Home/Glossaire RFID & carte campus

Glossaire RFID & carte campus

Référence claire pour les termes qui apparaissent lors de la mise en place d'un programme de carte campus — normes de puces, bandes de fréquence, chiffrement, wallets mobiles et plateformes actuelles du marché.

Normes & protocoles

ISO 7810— ID-1, ID-2, ID-3: Norme internationale définissant les dimensions physiques des cartes d'identification. ID-1 (format carte bancaire, 85,6 × 54 mm) est le format des cartes étudiantes et de contrôle d'accès.
ISO 7816: Norme pour les cartes à puce de contact (pad doré visible). Définit le brochage, les signaux électriques et le jeu de commandes des cartes à puce de contact.; Les cartes à double credential utilisent ISO 7816 côté contact et ISO 14443A côté sans contact. Les cartes bancaires EMV à puce sont conformes à ISO 7816.
ISO 14443A: Norme internationale pour les cartes à puce sans contact de proximité à 13,56 MHz. La norme dominante pour les cartes campus, bancaires et de contrôle d'accès modernes.; Le type A définit la modulation, l'anti-collision et le protocole de transmission. MIFARE, DESFire, NTAG et la plupart des cartes campus sans contact actuelles sont conformes ISO 14443A. Portée de lecture typique : 0–10 cm.
ISO 15693— Cartes vicinity: Norme pour cartes sans contact à 13,56 MHz avec portée étendue jusqu'à 1–1,5 m.; Utilisée pour l'étiquetage RFID en bibliothèque, le suivi d'actifs et certains systèmes d'accès nécessitant plus de portée. Moins sécurisée qu'ISO 14443A pour des credentials.
ISO 9001: Norme internationale de management de la qualité. Une certification ISO 9001 indique qu'un fabricant suit un processus qualité documenté et audité. CampusRFID est certifié ISO 9001.
FIPS 140-2: Norme fédérale américaine pour les modules cryptographiques. Exigée pour les laboratoires de recherche financés par le fédéral et de nombreuses installations campus proches du gouvernement.; Lorsqu'un environnement campus exige une cryptographie validée FIPS 140-2, la famille de puces (DESFire EV2/EV3, Seos) et le processus de gestion des clés chez l'émetteur doivent tous deux être dans le périmètre.
NFC— Near Field Communication: Protocole sans fil à courte portée (≤4 cm) qui étend ISO 14443 aux interactions peer-to-peer téléphone-lecteur et téléphone-tag.; NFC permet les credentials campus dans Apple Wallet et Google Wallet. Le téléphone émule une carte sans contact en mode card emulation.

Familles de puces

Carte à puce: Toute carte avec microprocesseur ou puce mémoire intégrée. Inclut les cartes à contact (ISO 7816), sans contact (ISO 14443) et à double interface. Distincte des cartes à piste magnétique uniquement.
MIFARE Classic: Famille de puces sans contact NXP héritée utilisant Crypto-1 (désormais considéré comme cassé). Encore largement déployée dans d'anciens systèmes campus mais non recommandée pour les nouvelles applications de haute sécurité.; Vulnérabilités cryptographiques démontrées depuis 2008. Les cartes peuvent être clonées avec du matériel grand public. La migration vers DESFire EV2/EV3 est le chemin de mise à niveau standard.
MIFARE DESFire EV1 / EV2 / EV3: Famille de puces sans contact haute sécurité de NXP utilisant AES-128 et authentification mutuelle. EV3 (génération actuelle) ajoute Secure Unique NFC et Transaction MAC.; DESFire EV2 et EV3 sont la norme de facto pour les accès campus haute sécurité modernes. Chaque carte porte plusieurs applications (accès, paiement, bibliothèque) avec clés séparées. La résistance au clonage est cryptographique, pas seulement par obscurité.
HID iCLASS SE / Seos: Famille de credentials haute sécurité 13,56 MHz de HID Global. iCLASS SE est l'ancienne génération ; Seos est la génération actuelle avec gestion de clés renforcée et support des credentials mobiles.; Très répandue dans les universités nord-américaines et britanniques. Souvent déployée aux côtés d'Apple Wallet/Google Wallet via HID Mobile Access. Les cartes Seos utilisent un modèle de credential logiciel découplant le credential du support carte.
LEGIC: Famille de puces sans contact de Kaba/dormakaba (LEGIC Prime, LEGIC Advant). Forte présence dans les universités suisses et germanophones.; LEGIC Advant prend en charge AES-128 et les credentials multi-applications, similaires à DESFire. LEGIC Prime est l'ancienne génération et doit être migré pour les nouveaux déploiements haute sécurité.
NTAG: Famille de tags NXP conforme NFC Forum (NTAG213/215/216/424 DNA). Moins chère que DESFire mais adaptée au marketing, à l'enregistrement événementiel et aux applications à sécurité plus faible.; NTAG 424 DNA ajoute l'authentification de message AES-128, ce qui le rend approprié pour certains scénarios d'accès. Largement utilisé pour les credentials d'événements campus et l'étiquetage RFID en bibliothèque.
EM4100 / EM4200: Familles de puces lecture seule basse fréquence (125 kHz). Envoient un numéro de série fixe à l'énergisation. Pas de chiffrement, facilement clonables.; Présentes dans d'anciens systèmes d'accès et cartes de parking. Les nouveaux déploiements doivent utiliser 13,56 MHz avec AES-128. Souvent combinées à des puces HF dans des cartes bi-fréquence pour la migration.

Fréquences & protocole RFID

LF 125 kHz: Bande RFID basse fréquence. Courte portée (5–15 cm), pas de chiffrement, très tolérante aux environnements métalliques et humides.; Dominante dans les anciens systèmes d'accès (années 1990–2000). Les nouveaux déploiements campus migrent du LF vers HF 13,56 MHz avec AES-128, car les credentials LF sont trivialement clonables.
HF 13,56 MHz: Bande RFID haute fréquence utilisée par ISO 14443A, ISO 15693, NFC, MIFARE, DESFire, iCLASS et Seos. La fréquence dominante des credentials campus modernes.; Portée de lecture 0–10 cm selon le design d'antenne. Prend en charge l'authentification mutuelle AES-128 avec la bonne puce (DESFire EV2+, Seos).
UHF 860–960 MHz: Bande RFID ultra haute fréquence. Longue portée (1–10 m), utilisée pour le suivi d'actifs, le parking et l'inventaire de bibliothèque — généralement pas pour les credentials personnels.; Protocole ISO 18000-6C / EPC Gen 2. Impinj Monza est la famille de puces dominante. L'avantage de portée s'accompagne de compromis vie privée/sécurité qui rendent l'UHF inadaptée aux cartes étudiantes.
Portée de lecture: Distance à laquelle un lecteur peut énergiser et lire un tag de manière fiable. Dépend de la fréquence, du design d'antenne, de la puissance d'émission et de l'environnement.; Portée LF typique : 5–15 cm. HF : 0–10 cm. UHF : 1–10 m. Les lecteurs à présentation manuelle sont volontairement ajustés à courte portée pour éviter de lire la mauvaise carte.
Anti-collision: Couche du protocole RFID permettant à un lecteur de détecter et d'adresser plusieurs tags simultanément dans le champ sans que leurs signaux n'interfèrent.; ISO 14443A utilise un algorithme d'arbre binaire. Important pour l'inventaire RFID en bibliothèque (lecture simultanée de nombreux livres) et pour les situations multi-cartes involontaires (deux cartes dans le même portefeuille).

Chiffrement & sécurité

AES-128: Advanced Encryption Standard avec clé 128 bits. Le chiffrement utilisé dans MIFARE DESFire EV2/EV3 et les credentials HID Seos.; Combiné à l'authentification mutuelle (challenge-réponse), AES-128 fait de chaque tap une transaction cryptographiquement signée. Cloner une carte ne compromet pas le système si les clés sont diversifiées.
3DES— Triple DES: Algorithme de chiffrement symétrique plus ancien appliquant DES trois fois. Pris en charge par certaines familles de puces héritées, officiellement déprécié par le NIST en 2023.; DESFire EV1 prenait en charge 3DES ; EV2 et EV3 ajoutent AES-128 et le remplacent. Les nouveaux déploiements doivent utiliser AES-128 partout.
Crypto-1: Cipher de flux propriétaire utilisé dans MIFARE Classic. Rétro-ingénierie effectuée en 2008 et désormais considéré comme fondamentalement cassé.; Les faiblesses de Crypto-1 rendent les cartes MIFARE Classic clonables avec du matériel NFC standard (par ex. Proxmark). Tout campus encore sur Classic devrait planifier une migration vers DESFire EV2/EV3 ou Seos.
Clés diversifiées: Technique de gestion de clés où chaque carte dérive une clé d'authentification unique à partir d'une clé maître et de l'UID de la carte. Cloner une carte ne révèle pas la clé maître.; Norme industrielle pour les déploiements en production. Les clés maîtres vivent dans un Hardware Security Module (HSM) chez l'émetteur, pas sur les cartes. CampusRFID peut encoder des clés diversifiées en usine.
Authentification mutuelle: Protocole cryptographique où la carte et le lecteur se vérifient mutuellement avant d'échanger des données. Empêche les lecteurs malveillants de récolter des credentials et les cartes malveillantes de simuler les légitimes.
Attaque par rejeu: Capturer un échange légitime carte-lecteur et le rejouer plus tard pour usurper la carte. Déjouée par l'authentification mutuelle avec challenges aléatoires par session.; Les cartes à UID statique (MIFARE Classic, EM4100) sont vulnérables au rejeu. L'authentification mutuelle AES-128 (DESFire EV2+, Seos) rend chaque échange unique et non-rejouable.

Technologie credential mobile

Secure Element— SE: Puce matérielle inviolable dans les téléphones et cartes qui stocke les clés cryptographiques et exécute du code sensible. Les appareils Apple et la plupart des fleurons Android disposent d'un Secure Element.; Les credentials étudiants mobiles vivent dans le Secure Element, pas dans le stockage applicatif standard. Les taps Express Mode fonctionnent même quand le téléphone est verrouillé car le SE peut authentifier sans l'OS.
HCE— Host Card Emulation: Fonction Android permettant à une application d'émuler une carte sans contact en logiciel (sans Secure Element matériel).; Certaines plateformes campus utilisent HCE pour les téléphones Android non-fleurons dépourvus de SE exploitable. Moins sécurisé que les credentials adossés au SE mais plus largement compatible.
BLE— Bluetooth Low Energy: Protocole radio courte portée utilisé par HID Mobile Access et d'autres systèmes de credential mobile en alternative ou complément du NFC.; Le BLE offre une portée (1–3 m) supérieure au NFC, utile pour des interactions main libre ou « twist-and-go ». Nécessite un lecteur compatible BLE — de nombreux lecteurs HID récents le sont, la plupart des terminaux POS bancaires ne le sont pas.
SIO— Secure Identity Object: Modèle de données HID pour les credentials sur Seos. Découple le credential du support carte — un même SIO peut vivre sur une carte Seos, un token USB Seos ou un téléphone mobile.
Express Mode: Fonction Apple Wallet permettant de toucher un credential sans déverrouiller ni authentifier le téléphone. Fonctionne jusqu'à 5 heures après l'épuisement de la batterie (Power Reserve).; Express Mode est essentiel pour la carte étudiante — les étudiants ne devraient pas avoir à déverrouiller leur téléphone pour entrer dans un bâtiment ou payer le repas. Chaque credential doit être activé explicitement pour Express Mode.
Apple Wallet (carte étudiante): Plateforme wallet mobile d'Apple avec prise en charge native des cartes étudiantes universitaires. Provisionnée via les apps campus et les plateformes de cartes certifiées.; Nécessite que le campus utilise une plateforme prise en charge (Transact, CBORD, Atrium ou HID Mobile Access) et qu'il complète le processus de certification Apple. Les étudiants provisionnent le credential dans l'app campus, pas dans Wallet.
Google Wallet (carte étudiante): Plateforme wallet mobile de Google avec support de carte étudiante sur les téléphones Android NFC. Le flux de provisionnement reflète celui d'Apple Wallet.; Disponible sur Android 9+ avec une plateforme campus intégrée à Google Wallet. Express Mode permet les taps sans déverrouillage du téléphone.

Production de cartes & formats

CR80— ID-1, format carte bancaire: Format carte bancaire standard : 85,6 × 54 mm × 0,76 mm. Format par défaut des cartes étudiantes et de contrôle d'accès.
Carte à double credential— Carte à double interface: Carte combinant une puce à contact (pad doré visible) et une antenne RFID sans contact dans un même corps. Une seule carte fonctionne sur lecteurs anciens à contact et modernes sans contact.; Voir notre page produit dédiée cartes à double credential.
Piste magnétique— Magnetic stripe (HiCo / LoCo): Bande de matériau magnétique au dos d'une carte. HiCo (haute coercivité) conserve les données plus longtemps ; LoCo (basse coercivité) est moins chère, adaptée aux cartes courte durée.; Progressivement remplacée par les credentials à puce, mais encore requise par certains équipements campus anciens (laverie, vending, prêt de bibliothèque). Souvent ajoutée à côté du RFID sur les cartes de transition.
Personnalisation: Étape de production où chaque carte est imprimée et encodée avec les données du titulaire : nom, photo, numéro d'ID, données de piste magnétique et clés secrètes de la puce.; Deux modes : chez le fabricant (cartes pré-personnalisées envoyées en lot au campus) ou sur site (le campus émet ses cartes blanches en interne). CampusRFID prend en charge les deux.
UID— Unique Identifier: Numéro de série défini en usine sur chaque puce RFID. Renvoyé en clair avant toute authentification. Utilisé pour dériver des clés diversifiées.; L'UID seul ne doit pas servir de credential — il est trivialement clonable. Il sert d'adresse identifiant la carte, pas de secret.

Plateformes & opérations

Plateformes de cartes campus: Plateformes logicielles qui émettent et gèrent les credentials campus : Transact, CBORD, Atrium, Heartland, Blackboard Transact, HID Mobile Access. Chacune lie l'identité aux rails d'accès, paiement et restauration.; Voir notre guide des systèmes de cartes campus pour une comparaison plateforme par plateforme.
CMS— Card Management System: Logiciel utilisé par le bureau émetteur pour enrôler les titulaires, encoder les clés, imprimer et réémettre les cartes. Souvent intégré à une plateforme de cartes campus.
SSO— Single Sign-On: Protocole d'identité permettant aux étudiants de se connecter à l'app de carte campus, au LMS, au Wi-Fi, aux systèmes de bibliothèque et aux apps de paiement avec un seul jeu de credentials. Protocoles courants : SAML, OIDC.
MOQ— Quantité minimum de commande: Plus petite quantité qu'un fabricant produit en une seule série. La MOQ standard de CampusRFID est de 500 cartes.

Choisir la bonne puce pour votre campus

Pour les nouveaux déploiements et cycles de renouvellement en 2026, la liste pratique courte est :

MIFARE DESFire EV2 / EV3 — meilleur choix pour les universités européennes, AES-128 solide, support multi-applications.
HID iCLASS Seos — meilleur choix pour les campus nord-américains déjà sur HID, support natif Apple Wallet / Google Wallet.
Double credential — quand vous avez un parc de lecteurs mixte (anciens + modernes) et qu'une carte doit fonctionner sur les deux.

Cartes d'accès haute sécurité →Cartes à double credential →Guide des systèmes de cartes campus →