La télébillettique : une opportunité pour les transports publics

Le rôle du sys­tème de bil­let­tique d’un réseau de trans­port est sim­ple : ouvrir l’accès au réseau à toute per­son­ne munie d’un droit et le refuser aux autres. Ce droit peut être for­faitaire (abon­nements, carte de ser­vices, etc.) ou non (tick­ets uni­taires, etc.).
Les revenus de la bil­let­tique con­sti­tu­ant une ressource finan­cière directe ou indi­recte essen­tielle pour les opéra­teurs de trans­ports, le bon fonc­tion­nement du sys­tème de bil­let­tique est primordial.

Un système flexible et sûr

Le sys­tème mag­né­tique de la RATP, et son célèbre tick­et car­ton­né à bande mag­né­tique cen­trale, est en place en Île-de-France depuis les années 1970.

Un sys­tème évo­lu­tif, flex­i­ble, sûr et , finan­cière­ment viable

Au début des années 1990, il s’est agi de chercher une solu­tion pour lui suc­céder et répon­dre à de nou­veaux enjeux. L’objectif était de dis­pos­er d’un sys­tème évo­lu­tif, flex­i­ble, sûr, ergonomique et finan­cière­ment viable tant du point de vue de l’investissement ini­tial que des coûts d’exploitation et de main­te­nance. Plusieurs tech­nolo­gies avaient été envis­agées et dans cer­tains cas pro­to­typées et testées, dont les tick­ets mag­né­tiques à haute coerci­tiv­ité, et l’infrarouge, mais ces tech­nolo­gies ne répondaient que par­tielle­ment au cahi­er des charges.
Les tech­nolo­gies émer­gentes de cou­plage induc­tif com­muné­ment con­nues sous l’appellation de RFID¹ car­ac­térisées par une carte téléal­i­men­tée par le champ mag­né­tique du lecteur avec lequel elle com­mu­nique présen­taient de nom­breux avan­tages. Notam­ment, elles per­me­t­taient à un voyageur de valid­er son titre de trans­port par un geste volontaire.
Les tech­nolo­gies RFID dites de prox­im­ité (portée d’une dizaine de cen­timètres) per­me­t­tent de s’assurer que le titre de trans­port qui a été validé est bien celui de la per­son­ne située à prox­im­ité immé­di­ate de l’équipement de val­i­da­tion, con­traire­ment aux tech­nolo­gies dites de vicinité dont la portée est plus importante.
Les équipements mag­né­tiques com­pren­nent des mécan­ismes pré­cis d’entraînement, de lec­ture et d’écriture, sol­lic­ités au pas­sage de chaque tick­et. Le coût de main­te­nance de ces équipements est donc élevé du fait du nom­bre de pièces mobiles.
La RFID, par l’absence de pièce mobile dans les cou­pleurs per­met de s’affranchir de ces coûts. L’architecture cen­tral­isée du sys­tème mag­né­tique est seule­ment réservée aux réseaux fermés.
La sécu­rité du lien radio offerte par la carte à puce à micro­processeur a ren­du pos­si­ble l’architecture décen­tral­isée RFID indis­pens­able pour les réseaux bus, de déposi­taires et autres tiers (auto­mates ban­caires, téléphone…).
Ce nou­veau sys­tème à base de cartes à puce RFID sans con­tact, appelé aus­si télé­bil­let­tique, ouvre de nou­velles fonc­tions, aujourd’hui encore sous-exploitées. Nous pou­vons citer notam­ment la pos­si­bil­ité d’intégrer sur un même sup­port un abon­nement et un com­plé­ment de par­cours ou la cohab­i­ta­tion de plusieurs abon­nements, ce que le sys­tème mag­né­tique ne pou­vait pas offrir.
Par ailleurs, ces tech­nolo­gies per­me­t­tent l’usage de cryp­togra­phie repous­sant les lim­ites de la contrefaçon.

Pérenniser les investissements

La longévité d’une rame de métro ou de train se compte en décen­nies. Il en est de même du sys­tème de billettique.

Une poli­tique indus­trielle pen­sée dans la durée con­cilie évo­lu­tiv­ité et pérennité

Or, la bil­let­tique étant la matéri­al­i­sa­tion des poli­tiques tar­i­faires, le sys­tème est amené à évoluer régulière­ment, par­fois plusieurs fois par an, au gré des change­ments de ces dernières et des exten­sions de réseaux. Un sys­tème de bil­let­tique doit donc con­cili­er évo­lu­tiv­ité et péren­nité. Cet objec­tif ne peut être atteint que grâce à une poli­tique indus­trielle pen­sée dans la durée.
Pour la RATP, cette poli­tique s’est traduite notam­ment par le cofi­nance­ment de la pre­mière généra­tion de masques² de cartes télé­bil­let­tiques pour amorcer le marché, garan­tir la com­pat­i­bil­ité et ouvrir la con­cur­rence. Ces masques étaient disponibles sous licence. Ces masques s’appuient sur des spé­ci­fi­ca­tions ouvertes, con­nues sous le nom de Calyp­so³, qui s’appuient à leur tour sur des normes (ISO 14443, 7816 et CEN 1545).
Enfin, cette poli­tique repose sur les tech­nolo­gies émer­gentes de la carte à puce soutenues par une offre indus­trielle, con­for­t­ant ain­si la péren­nité du système.

Fraude molle et fraude « high-tech »

Valid­er un tick­et mag­né­tique dure plusieurs sec­on­des. En revanche, la télé­bil­let­tique, grâce à la vitesse de traite­ment par la carte à puce et aux échanges radio opti­misés entre la carte à puce sans con­tact et le lecteur-valideur, assure une val­i­da­tion dans un délai de l’ordre de 200 ms.

On qual­i­fie de fraude « molle » celle qui con­siste à mon­ter à bord d’un bus sans titre de trans­port, voire avec un abon­nement périmé.
La télé­bil­let­tique a per­mis de met­tre en place une poli­tique de val­i­da­tion sys­té­ma­tique à l’entrée des bus.
Cette poli­tique a eu l’effet escomp­té d’une baisse sig­ni­fica­tive de la fraude molle, aug­men­tant d’autant les recettes.

Pour ne pas ralen­tir le flux de voyageurs entrant dans les bus, seuls ceux util­isant des tick­ets « con­som­ma­bles » doivent valid­er leurs tick­ets. Les abon­nés dont l’abonnement est matéri­al­isé par un tick­et mag­né­tique se con­tentent de mon­tr­er au con­duc­teur leur abonnement.
Si ces règles min­imisent le temps de mon­tée dans les bus, elles ne per­me­t­tent pas de faire baiss­er la fraude.
La con­tre­façon est une course con­tre la mon­tre entre les con­tre­fac­teurs d’une part et les con­cep­teurs et four­nisseurs de tech­nolo­gie d’autre part. Ain­si, quand le sys­tème de bil­let­tique mag­né­tique a été déployé dans les années 1970, la con­tre­façon du tick­et mag­né­tique était inex­is­tante. Dans les années 1990, le manque à gag­n­er occa­sion­né par la con­tre­façon de bil­lets mag­né­tiques se chiffrait en mil­lions d’euros. Les cartes à puce, grâce à leur cryp­togra­phie, sont beau­coup plus dif­fi­ciles à cloner.
Cepen­dant, toutes les cartes à puce ne sont pas égales devant la con­tre­façon, comme en témoignent les attaques récentes de cartes à puce à mémoire sans con­tact aux Pays-Bas et à Londres.
C’est la con­jonc­tion du « pro­grès » con­stant des tech­niques de con­tre­façon et de la volon­té de garan­tir la péren­nité du sys­tème qui a con­duit les opéra­teurs qui ont choisi la tech­nolo­gie Calyp­so à opter pour des cartes à micro­processeur à haut niveau de sécu­rité (authen­tifi­ca­tion mutuelle avec les mod­ules de sécu­rité à puce égale­ment, diver­si­fi­ca­tion des clés, cloi­son­nement des zones trans­port, mécan­ismes de ses­sion-rat­i­fi­ca­tion, intégrité, ges­tion d’aléas anti­re­jeux, garan­tis­sant une sécu­rité de bout en bout).

Commodité et vie privée

Lors de la dernière enquête de sat­is­fac­tion Nav­i­go, 92 % des clients se sont déclarés sat­is­faits ou très sat­is­faits. La rapid­ité de la trans­mis­sion, la com­mod­ité et le ser­vice après-vente sont par­ti­c­ulière­ment appréciés.

Les don­nées de déplace­ment sont effacées après quar­ante huit-heures, délai tech­nique néces­saire à la détec­tion de la fraude

En cas de perte ou de vol d’un passe Nav­i­go per­son­nal­isé, le voyageur peut faire oppo­si­tion et se faire fab­ri­quer un nou­veau passe qui aura les mêmes droits que le pre­mier. L’identité du pre­mier passe sera alors com­mu­niquée aux équipements de val­i­da­tion qui l’invalideront à la pre­mière occa­sion. Cela four­nit un ser­vice de qual­ité pour le voyageur qui con­tin­ue à béné­fici­er de son abon­nement et à l’opérateur de trans­ports qui lim­ite les pertes liées à ce type de fraude, dans la mesure où le pre­mier passe devient inutil­is­able pour un tiers.
Un autre type de ser­vice, qui sat­is­fait à la fois le client par la flex­i­bil­ité procurée, et l’opérateur, est la pos­si­bil­ité de souscrire à un abon­nement résil­i­able à tout moment. cela est ren­du pos­si­ble grâce à la fac­ulté d’inhibition de la puce décrite précédemment.
Ne serait-ce que pour gér­er le sys­tème de bil­let­tique et prévenir la con­tre­façon, il est néces­saire de pou­voir dis­tinguer indi­vidu­elle­ment les pass­es et objets sans con­tact qui cir­cu­lent sur le réseau de télé­bil­let­tique. En revanche, con­stituer une base de don­nées com­prenant l’identité du por­teur et l’identifiant du passe présente des oppor­tu­nités mais aus­si un dan­ger poten­tiel si l’on y asso­cie l’usage du passe.
Quant aux dérives poten­tielles d’un sys­tème étab­lis­sant la cor­re­spon­dance entre iden­tité de passe, de por­teur et tra­jets, les médias imag­i­nent des scé­nar­ios de Big Broth­er. Con­for­mé­ment à la loi Infor­ma­tique et Lib­ertés, la RATP s’est engagée à effac­er les don­nées per­son­nal­isées rel­a­tives à l’usage des pass­es de plus de quar­ante-huit heures, délai tech­nique néces­saire à la détec­tion de la fraude. Les don­nées sont par la suite anonymisées.

Il est pos­si­ble de rem­plac­er un passe per­du ou volé et de pro­gram­mer sa désactivation

Enfin, pour répon­dre aux attentes des clients ne souhai­tant pas que leurs don­nées nom­i­na­tives soient enreg­istrées, un passe déclaratif appelé « Passe Nav­i­go Décou­verte » a été lancé. Cepen­dant, en cas de perte, il n’est pas pos­si­ble d’établir le lien de pro­priété. Ce passe n’ouvre donc pas les mêmes pos­si­bil­ités de remplacement.

La télébillettique au-delà de la carte

Depuis l’origine du pro­jet télé­bil­let­tique Nav­i­go, toutes les cartes sont émis­es directe­ment ou indi­recte­ment par les trans­porteurs. Si cela reste envis­age­able pour les Fran­ciliens qui utilisent, ne seraitce qu’occasionnellement, les trans­ports publics, des alter­na­tives sem­blent préférables pour traiter le cas des autres voyageurs occasionnels.
La tech­nolo­gie RFID a gag­né d’autres secteurs et notam­ment la banque (cartes ban­caires sans con­tact, en par­ti­c­uli­er avec le stan­dard EMV Con­tact­less), la télé­phonie mobile (télé­phones NFC⁴) et l’identité (con­trôle d’accès, cartes d’identité et passe­ports…). Dans les deux pre­miers secteurs, les cartes à puce étaient déjà au coeur des pro­duits util­isés par les clients : carte ban­caire et carte SIM respec­tive­ment. La tech­nolo­gie com­mune à toutes ces appli­ca­tions est la norme d’interface RFID ISO 14 443. Les travaux de stan­dard­i­s­a­tion du NFC Forum et l’initiative française Ulysse ont per­mis l’émergence d’un stan­dard ouvert per­me­t­tant l’usage des télé­phones porta­bles pour choisir, acheter, télécharg­er et valid­er des droits de trans­port. La RATP a mené des expéri­men­ta­tions avec les trois opéra­teurs de télé­phonie mobile qui ont établi la fais­abil­ité et l’acceptabilité par les clients de ce service.

Une norme inter­na­tionale et une offre indus­trielle mature

Cette fonc­tion­nal­ité, com­binée aux développe­ments d’architectures Java embar­quées, per­me­t­tra de télécharg­er non seule­ment des droits de trans­port mais aus­si l’application de trans­port sous forme d’applet JavaC­ard. Ain­si, un touriste pour­ra télécharg­er l’applet Java Nav­i­go puis, grâce à une appli­ca­tion Inter­net mobile du télé­phone (WAP, I‑Mode ou autre), les droits lui per­me­t­tant de voy­ager en Île-de-France.
L’utilisation de réseaux publics pour le recharge­ment à dis­tance exige un très haut niveau de sécu­rité et impose de fait l’utilisation de com­posants à micro­processeur et une cryp­togra­phie forte.
Ain­si, l’usage de nou­veaux sup­ports (cartes mul­ti­ap­pli­ca­tions, télé­phones NFC, clés USB…) émis par des tiers per­met de cou­vrir une grande par­tie des pro­fils de voyageurs occa­sion­nels et d’envisager la sup­pres­sion com­plète du sys­tème de bil­let­tique magnétique.
En quelques années, la télé­bil­let­tique est passée du stade de l’expérimentation dans quelques villes au stade de la général­i­sa­tion sur les cinq con­ti­nents. Cette con­ver­gence vers la tech­nolo­gie sans con­tact s’explique par la com­bi­nai­son de plusieurs fac­teurs : la sécu­rité, l’évolutivité, la flu­id­ité, la fia­bil­ité, le coût, par l’émergence d’une norme inter­na­tionale adop­tée égale­ment par d’autres indus­tries et enfin par une offre indus­trielle mature.
La sécu­rité accrue qu’offrent les com­posants à micro­processeur per­met déjà au sup­port sans con­tact de pren­dre des formes var­iées (cartes, télé­phones, clés USB, etc.), sou­vent mul­ti­fonc­tion­nelles, partagées par plusieurs acteurs et recharge­ables à dis­tance en toute sécu­rité don­nant à cette tech­nolo­gie une ouver­ture dont on ne mesure pas encore la portée.

La télé­bil­let­tique dans le monde Si la France peut être fière des expéri­men­ta­tions de télé­bil­let­tique menées dans les années qua­tre-vingt-dix, elle n’a pas été seule dans cette aven­ture. Ce qui a car­ac­térisé la démarche française, menée à l’origine par la RATP5, a été avant tout la volon­té d’aboutir à une solu­tion indus­trielle pérenne et sûre. La télé­bil­let­tique est à présent déployée dans de très nom­breux réseaux et est dev­enue la tech­nolo­gie de référence de tout nou­veau réseau de bil­let­tique, que ce réseau utilise unique­ment des cartes comme sup­port sans con­tact ou bien égale­ment des télé­phones comme au Japon ou des cartes émis­es par des tiers. Les con­textes locaux et nationaux ont plus ou moins favorisé le pas­sage du stade de l’expérimentation à celui de la général­i­sa­tion. Dans de nom­breux cas, c’est la facil­ité de mise en place de bassins d’interopérabilité offerte par les capac­ités des cartes à puce sans con­tact qui a sus­cité le déploiement de réseaux de télé­bil­let­tique. C’est le cas des Pays-Bas (Trans Link), du Roy­aume-Uni (ITSO), de la Scan­di­navie (RKF) et de nom­breux autres pays et régions.

La notoriété du sys­tème de télé­bil­let­tique Octo­pus de Hong Kong est due à son adop­tion par la grande majorité des Hongkon­gais et à sa fonc­tion de porte­mon­naie électronique. Cepen­dant, dans de nom­breux pays, la ges­tion d’un porte­mon­naie élec­tron­ique est le mono­pole de banques. Si les pre­miers réseaux ont, pour des raisons his­toriques, déployé des cartes util­isant des inter­faces RFID non nor­mal­isées, nous assis­tons pro­gres­sive­ment à leur sub­sti­tu­tion par des cartes au pro­to­cole ISO 14443. Même au Japon où la tech­nolo­gie Fel­i­ca, pro­priété de Sony, domine le marché, l’adoption de cartes con­formes à la norme ISO 14443 se pro­file, grâce à l’adoption de cette norme par l’ICAO. En défini­tive, ce qui dis­tingue fon­da­men­tale­ment un réseau de télé­bil­let­tique d’un autre est d’une part le choix de niveau de sécu­rité de cartes (à micro­processeur ou à mémoire) per­me­t­tant ou non d’envisager des opéra­tions de recharge­ment sécurisé à dis­tance (télé­phone, auto­mates ban­caires, clés USB sans con­tact ou recharge­ment sur Inter­net comme expéri­men­tés actuelle­ment par la RATP) et d’autre part la nature « pro­prié­taire » ou ouverte de la tech­nolo­gie, les deux fac­teurs influ­ant sur la péren­nité et les coûts d’évolution du réseau.

1. Radio Fre­quen­cy Identification.
2. Masque : sys­tème d’exploitation d’une puce.
3. Calyp­so : tech­nolo­gie ouverte de cartes sans con­tact à micro­processeur adop­tée par une cinquan­taine de réseaux de trans­port, dont les évo­lu­tions sont gérées par l’Association Calyp­so Net­works Asso­ci­a­tion (CNA).
4. NFC : Near Field Com­mu­ni­ca­tion, stan­dard inter­na­tion­al définis­sant l’application du RFID aux télé­phones portables.
5. Sous l’impulsion de son directeur des sys­tèmes d’information et des télé­com­mu­ni­ca­tions de l’époque, André Ampelas (66).