Sécurité et liberté dans le monde numérique

Dossier : Carte à pucesMagazine N°637 Septembre 2008
Par Laurent CASTILLO (96)
Par Christian GOIRE

Genèse d’une innovation

L’his­toire de la carte à micro­processeur, com­muné­ment appelée ” carte à puce “, est représen­ta­tive des étapes de l’in­no­va­tion technologique.

Pro­téger les don­nées de la carte con­tre toute mod­i­fi­ca­tion frauduleuse

Dans un pre­mier temps, des chercheurs d’o­rig­ines divers­es imag­i­nent un con­cept, et essaient de for­malis­er sous forme de brevets une idée qui pour­rait venir de Jules Verne ou de Léonard de Vin­ci. Des indus­triels ou des clients poten­tiels s’y intéressent et s’or­gan­isent pour met­tre en oeu­vre l’idée suiv­ant leurs con­cep­tions et intérêts pro­pres. C’est en général une péri­ode trou­ble où plusieurs vari­antes de l’in­no­va­tion s’af­fron­tent sur le marché, jusqu’au moment où un con­sen­sus se dégage dans les comités de nor­mal­i­sa­tion favorisant une ver­sion plutôt qu’une autre. Le Jules Verne de la carte à puce est l’écrivain français, René Bar­jav­el, qui, dans La Nuit des temps, décrivait un bijou élec­tron­ique offrant de nom­breux ser­vices à son por­teur. Dans les années soix­ante de mul­ti­ples brevets vont abor­der cette prob­lé­ma­tique ; on peut citer ceux de J. Elling­boe, J. Dethloff, de K. Arimu­ra, de P. Cas­truc­ci, de J. Halpern, de K. Ehrat. Puis arrive l’ère des brevets fon­da­teurs que la postérité a retenue. Le Français Roland Moreno dépose six brevets fon­da­men­taux, en 1974 et 1975, décrivant l’ar­chi­tec­ture d’une carte à puce et notam­ment les moyens de pro­téger les don­nées de la carte con­tre toute mod­i­fi­ca­tion fraud­uleuse. Les pre­mières télé­cartes vont naître de ces brevets. L’acte fon­da­teur est la déci­sion de Mme Vic­toire Chau­mont de la Datar (Délé­ga­tion à l’amé­nage­ment du ter­ri­toire et des régions), en 1976, de réu­nir les ban­quiers, la banque de France et la DGT (Direc­tion générale des télé­com­mu­ni­ca­tions). Ils vont deman­der à CII-Hon­ey­well Bull de démon­tr­er la fais­abil­ité d’une telle carte et en 1979 les ban­quiers et la DGT lan­cent le pre­mier appel d’of­fres de la carte ban­caire à puce. Chez CII-Hon­ey­well Bull, Michel Ugon, dès 1977, veut faire de cette carte un vrai moyen sécurisé (paiement, authen­tifi­ca­tion, pro­tec­tion du con­tenu). Pour cela il lui fau­dra chang­er de technologie. 

Le début d’un schisme

Ce fut le début d’un schisme. Il y eut les par­ti­sans de la logique câblée en tech­nolo­gie bipo­laire et ceux qui, der­rière Michel Ugon, assur­aient qu’il fal­lait un micro­processeur en tech­nolo­gie MOS. Après en avoir démon­tré les avan­tages et la fais­abil­ité, Michel Ugon dépose, en mai 1977, le brevet 2141 dit ” SPOM “.

Toutes les appli­ca­tions avaient été imaginées

C’est le début de la carte à micro­processeur telle que nous la con­nais­sons aujour­d’hui. En 1980 Motoro­la recevra les spé­ci­fi­ca­tions en vue de fab­ri­quer le pre­mier com­posant. Il est à not­er que, dans les doc­u­ments des orig­ines, presque toutes les appli­ca­tions avaient été imag­inées ; seule l’évo­lu­tion des com­posants élec­tron­iques en ter­mes de fonc­tions, de prix et aus­si d’ac­cep­ta­tion de fac­teurs de formes dif­férents pour l’ob­jet per­son­nel sécurisé a été un frein à un développe­ment plus rapi­de des applications. 

Des objets de la vie quotidienne

La carte est dev­enue un objet de la vie quo­ti­di­enne. Pour­tant, un phénomène bien par­ti­c­uli­er s’est pro­duit avec les cartes ban­caires à puce, touchant la rela­tion entre la carte et son por­teur : la carte ban­caire n’est pas la pro­priété de l’in­di­vidu mais celle de la banque.

Chaque objet est per­son­nal­isé avec les don­nées de l’utilisateur

Mais voilà que pro­gres­sive­ment avec la notion d’ob­jet per­son­nel de con­fi­ance (TPD, Trust­ed Per­son­al Device) cette rela­tion change. L’ob­jet n’est plus seule­ment un moyen d’a­cheter ou de com­mu­ni­quer, il devient le garant de l’i­den­tité de l’in­di­vidu. Non seule­ment il lui per­met de se faire recon­naître, de com­mu­ni­quer, de faire val­oir ses droits mais il lui per­met aus­si d’échang­er avec autrui ; de faire con­naître son ” espace de vie ” en délim­i­tant les fron­tières et de préserv­er sa vie privée à sa guise. C’est un exem­ple où les indi­vidus se sont réap­pro­prié les con­cepts d’une tech­nolo­gie. Aujour­d’hui nous par­lons de la sécu­rité dig­i­tale et de la place fon­da­men­tale que la carte (ou tout autre fac­teur de formes) y joue et de l’im­por­tance de plus en plus grande qu’elle prend tant pour les entre­pris­es, les col­lec­tiv­ités que pour les indi­vidus. La révo­lu­tion dig­i­tale trans­forme notre vie quo­ti­di­enne. Elle nous per­met de com­mu­ni­quer, d’a­cheter, de voy­ager, où et quand nous le voulons. Les grandes com­pag­nies et le secteur pub­lic s’ori­en­tent vers ces tech­nolo­gies. L’in­di­vidu et le citoyen en sont de plus en plus deman­deurs. Fin 2006, il y avait un mil­liard d’u­til­isa­teurs Inter­net, trois mil­liards d’abon­nés pour le télé­phone mobile. L’un des nou­veaux écueils de ces nou­velles tech­nolo­gies est la com­plex­ité des nou­veaux appareils et out­ils, la mul­ti­pli­ca­tion des inter­faces, des mots de passe et des coûts tant pour les organ­ismes que pour l’u­til­isa­teur final. De plus, deux nou­velles craintes sont apparues. La pre­mière con­cerne la fraude, l’in­tru­sion dans les sys­tèmes, le vol d’i­den­tité de l’u­til­isa­teur ou du ser­vice. La con­séquence en est un frein dans l’u­til­i­sa­tion des ser­vices ” en ligne “. La sec­onde crainte con­cerne le respect de la vie privée. Il nous faut garan­tir le respect de la vie privée de l’u­til­isa­teur final. Celui-ci veut com­mu­ni­quer, partager des infor­ma­tions, deman­der des ser­vices. Il est prêt à partager ” un espace de vie ” mais il veut en délim­iter les fron­tières. Il souhaite aus­si garan­tir la pro­tec­tion de son iden­tité, de ses don­nées et de ses trans­ac­tions. C’est la dual­ité qui est atten­due des TPD (Trust­ed Per­son­al Device), que l’on pour­rait traduire par objets per­son­nels de confiance.

SECTEURS CARTE À MÉMOIRE CARTE À MICROPROCESSEUR
Télécommunications 440 000 000 2 600 000 000
Ser­vices financiers, etc. 30 000 000 500 000 000
Gouvernement-santé 300 000 000 105 000 000
Transport 160 000 000 15 000 000
Pay TV - 70 000 000
Sécu­rité entreprise 20 000 000 20 000 000
Autres 10 000 000

15 000 000

TOTAL 960 000 000 3 325 000 000

Ce tableau mon­tre que les trois marchés « his­toriques » et de masse sont les télé­com­mu­ni­ca­tions, les ser­vices financiers, les ser­vices liés au secteur pub­lic. Ces ser­vices évolu­ent très vite et de nou­veaux ser­vices appa­rais­sent liés à de nou­velles deman­des et à l’évolution technologique.

Un marché en très forte croissance

L’en­jeu indus­triel est con­sid­érable. En 2007 le marché tra­di­tion­nel de la carte était estimé à cinq mil­liards de dol­lars, nous esti­mons celui de la sécu­rité dig­i­tale à 25 mil­liards de dol­lars. Pour être leader sur ce marché il faut avoir com­pris cette dual­ité, être capa­ble d’ap­porter des ser­vices offrant la sécu­rité, l’er­gonomie et la facil­ité d’u­til­i­sa­tion, la porta­bil­ité des appli­ca­tions indépen­dam­ment des envi­ron­nements, des appareils. C’est un marché unique dans le sens où chaque objet est per­son­nal­isé avec les don­nées de l’u­til­isa­teur. Cela a des con­séquences impor­tantes sur la con­cep­tion de l’outil de pro­duc­tion. Le nom­bre de cartes ven­dues en 2007 fut de 4 285 mil­lions d’u­nités con­tre 3 580 en 2006. On estime le marché des seules cartes à micro­processeur pour 2008 à 4 mil­liards d’u­nités (3 325 mil­lions en 2007). 

Des champs d’application de plus en plus nombreux et variés

De nou­velles évo­lu­tions tech­nologiques ont fait sauter les goulots d’é­tran­gle­ment qui lim­i­taient le développe­ment de nou­velles applications.

Near Field Com­mu­ni­ca­tions : la carte sans contact
La tech­nolo­gie SIM NFC per­met de reli­er simul­tané­ment la carte SIM au processeur du télé­phone mobile et à un cir­cuit NFC, chargé de la com­mu­ni­ca­tion radiofréquence (RF). Les com­mu­ni­ca­tions RF sont car­ac­térisées par leur basse fréquence (13,56 MHz), leur courte portée (quelques cen­timètres) et leur capac­ité à fonc­tion­ner sans ali­men­ta­tion de la carte ou du mobile. La SIM NFC se com­porte comme une carte sans con­tact stan­dard, tout en béné­fi­ciant du télé­phone comme inter­face usager.
Une appli­ca­tion majeure pour les mobiles équipés de la carte SIM NFC est le paiement et le tick­et élec­tron­ique. En util­isant la tech­nolo­gie NFC les voyageurs passent sim­ple­ment leur portable devant un lecteur pour pay­er ou débiter un tick­et enreg­istré pour le voy­age. Cela est com­mode et rapi­de pour l’utilisateur, et plus effi­cace pour la société de trans­ports. Pour cela, les ban­ques, les opéra­teurs de télé­com­mu­ni­ca­tions et les trans­porteurs doivent har­monis­er leurs out­ils et en con­fi­er la ges­tion à un tiers de con­fi­ance, tel que Gemalto.

La carte s’est ouverte sur le monde de l’In­ter­net avec une con­nec­tique et des con­nec­tions de type USB, puis l’a­jout des pro­to­coles réseaux TCP/IP. L’évo­lu­tion des com­posants en taille mémoire, sécu­rité et per­for­mance a per­mis le développe­ment de nou­veaux envi­ron­nements de développe­ment tels que ” .NET ” ou ” Java Card ” ren­dant le développe­ment des appli­ca­tions ” Web ” plus aisé et per­me­t­tant la porta­bil­ité des appli­ca­tions. Les cartes peu­vent être de véri­ta­bles ” Web Servers ” (Smart Card Web Serv­er). Elles devi­en­nent ain­si proac­tives et non pas­sives, offrant une nou­velle manière de présen­ter les don­nées, plus intu­itive pour l’u­til­isa­teur final. L’in­tro­duc­tion des com­mu­ni­ca­tions sans con­tact dans la carte SIM (qui équipe les télé­phones mobiles) est un autre bon exem­ple de cet accroisse­ment de l’in­ter­con­nex­ion des cartes. Aujour­d’hui, cette SIM NFC est l’une des plus sophis­tiquées actuelle­ment sur le marché. Grâce au Sin­gle Wire Pro­to­col (SWP) la con­nex­ion d’une carte est désor­mais pos­si­ble avec une puce NFC. Le télé­phone mobile s’ou­vre vers de nou­velles appli­ca­tions telles que le paiement des moyens de trans­port ou le porte-mon­naie élec­tron­ique sans con­tact. Avec le Blue­tooth, le Wifi et les NFC, la carte SIM s’ou­vre vers le monde de la radiofréquence. Les évo­lu­tions ne se lim­i­tent pas aux capac­ités de com­mu­ni­ca­tions, ni à leur secteur. De plus en plus sou­vent, la carte s’in­sère dans de nou­veaux fac­teurs de formes, tels que la clé USB ou encore les cartes micro-SD. Elle y est apte à établir de nou­veaux ponts entre des mon­des qui s’ig­no­raient jusqu’à présent. Dans le secteur pub­lic, les grandes capac­ités de mémoire des nou­velles cartes peu­vent être exploitées de façon sig­ni­fica­tive par de véri­ta­bles sys­tèmes de bases de don­nées embar­qués. Ceux-ci cumu­lent la sou­p­lesse de leurs grands frères, avec la sécu­rité tra­di­tion­nelle des cartes pour créer des appli­ca­tions à la fois con­viviales et sûres. Une appli­ca­tion intéres­sante en est le Dossier médi­cal sécurisé partagé (DMSP), où l’on ver­ra une carte con­tenant le dossier médi­cal d’un patient, acces­si­ble par les dif­férents pro­fes­sion­nels de san­té selon leurs droits pro­pres. La quan­tité d’évo­lu­tions que con­naît la carte rend notre déf­i­ni­tion tra­di­tion­nelle de la ” carte à puce ” de plus en plus caduque. Peut-être ne faut-il en retenir finale­ment que la quin­tes­sence, celle d’un objet per­son­nel portable de confiance. 

Vers l’agrégation de services

Dans ce marché de la sécu­rité dig­i­tale, la carte n’est que la par­tie immergée de l’iceberg.

Une carte con­tenant le dossier médi­cal d’un patient

La mul­ti­plic­ité des opéra­teurs et des four­nisseurs, les cen­taines de mil­lions d’abon­nés con­duisent à des mod­èles économiques dif­férents, à des infra­struc­tures et des déploiements dif­férents. La sécu­rité est au coeur du sys­tème car nous allons vers des sys­tèmes qui s’in­ter­con­nectent (les mobiles, mobile-TV, paiement mobile, authen­tifi­ca­tion, etc.). L’in­ter­mé­di­a­tion est le fac­teur clé de la réus­site de ces asso­ci­a­tions. Il est fon­da­men­tal de fournir aux clients des ser­vices opérés (gérés par un four­nisseur pour compte des prestataires directs). Les ser­vices opérés com­pren­nent, par exem­ple, la per­son­nal­i­sa­tion et l’émis­sion des cartes, ain­si que la ges­tion des serveurs OTA (“ Over the Air ”) pour admin­istr­er les cartes SIM à dis­tance et donc déploy­er rapi­de­ment de nou­veaux ser­vices. La carte sem­ble être la plate­forme par excel­lence pour l’a­gré­ga­tion de ser­vices. Elle est con­nec­tée aux serveurs, elle est un serveur, elle peut se con­necter sur de mul­ti­ples appareils sans con­traintes par­ti­c­ulières, elle est sûre, per­son­nal­isée, élé­ment de con­fi­ance pour les organ­ismes et pour l’individu.

Cet arti­cle n’en­gage que l’opin­ion de ses auteurs et ne peut être tenu comme la posi­tion offi­cielle de Gemalto.

Poster un commentaire