La télébillettique : une opportunité pour les transports publics

Le rôle du sys­tème de billet­tique d’un réseau de trans­port est simple : ouvrir l’accès au réseau à toute per­sonne munie d’un droit et le refu­ser aux autres. Ce droit peut être for­fai­taire (abon­ne­ments, carte de ser­vices, etc.) ou non (tickets uni­taires, etc.).
Les reve­nus de la billet­tique consti­tuant une res­source finan­cière directe ou indi­recte essen­tielle pour les opé­ra­teurs de trans­ports, le bon fonc­tion­ne­ment du sys­tème de billet­tique est primordial.

Un système flexible et sûr

Le sys­tème magné­tique de la RATP, et son célèbre ticket car­ton­né à bande magné­tique cen­trale, est en place en Île-de-France depuis les années 1970.

Un sys­tème évo­lu­tif, flexible, sûr et , finan­ciè­re­ment viable

Au début des années 1990, il s’est agi de cher­cher une solu­tion pour lui suc­cé­der et répondre à de nou­veaux enjeux. L’objectif était de dis­po­ser d’un sys­tème évo­lu­tif, flexible, sûr, ergo­no­mique et finan­ciè­re­ment viable tant du point de vue de l’investissement ini­tial que des coûts d’exploitation et de main­te­nance. Plu­sieurs tech­no­lo­gies avaient été envi­sa­gées et dans cer­tains cas pro­to­ty­pées et tes­tées, dont les tickets magné­tiques à haute coer­ci­ti­vi­té, et l’infrarouge, mais ces tech­no­lo­gies ne répon­daient que par­tiel­le­ment au cahier des charges.
Les tech­no­lo­gies émer­gentes de cou­plage induc­tif com­mu­né­ment connues sous l’appellation de RFID¹ carac­té­ri­sées par une carte téléa­li­men­tée par le champ magné­tique du lec­teur avec lequel elle com­mu­nique pré­sen­taient de nom­breux avan­tages. Notam­ment, elles per­met­taient à un voya­geur de vali­der son titre de trans­port par un geste volontaire.
Les tech­no­lo­gies RFID dites de proxi­mi­té (por­tée d’une dizaine de cen­ti­mètres) per­mettent de s’assurer que le titre de trans­port qui a été vali­dé est bien celui de la per­sonne située à proxi­mi­té immé­diate de l’équipement de vali­da­tion, contrai­re­ment aux tech­no­lo­gies dites de vici­ni­té dont la por­tée est plus importante.
Les équi­pe­ments magné­tiques com­prennent des méca­nismes pré­cis d’entraînement, de lec­ture et d’écriture, sol­li­ci­tés au pas­sage de chaque ticket. Le coût de main­te­nance de ces équi­pe­ments est donc éle­vé du fait du nombre de pièces mobiles.
La RFID, par l’absence de pièce mobile dans les cou­pleurs per­met de s’affranchir de ces coûts. L’architecture cen­tra­li­sée du sys­tème magné­tique est seule­ment réser­vée aux réseaux fermés.
La sécu­ri­té du lien radio offerte par la carte à puce à micro­pro­ces­seur a ren­du pos­sible l’architecture décen­tra­li­sée RFID indis­pen­sable pour les réseaux bus, de dépo­si­taires et autres tiers (auto­mates ban­caires, téléphone…).
Ce nou­veau sys­tème à base de cartes à puce RFID sans contact, appe­lé aus­si télé­billet­tique, ouvre de nou­velles fonc­tions, aujourd’hui encore sous-exploi­tées. Nous pou­vons citer notam­ment la pos­si­bi­li­té d’intégrer sur un même sup­port un abon­ne­ment et un com­plé­ment de par­cours ou la coha­bi­ta­tion de plu­sieurs abon­ne­ments, ce que le sys­tème magné­tique ne pou­vait pas offrir.
Par ailleurs, ces tech­no­lo­gies per­mettent l’usage de cryp­to­gra­phie repous­sant les limites de la contrefaçon.

Pérenniser les investissements

La lon­gé­vi­té d’une rame de métro ou de train se compte en décen­nies. Il en est de même du sys­tème de billettique.

Une poli­tique indus­trielle pen­sée dans la durée conci­lie évo­lu­ti­vi­té et pérennité

Or, la billet­tique étant la maté­ria­li­sa­tion des poli­tiques tari­faires, le sys­tème est ame­né à évo­luer régu­liè­re­ment, par­fois plu­sieurs fois par an, au gré des chan­ge­ments de ces der­nières et des exten­sions de réseaux. Un sys­tème de billet­tique doit donc conci­lier évo­lu­ti­vi­té et péren­ni­té. Cet objec­tif ne peut être atteint que grâce à une poli­tique indus­trielle pen­sée dans la durée.
Pour la RATP, cette poli­tique s’est tra­duite notam­ment par le cofi­nan­ce­ment de la pre­mière géné­ra­tion de masques² de cartes télé­billet­tiques pour amor­cer le mar­ché, garan­tir la com­pa­ti­bi­li­té et ouvrir la concur­rence. Ces masques étaient dis­po­nibles sous licence. Ces masques s’appuient sur des spé­ci­fi­ca­tions ouvertes, connues sous le nom de Calyp­so³, qui s’appuient à leur tour sur des normes (ISO 14443, 7816 et CEN 1545).
Enfin, cette poli­tique repose sur les tech­no­lo­gies émer­gentes de la carte à puce sou­te­nues par une offre indus­trielle, confor­tant ain­si la péren­ni­té du système.

Fraude molle et fraude « high-tech »

Vali­der un ticket magné­tique dure plu­sieurs secondes. En revanche, la télé­billet­tique, grâce à la vitesse de trai­te­ment par la carte à puce et aux échanges radio opti­mi­sés entre la carte à puce sans contact et le lec­teur-vali­deur, assure une vali­da­tion dans un délai de l’ordre de 200 ms.

On qua­li­fie de fraude « molle » celle qui consiste à mon­ter à bord d’un bus sans titre de trans­port, voire avec un abon­ne­ment périmé.
La télé­billet­tique a per­mis de mettre en place une poli­tique de vali­da­tion sys­té­ma­tique à l’entrée des bus.
Cette poli­tique a eu l’effet escomp­té d’une baisse signi­fi­ca­tive de la fraude molle, aug­men­tant d’autant les recettes.

Pour ne pas ralen­tir le flux de voya­geurs entrant dans les bus, seuls ceux uti­li­sant des tickets « consom­mables » doivent vali­der leurs tickets. Les abon­nés dont l’abonnement est maté­ria­li­sé par un ticket magné­tique se contentent de mon­trer au conduc­teur leur abonnement.
Si ces règles mini­misent le temps de mon­tée dans les bus, elles ne per­mettent pas de faire bais­ser la fraude.
La contre­fa­çon est une course contre la montre entre les contre­fac­teurs d’une part et les concep­teurs et four­nis­seurs de tech­no­lo­gie d’autre part. Ain­si, quand le sys­tème de billet­tique magné­tique a été déployé dans les années 1970, la contre­fa­çon du ticket magné­tique était inexis­tante. Dans les années 1990, le manque à gagner occa­sion­né par la contre­fa­çon de billets magné­tiques se chif­frait en mil­lions d’euros. Les cartes à puce, grâce à leur cryp­to­gra­phie, sont beau­coup plus dif­fi­ciles à cloner.
Cepen­dant, toutes les cartes à puce ne sont pas égales devant la contre­fa­çon, comme en témoignent les attaques récentes de cartes à puce à mémoire sans contact aux Pays-Bas et à Londres.
C’est la conjonc­tion du « pro­grès » constant des tech­niques de contre­fa­çon et de la volon­té de garan­tir la péren­ni­té du sys­tème qui a conduit les opé­ra­teurs qui ont choi­si la tech­no­lo­gie Calyp­so à opter pour des cartes à micro­pro­ces­seur à haut niveau de sécu­ri­té (authen­ti­fi­ca­tion mutuelle avec les modules de sécu­ri­té à puce éga­le­ment, diver­si­fi­ca­tion des clés, cloi­son­ne­ment des zones trans­port, méca­nismes de ses­sion-rati­fi­ca­tion, inté­gri­té, ges­tion d’aléas anti­re­jeux, garan­tis­sant une sécu­ri­té de bout en bout).

Commodité et vie privée

Lors de la der­nière enquête de satis­fac­tion Navi­go, 92 % des clients se sont décla­rés satis­faits ou très satis­faits. La rapi­di­té de la trans­mis­sion, la com­mo­di­té et le ser­vice après-vente sont par­ti­cu­liè­re­ment appréciés.

Les don­nées de dépla­ce­ment sont effa­cées après qua­rante huit-heures, délai tech­nique néces­saire à la détec­tion de la fraude

En cas de perte ou de vol d’un passe Navi­go per­son­na­li­sé, le voya­geur peut faire oppo­si­tion et se faire fabri­quer un nou­veau passe qui aura les mêmes droits que le pre­mier. L’identité du pre­mier passe sera alors com­mu­ni­quée aux équi­pe­ments de vali­da­tion qui l’invalideront à la pre­mière occa­sion. Cela four­nit un ser­vice de qua­li­té pour le voya­geur qui conti­nue à béné­fi­cier de son abon­ne­ment et à l’opérateur de trans­ports qui limite les pertes liées à ce type de fraude, dans la mesure où le pre­mier passe devient inuti­li­sable pour un tiers.
Un autre type de ser­vice, qui satis­fait à la fois le client par la flexi­bi­li­té pro­cu­rée, et l’opérateur, est la pos­si­bi­li­té de sous­crire à un abon­ne­ment rési­liable à tout moment. cela est ren­du pos­sible grâce à la facul­té d’inhibition de la puce décrite précédemment.
Ne serait-ce que pour gérer le sys­tème de billet­tique et pré­ve­nir la contre­fa­çon, il est néces­saire de pou­voir dis­tin­guer indi­vi­duel­le­ment les passes et objets sans contact qui cir­culent sur le réseau de télé­billet­tique. En revanche, consti­tuer une base de don­nées com­pre­nant l’identité du por­teur et l’identifiant du passe pré­sente des oppor­tu­ni­tés mais aus­si un dan­ger poten­tiel si l’on y asso­cie l’usage du passe.
Quant aux dérives poten­tielles d’un sys­tème éta­blis­sant la cor­res­pon­dance entre iden­ti­té de passe, de por­teur et tra­jets, les médias ima­ginent des scé­na­rios de Big Bro­ther. Confor­mé­ment à la loi Infor­ma­tique et Liber­tés, la RATP s’est enga­gée à effa­cer les don­nées per­son­na­li­sées rela­tives à l’usage des passes de plus de qua­rante-huit heures, délai tech­nique néces­saire à la détec­tion de la fraude. Les don­nées sont par la suite anonymisées.

Il est pos­sible de rem­pla­cer un passe per­du ou volé et de pro­gram­mer sa désactivation

Enfin, pour répondre aux attentes des clients ne sou­hai­tant pas que leurs don­nées nomi­na­tives soient enre­gis­trées, un passe décla­ra­tif appe­lé « Passe Navi­go Décou­verte » a été lan­cé. Cepen­dant, en cas de perte, il n’est pas pos­sible d’établir le lien de pro­prié­té. Ce passe n’ouvre donc pas les mêmes pos­si­bi­li­tés de remplacement.

La télébillettique au-delà de la carte

Depuis l’origine du pro­jet télé­billet­tique Navi­go, toutes les cartes sont émises direc­te­ment ou indi­rec­te­ment par les trans­por­teurs. Si cela reste envi­sa­geable pour les Fran­ci­liens qui uti­lisent, ne seraitce qu’occasionnellement, les trans­ports publics, des alter­na­tives semblent pré­fé­rables pour trai­ter le cas des autres voya­geurs occasionnels.
La tech­no­lo­gie RFID a gagné d’autres sec­teurs et notam­ment la banque (cartes ban­caires sans contact, en par­ti­cu­lier avec le stan­dard EMV Contact­less), la télé­pho­nie mobile (télé­phones NFC⁴) et l’identité (contrôle d’accès, cartes d’identité et pas­se­ports…). Dans les deux pre­miers sec­teurs, les cartes à puce étaient déjà au coeur des pro­duits uti­li­sés par les clients : carte ban­caire et carte SIM res­pec­ti­ve­ment. La tech­no­lo­gie com­mune à toutes ces appli­ca­tions est la norme d’interface RFID ISO 14 443. Les tra­vaux de stan­dar­di­sa­tion du NFC Forum et l’initiative fran­çaise Ulysse ont per­mis l’émergence d’un stan­dard ouvert per­met­tant l’usage des télé­phones por­tables pour choi­sir, ache­ter, télé­char­ger et vali­der des droits de trans­port. La RATP a mené des expé­ri­men­ta­tions avec les trois opé­ra­teurs de télé­pho­nie mobile qui ont éta­bli la fai­sa­bi­li­té et l’acceptabilité par les clients de ce service.

Une norme inter­na­tio­nale et une offre indus­trielle mature

Cette fonc­tion­na­li­té, com­bi­née aux déve­lop­pe­ments d’architectures Java embar­quées, per­met­tra de télé­char­ger non seule­ment des droits de trans­port mais aus­si l’application de trans­port sous forme d’applet Java­Card. Ain­si, un tou­riste pour­ra télé­char­ger l’applet Java Navi­go puis, grâce à une appli­ca­tion Inter­net mobile du télé­phone (WAP, I‑Mode ou autre), les droits lui per­met­tant de voya­ger en Île-de-France.
L’utilisation de réseaux publics pour le rechar­ge­ment à dis­tance exige un très haut niveau de sécu­ri­té et impose de fait l’utilisation de com­po­sants à micro­pro­ces­seur et une cryp­to­gra­phie forte.
Ain­si, l’usage de nou­veaux sup­ports (cartes mul­tiap­pli­ca­tions, télé­phones NFC, clés USB…) émis par des tiers per­met de cou­vrir une grande par­tie des pro­fils de voya­geurs occa­sion­nels et d’envisager la sup­pres­sion com­plète du sys­tème de billet­tique magnétique.
En quelques années, la télé­billet­tique est pas­sée du stade de l’expérimentation dans quelques villes au stade de la géné­ra­li­sa­tion sur les cinq conti­nents. Cette conver­gence vers la tech­no­lo­gie sans contact s’explique par la com­bi­nai­son de plu­sieurs fac­teurs : la sécu­ri­té, l’évolutivité, la flui­di­té, la fia­bi­li­té, le coût, par l’émergence d’une norme inter­na­tio­nale adop­tée éga­le­ment par d’autres indus­tries et enfin par une offre indus­trielle mature.
La sécu­ri­té accrue qu’offrent les com­po­sants à micro­pro­ces­seur per­met déjà au sup­port sans contact de prendre des formes variées (cartes, télé­phones, clés USB, etc.), sou­vent mul­ti­fonc­tion­nelles, par­ta­gées par plu­sieurs acteurs et rechar­geables à dis­tance en toute sécu­ri­té don­nant à cette tech­no­lo­gie une ouver­ture dont on ne mesure pas encore la portée.

La télé­billet­tique dans le monde Si la France peut être fière des expé­ri­men­ta­tions de télé­billet­tique menées dans les années quatre-vingt-dix, elle n’a pas été seule dans cette aven­ture. Ce qui a carac­té­ri­sé la démarche fran­çaise, menée à l’origine par la RATP5, a été avant tout la volon­té d’aboutir à une solu­tion indus­trielle pérenne et sûre. La télé­billet­tique est à pré­sent déployée dans de très nom­breux réseaux et est deve­nue la tech­no­lo­gie de réfé­rence de tout nou­veau réseau de billet­tique, que ce réseau uti­lise uni­que­ment des cartes comme sup­port sans contact ou bien éga­le­ment des télé­phones comme au Japon ou des cartes émises par des tiers. Les contextes locaux et natio­naux ont plus ou moins favo­ri­sé le pas­sage du stade de l’expérimentation à celui de la géné­ra­li­sa­tion. Dans de nom­breux cas, c’est la faci­li­té de mise en place de bas­sins d’interopérabilité offerte par les capa­ci­tés des cartes à puce sans contact qui a sus­ci­té le déploie­ment de réseaux de télé­billet­tique. C’est le cas des Pays-Bas (Trans Link), du Royaume-Uni (ITSO), de la Scan­di­na­vie (RKF) et de nom­breux autres pays et régions.

La noto­rié­té du sys­tème de télé­billet­tique Octo­pus de Hong Kong est due à son adop­tion par la grande majo­ri­té des Hong­kon­gais et à sa fonc­tion de por­te­mon­naie électronique. Cepen­dant, dans de nom­breux pays, la ges­tion d’un por­te­mon­naie élec­tro­nique est le mono­pole de banques. Si les pre­miers réseaux ont, pour des rai­sons his­to­riques, déployé des cartes uti­li­sant des inter­faces RFID non nor­ma­li­sées, nous assis­tons pro­gres­si­ve­ment à leur sub­sti­tu­tion par des cartes au pro­to­cole ISO 14443. Même au Japon où la tech­no­lo­gie Feli­ca, pro­prié­té de Sony, domine le mar­ché, l’adoption de cartes conformes à la norme ISO 14443 se pro­file, grâce à l’adoption de cette norme par l’ICAO. En défi­ni­tive, ce qui dis­tingue fon­da­men­ta­le­ment un réseau de télé­billet­tique d’un autre est d’une part le choix de niveau de sécu­ri­té de cartes (à micro­pro­ces­seur ou à mémoire) per­met­tant ou non d’envisager des opé­ra­tions de rechar­ge­ment sécu­ri­sé à dis­tance (télé­phone, auto­mates ban­caires, clés USB sans contact ou rechar­ge­ment sur Inter­net comme expé­ri­men­tés actuel­le­ment par la RATP) et d’autre part la nature « pro­prié­taire » ou ouverte de la tech­no­lo­gie, les deux fac­teurs influant sur la péren­ni­té et les coûts d’évolution du réseau.

1. Radio Fre­quen­cy Identification.
2. Masque : sys­tème d’exploitation d’une puce.
3. Calyp­so : tech­no­lo­gie ouverte de cartes sans contact à micro­pro­ces­seur adop­tée par une cin­quan­taine de réseaux de trans­port, dont les évo­lu­tions sont gérées par l’Association Calyp­so Net­works Asso­cia­tion (CNA).
4. NFC : Near Field Com­mu­ni­ca­tion, stan­dard inter­na­tio­nal défi­nis­sant l’application du RFID aux télé­phones portables.
5. Sous l’impulsion de son direc­teur des sys­tèmes d’information et des télé­com­mu­ni­ca­tions de l’époque, André Ampe­las (66).