Sécurité et liberté dans le monde numérique

Dossier : Carte à pucesMagazine N°637 Septembre 2008
Par Laurent CASTILLO (96)
Par Christian GOIRE

Concré­ti­sa­tion du » bijou élec­tro­nique » ima­gi­né par René Bar­ja­vel, la carte à puce a tout d’a­bord répon­du à des besoins de sécu­ri­té en paie­ment (télé­carte et carte ban­caire). Mais le déve­lop­pe­ment du télé­phone mobile et de l’In­ter­net tout comme les évo­lu­tions tech­no­lo­giques (micro­pro­ces­seurs de plus en plus puis­sants, clés USB, com­mu­ni­ca­tions sans contact…) donnent nais­sance à toute une famille d’ob­jets de la vie quo­ti­dienne : pas­se­port élec­tro­nique, dos­sier médi­cal » por­table « . Ils changent aus­si l’u­sage des objets fami­liers et per­mettent par exemple d’u­ti­li­ser son télé­phone mobile pour régler des paie­ments ou prendre le train.

Genèse d’une innovation

L’his­toire de la carte à micro­pro­ces­seur, com­mu­né­ment appe­lée » carte à puce « , est repré­sen­ta­tive des étapes de l’in­no­va­tion technologique.

Pro­té­ger les don­nées de la carte contre toute modi­fi­ca­tion frauduleuse

Dans un pre­mier temps, des cher­cheurs d’o­ri­gines diverses ima­ginent un concept, et essaient de for­ma­li­ser sous forme de bre­vets une idée qui pour­rait venir de Jules Verne ou de Léo­nard de Vin­ci. Des indus­triels ou des clients poten­tiels s’y inté­ressent et s’or­ga­nisent pour mettre en oeuvre l’i­dée sui­vant leurs concep­tions et inté­rêts propres. C’est en géné­ral une période trouble où plu­sieurs variantes de l’in­no­va­tion s’af­frontent sur le mar­ché, jus­qu’au moment où un consen­sus se dégage dans les comi­tés de nor­ma­li­sa­tion favo­ri­sant une ver­sion plu­tôt qu’une autre. Le Jules Verne de la carte à puce est l’é­cri­vain fran­çais, René Bar­ja­vel, qui, dans La Nuit des temps, décri­vait un bijou élec­tro­nique offrant de nom­breux ser­vices à son por­teur. Dans les années soixante de mul­tiples bre­vets vont abor­der cette pro­blé­ma­tique ; on peut citer ceux de J. Elling­boe, J. Deth­loff, de K. Ari­mu­ra, de P. Cas­truc­ci, de J. Hal­pern, de K. Ehrat. Puis arrive l’ère des bre­vets fon­da­teurs que la pos­té­ri­té a rete­nue. Le Fran­çais Roland More­no dépose six bre­vets fon­da­men­taux, en 1974 et 1975, décri­vant l’ar­chi­tec­ture d’une carte à puce et notam­ment les moyens de pro­té­ger les don­nées de la carte contre toute modi­fi­ca­tion frau­du­leuse. Les pre­mières télé­cartes vont naître de ces bre­vets. L’acte fon­da­teur est la déci­sion de Mme Vic­toire Chau­mont de la Datar (Délé­ga­tion à l’a­mé­na­ge­ment du ter­ri­toire et des régions), en 1976, de réunir les ban­quiers, la banque de France et la DGT (Direc­tion géné­rale des télé­com­mu­ni­ca­tions). Ils vont deman­der à CII-Honey­well Bull de démon­trer la fai­sa­bi­li­té d’une telle carte et en 1979 les ban­quiers et la DGT lancent le pre­mier appel d’offres de la carte ban­caire à puce. Chez CII-Honey­well Bull, Michel Ugon, dès 1977, veut faire de cette carte un vrai moyen sécu­ri­sé (paie­ment, authen­ti­fi­ca­tion, pro­tec­tion du conte­nu). Pour cela il lui fau­dra chan­ger de technologie.

Le début d’un schisme

Ce fut le début d’un schisme. Il y eut les par­ti­sans de la logique câblée en tech­no­lo­gie bipo­laire et ceux qui, der­rière Michel Ugon, assu­raient qu’il fal­lait un micro­pro­ces­seur en tech­no­lo­gie MOS. Après en avoir démon­tré les avan­tages et la fai­sa­bi­li­té, Michel Ugon dépose, en mai 1977, le bre­vet 2141 dit » SPOM « .

Toutes les appli­ca­tions avaient été imaginées

C’est le début de la carte à micro­pro­ces­seur telle que nous la connais­sons aujourd’­hui. En 1980 Moto­ro­la rece­vra les spé­ci­fi­ca­tions en vue de fabri­quer le pre­mier com­po­sant. Il est à noter que, dans les docu­ments des ori­gines, presque toutes les appli­ca­tions avaient été ima­gi­nées ; seule l’é­vo­lu­tion des com­po­sants élec­tro­niques en termes de fonc­tions, de prix et aus­si d’ac­cep­ta­tion de fac­teurs de formes dif­fé­rents pour l’ob­jet per­son­nel sécu­ri­sé a été un frein à un déve­lop­pe­ment plus rapide des applications.

Des objets de la vie quotidienne

La carte est deve­nue un objet de la vie quo­ti­dienne. Pour­tant, un phé­no­mène bien par­ti­cu­lier s’est pro­duit avec les cartes ban­caires à puce, tou­chant la rela­tion entre la carte et son por­teur : la carte ban­caire n’est pas la pro­prié­té de l’in­di­vi­du mais celle de la banque.

Chaque objet est per­son­na­li­sé avec les don­nées de l’utilisateur

Mais voi­là que pro­gres­si­ve­ment avec la notion d’ob­jet per­son­nel de confiance (TPD, Trus­ted Per­so­nal Device) cette rela­tion change. L’ob­jet n’est plus seule­ment un moyen d’a­che­ter ou de com­mu­ni­quer, il devient le garant de l’i­den­ti­té de l’in­di­vi­du. Non seule­ment il lui per­met de se faire recon­naître, de com­mu­ni­quer, de faire valoir ses droits mais il lui per­met aus­si d’é­chan­ger avec autrui ; de faire connaître son » espace de vie » en déli­mi­tant les fron­tières et de pré­ser­ver sa vie pri­vée à sa guise. C’est un exemple où les indi­vi­dus se sont réap­pro­prié les concepts d’une tech­no­lo­gie. Aujourd’­hui nous par­lons de la sécu­ri­té digi­tale et de la place fon­da­men­tale que la carte (ou tout autre fac­teur de formes) y joue et de l’im­por­tance de plus en plus grande qu’elle prend tant pour les entre­prises, les col­lec­ti­vi­tés que pour les indi­vi­dus. La révo­lu­tion digi­tale trans­forme notre vie quo­ti­dienne. Elle nous per­met de com­mu­ni­quer, d’a­che­ter, de voya­ger, où et quand nous le vou­lons. Les grandes com­pa­gnies et le sec­teur public s’o­rientent vers ces tech­no­lo­gies. L’in­di­vi­du et le citoyen en sont de plus en plus deman­deurs. Fin 2006, il y avait un mil­liard d’u­ti­li­sa­teurs Inter­net, trois mil­liards d’a­bon­nés pour le télé­phone mobile. L’un des nou­veaux écueils de ces nou­velles tech­no­lo­gies est la com­plexi­té des nou­veaux appa­reils et outils, la mul­ti­pli­ca­tion des inter­faces, des mots de passe et des coûts tant pour les orga­nismes que pour l’u­ti­li­sa­teur final. De plus, deux nou­velles craintes sont appa­rues. La pre­mière concerne la fraude, l’in­tru­sion dans les sys­tèmes, le vol d’i­den­ti­té de l’u­ti­li­sa­teur ou du ser­vice. La consé­quence en est un frein dans l’u­ti­li­sa­tion des ser­vices » en ligne « . La seconde crainte concerne le res­pect de la vie pri­vée. Il nous faut garan­tir le res­pect de la vie pri­vée de l’u­ti­li­sa­teur final. Celui-ci veut com­mu­ni­quer, par­ta­ger des infor­ma­tions, deman­der des ser­vices. Il est prêt à par­ta­ger » un espace de vie » mais il veut en déli­mi­ter les fron­tières. Il sou­haite aus­si garan­tir la pro­tec­tion de son iden­ti­té, de ses don­nées et de ses tran­sac­tions. C’est la dua­li­té qui est atten­due des TPD (Trus­ted Per­so­nal Device), que l’on pour­rait tra­duire par objets per­son­nels de confiance.

SECTEURS CARTE À MÉMOIRE CARTE À MICROPROCESSEUR
Télé­com­mu­ni­ca­tions 440 000 000 2 600 000 000
Ser­vices finan­ciers, etc. 30 000 000 500 000 000
Gou­ver­ne­ment-san­té 300 000 000 105 000 000
Trans­port 160 000 000 15 000 000
Pay TV - 70 000 000
Sécu­ri­té entreprise 20 000 000 20 000 000
Autres 10 000 000 15 000 000
TOTAL 960 000 000 3 325 000 000

Ce tableau montre que les trois mar­chés « his­to­riques » et de masse sont les télé­com­mu­ni­ca­tions, les ser­vices finan­ciers, les ser­vices liés au sec­teur public. Ces ser­vices évo­luent très vite et de nou­veaux ser­vices appa­raissent liés à de nou­velles demandes et à l’évolution technologique.

Un marché en très forte croissance

L’en­jeu indus­triel est consi­dé­rable. En 2007 le mar­ché tra­di­tion­nel de la carte était esti­mé à cinq mil­liards de dol­lars, nous esti­mons celui de la sécu­ri­té digi­tale à 25 mil­liards de dol­lars. Pour être lea­der sur ce mar­ché il faut avoir com­pris cette dua­li­té, être capable d’ap­por­ter des ser­vices offrant la sécu­ri­té, l’er­go­no­mie et la faci­li­té d’u­ti­li­sa­tion, la por­ta­bi­li­té des appli­ca­tions indé­pen­dam­ment des envi­ron­ne­ments, des appa­reils. C’est un mar­ché unique dans le sens où chaque objet est per­son­na­li­sé avec les don­nées de l’u­ti­li­sa­teur. Cela a des consé­quences impor­tantes sur la concep­tion de l’ou­til de pro­duc­tion. Le nombre de cartes ven­dues en 2007 fut de 4 285 mil­lions d’u­ni­tés contre 3 580 en 2006. On estime le mar­ché des seules cartes à micro­pro­ces­seur pour 2008 à 4 mil­liards d’u­ni­tés (3 325 mil­lions en 2007).

Des champs d’application de plus en plus nombreux et variés

De nou­velles évo­lu­tions tech­no­lo­giques ont fait sau­ter les gou­lots d’é­tran­gle­ment qui limi­taient le déve­lop­pe­ment de nou­velles applications.

Near Field Com­mu­ni­ca­tions : la carte sans contact
La tech­no­lo­gie SIM NFC per­met de relier simul­ta­né­ment la carte SIM au pro­ces­seur du télé­phone mobile et à un cir­cuit NFC, char­gé de la com­mu­ni­ca­tion radio­fré­quence (RF). Les com­mu­ni­ca­tions RF sont carac­té­ri­sées par leur basse fré­quence (13,56 MHz), leur courte por­tée (quelques cen­ti­mètres) et leur capa­ci­té à fonc­tion­ner sans ali­men­ta­tion de la carte ou du mobile. La SIM NFC se com­porte comme une carte sans contact stan­dard, tout en béné­fi­ciant du télé­phone comme inter­face usager.
Une appli­ca­tion majeure pour les mobiles équi­pés de la carte SIM NFC est le paie­ment et le ticket élec­tro­nique. En uti­li­sant la tech­no­lo­gie NFC les voya­geurs passent sim­ple­ment leur por­table devant un lec­teur pour payer ou débi­ter un ticket enre­gis­tré pour le voyage. Cela est com­mode et rapide pour l’utilisateur, et plus effi­cace pour la socié­té de trans­ports. Pour cela, les banques, les opé­ra­teurs de télé­com­mu­ni­ca­tions et les trans­por­teurs doivent har­mo­ni­ser leurs outils et en confier la ges­tion à un tiers de confiance, tel que Gemalto.

La carte s’est ouverte sur le monde de l’In­ter­net avec une connec­tique et des connec­tions de type USB, puis l’a­jout des pro­to­coles réseaux TCP/IP. L’é­vo­lu­tion des com­po­sants en taille mémoire, sécu­ri­té et per­for­mance a per­mis le déve­lop­pe­ment de nou­veaux envi­ron­ne­ments de déve­lop­pe­ment tels que » .NET » ou » Java Card » ren­dant le déve­lop­pe­ment des appli­ca­tions » Web » plus aisé et per­met­tant la por­ta­bi­li­té des appli­ca­tions. Les cartes peuvent être de véri­tables » Web Ser­vers » (Smart Card Web Ser­ver). Elles deviennent ain­si proac­tives et non pas­sives, offrant une nou­velle manière de pré­sen­ter les don­nées, plus intui­tive pour l’u­ti­li­sa­teur final. L’in­tro­duc­tion des com­mu­ni­ca­tions sans contact dans la carte SIM (qui équipe les télé­phones mobiles) est un autre bon exemple de cet accrois­se­ment de l’in­ter­con­nexion des cartes. Aujourd’­hui, cette SIM NFC est l’une des plus sophis­ti­quées actuel­le­ment sur le mar­ché. Grâce au Single Wire Pro­to­col (SWP) la connexion d’une carte est désor­mais pos­sible avec une puce NFC. Le télé­phone mobile s’ouvre vers de nou­velles appli­ca­tions telles que le paie­ment des moyens de trans­port ou le porte-mon­naie élec­tro­nique sans contact. Avec le Blue­tooth, le Wifi et les NFC, la carte SIM s’ouvre vers le monde de la radio­fré­quence. Les évo­lu­tions ne se limitent pas aux capa­ci­tés de com­mu­ni­ca­tions, ni à leur sec­teur. De plus en plus sou­vent, la carte s’in­sère dans de nou­veaux fac­teurs de formes, tels que la clé USB ou encore les cartes micro-SD. Elle y est apte à éta­blir de nou­veaux ponts entre des mondes qui s’i­gno­raient jus­qu’à pré­sent. Dans le sec­teur public, les grandes capa­ci­tés de mémoire des nou­velles cartes peuvent être exploi­tées de façon signi­fi­ca­tive par de véri­tables sys­tèmes de bases de don­nées embar­qués. Ceux-ci cumulent la sou­plesse de leurs grands frères, avec la sécu­ri­té tra­di­tion­nelle des cartes pour créer des appli­ca­tions à la fois convi­viales et sûres. Une appli­ca­tion inté­res­sante en est le Dos­sier médi­cal sécu­ri­sé par­ta­gé (DMSP), où l’on ver­ra une carte conte­nant le dos­sier médi­cal d’un patient, acces­sible par les dif­fé­rents pro­fes­sion­nels de san­té selon leurs droits propres. La quan­ti­té d’é­vo­lu­tions que connaît la carte rend notre défi­ni­tion tra­di­tion­nelle de la » carte à puce » de plus en plus caduque. Peut-être ne faut-il en rete­nir fina­le­ment que la quin­tes­sence, celle d’un objet per­son­nel por­table de confiance.

Vers l’agrégation de services

Dans ce mar­ché de la sécu­ri­té digi­tale, la carte n’est que la par­tie immer­gée de l’iceberg.

Une carte conte­nant le dos­sier médi­cal d’un patient

La mul­ti­pli­ci­té des opé­ra­teurs et des four­nis­seurs, les cen­taines de mil­lions d’a­bon­nés conduisent à des modèles éco­no­miques dif­fé­rents, à des infra­struc­tures et des déploie­ments dif­fé­rents. La sécu­ri­té est au coeur du sys­tème car nous allons vers des sys­tèmes qui s’in­ter­con­nectent (les mobiles, mobile-TV, paie­ment mobile, authen­ti­fi­ca­tion, etc.). L’in­ter­mé­dia­tion est le fac­teur clé de la réus­site de ces asso­cia­tions. Il est fon­da­men­tal de four­nir aux clients des ser­vices opé­rés (gérés par un four­nis­seur pour compte des pres­ta­taires directs). Les ser­vices opé­rés com­prennent, par exemple, la per­son­na­li­sa­tion et l’é­mis­sion des cartes, ain­si que la ges­tion des ser­veurs OTA (« Over the Air ») pour admi­nis­trer les cartes SIM à dis­tance et donc déployer rapi­de­ment de nou­veaux ser­vices. La carte semble être la pla­te­forme par excel­lence pour l’a­gré­ga­tion de ser­vices. Elle est connec­tée aux ser­veurs, elle est un ser­veur, elle peut se connec­ter sur de mul­tiples appa­reils sans contraintes par­ti­cu­lières, elle est sûre, per­son­na­li­sée, élé­ment de confiance pour les orga­nismes et pour l’individu.

Cet article n’en­gage que l’o­pi­nion de ses auteurs et ne peut être tenu comme la posi­tion offi­cielle de Gemalto.

Poster un commentaire