surcoût.

Côté sécurité, il y a un contrôle d'accès par mot de passe 32 bits, et un numéro de série unique à 7 octets :
https://www.nxp.com/docs/en/fact-sheet/MIFARE-ULTRALIGHT-EV1-FS.pdf
https://www.nxp.com/docs/en/application-note/AN11340.pdf
À défaut d'obtenir le Flanker Seal of Security, ça me semble suffisant pour ce que tu veux en faire

C'est annoncé comme compatible avec tous les téléphones portables NFC, mais par contre, je ne connais pas les détails d'intégration dans une appli mobile.

(attention à ne pas confondre avec les anciennes cartes MIFARE Classic : la sécurité a été cassée, et elles ne sont apparemment pas lisibles avec tous les téléphones)

vince (./13) :
Si tu as une webcam pour lire un qr code, elle peut bien prendre une photo et utiliser la reco faciale pour valider le visage, non ?

(nextcould utilise une fonction de reco faciale préentrainée opensource, donc ça doit pouvoir se trouver)

Ça reste beaucoup pratique qu'un bon vieux badge, je pense (surtout en partant du principe que les prises de photo seront mal faites) ^^

./15 > merci pour les liens, je vais regarder ça comment jouer avec en Python

Je pense que dans un premier temps, on va partir sur l'option photo d'identité qui sera vérifiée par le gendarme de garde, enregistrée en base — solution idéale — ou collée sur la carte avec un coup de tampon.

Merci pour vos conseils