Stratégies Télécoms & Multimédia

I - Description

La carte à puce est constituée d’un support en carton plastifié (85,6 x 54 mm et de 0,7 à 0,9 mm d’épaisseur) et d’un circuit électronique à mémoire (circuit intégré). Imaginée par les Allemands Dethloff et Gröttrup en 1967, elle fut l’occasion de nombreux brevets dans le monde, dont ceux de François Moreno (1974). Les premières réalisations portèrent sur des cartes passives (cartes téléphoniques, cartes de stationnement), la mémoire de travail étant placée sous accès logique protégé. La carte à puce a pris progressivement la suite de la carte bancaire à piste magnétique et de la carte d’identification par codes barres. La normalisation de la carte à puce est assurée par l’ISO (série ISO-7816-n), le Cenelec et l’ETSI (groupe SCP, Smart Card Platform).

II - Structures techniques de la carte à puce

2.1 - Circuits

Le cœur de la carte à puce est constitué d’un microprocesseur 8 bits, 32 bits ou 64 bits, exploité entre 4 et 10 MHz, d’une mémoire ROM de capacité comprise entre 6 et 512 Ko utilisée pour la sécurité, d’une RAM de 256 à 2 048 Ko et d’une EEPROM de 1 à 256 Ko Fram (utilisable pour le stockage d’applications). Certaines cartes peuvent disposer de mémoire Flash de plusieurs Mo (MegaSim).

Un microcontrôleur permet de rendre la carte à puce active et il ouvre la voie à des applications liées à la sécurité (échange et lecture de clés de cryptographie). La mémoire de la puce et les dispositifs de calcul associés permettent de faire jouer à la carte le rôle d’un ordinateur de poche assez convenable pour être utilisé avec les systèmes d’exploitation les plus répandus sur le marché (Java, Windows CE, .NET, etc.).

Les circuits de la carte à puce sont accessibles sur une seule ligne d’entrée sortie à 8 contacts sur la carte à puce à contact (selon les normes ISO actuelles). La carte peut aussi être accessible par voie électromagnétique grâce à une antenne enfouie (carte dite "sans contact"). La carte à puce peut présenter les deux caractéristiques (avec et sans contact).

2.2 - Composants

Les fabricants de cartes à puce utilisent de processeurs à 32 ou 64 bits encartables. Ils mettent tous l’accent sur le sans contact et la sécurité. Le recours à des microcontrôleurs est justifié pour la sécurité. Les mémoires Fram sont rapides et consomment peu. Les progrès rapides enregistrés dans le domaine des circuits mémoire (RAM, ROM, Flash, EEPROM, Flash NAND) [voir Glossaire] et la chute des prix pour certains d’entre eux repositionnent les choix technologiques de la carte à puce.

2.3 - Logiciels

EAP est le protocole d’authentification utilisé sur IEEE802.1x pour la définition du RSN (Robust Security Network), bien que d’autres méthodes d’authentification soient possibles.

III - Grands domaines du marché de la carte à puce

3.1 – Généralités

Les principaux domaines des applications des cartes à puce sont aujourd’hui concentrés dans les télécommunications ("télécarte", carte SIM pour identifier le terminal mobile appelant) et les services bancaires (y compris les micro achats). Les transports, l’authentification et les cartes multi applications (carte d’accès aux transports en commun, contrôle de l’identité des personnes, contrôle d’accès aux services télévisuels payants, etc.) représentent aussi des débouchés importants.

Ces grands domaines nécessitent l’emploi de processeurs et de circuits mémoire, dont la quantité est fonction des différentiels marchés géographiques auxquels les cartes sont destinées. Le tableau ci-dessous indique le degré d’emploi des cartes dans le monde en 2009.

Le marché mondial de la carte à puce représente environ 5,4 milliards d’unités vendues par an. Les cartes à microprocesseur représentent la majorité des besoins. Cette année, les applications téléphoniques (avec la 2G, la 3G, l’UICC pour le LTE, les NFC et le M2M), qui représentent près de 68 % du chiffre d’affaires, sont soumises à une très forte concurrence. Les autres applications potentielles, malgré les espérances proclamées, ne se sont pas concrétisées. L’Amérique du Nord est habituée à ses cartes de crédit et cartes bancaires à piste magnétique et depuis plus de dix ans, les problèmes techniques et juridiques soulevés par la biométrie retardent encore la mise au point effective des cartes d’identité et passeports électroniques. Pour ces raisons, le marché de la carte à puce, bien que prometteur, demeure soumis aux aléas des marchés et à l’ouverture de nouvelles applications, telles que le jeu en ligne, les communications de machine à machine (M2M), les services associés ou associables aux terminaux de communications mobile, l’informatique en nuage, l’identification, la télésanté, etc. De nouvelles applications sont actuellement en exploration (carte à puce associée à un accéléromètre, carte à puce et NFC pour les télépaiements ou les demandes d’informations, carte à puce à double cœur, etc.).

Les télécommunications représentent 68 % de ce marché, avec les cartes SIM. Puis viennent le secteur bancaire et le secteur de l’administration, santé et transport. Le secteur des cartes sans contact (NFC) devrait se développer fortement vers 2012.

La zone Asie Pacifique absorbe 39% du marché des cartes à puce, contre 48% pour l’Europe et 13% pour l’Amérique. En télécommunications, l’APAC est le plus large marché pour la carte à puce, en raison du développement des réseaux GSM et 3G (39% du marché mondial de la téléphonie mobile, contre 22% pour l’Europe et 11% pour l’Amérique du Nord). L’Asie a vu naître les paiements par téléphone portable, le Japon étant plus avancé en la matière, avec son offre "Felica".

3.2 – Carte SIM et carte USIM

Une carte SIM (Subscriber Identity Module) est une carte à puce loge à l’intérieur d’un téléphone mobile qui stocke les informations permettant au réseau d’identifier l’abonné. Une carte USIM (Universal Subscriber Identity Module) est une carte SIM pour terminal de téléphonie mobile de technologie mobile 3G (la technologie 3G permet d’offrir aux utilisateurs des applications multimédia).

3.3 - Le secteur bancaire

Dans le secteur bancaire, la migration vers la norme sécurisée EMV (Europay, Mastercard, Visa) porte le marché. La progression de l’usage de la carte comme moyen de paiement est constante (40 % des paiements en France). La carte à puce peut mettre en jeu des systèmes de cryptographie puissants (signature RSA avec clé de 2 048 bits, cryptage en DES, 3-DES, AES, HMAC, etc.).

Au total, 85 millions de cartes bancaires étaient en circulation en France en 2008. Ces cartes ont permis à leurs propriétaires d’effectuer des achats pour un total de 330 milliards d’euros et des retraits pour 110 milliards d’euros en billets. Le montant total des fraudes est inférieur à 250 millions d’euros (soit un taux de perte de l’ordre de 0,062 %) et ces dernières mettent souvent en cause des cartes à nom multiple (three-party cards) ou des cartes émises par des entités privées, car ces cartes autorisent des débits plus élevés.

Des essais de cartes sans contact ont été effectués en France auprès de sites commerciaux, pour des sommes limitées à des montants inférieurs à 20 euros. Avec le concours de plusieurs banques, la carte de paiement sans contact a été proposée au Royaume-Uni pour des montants inférieurs à 10 livres sterling (courses en taxi, achat de revues, paiements de petites consommations au bar, etc.), ce qui représente près de 80 % des 27 milliards de transactions effectuées par carte. L’expérience a été étendue à plusieurs pays.

3.4 - Dossier médical partagé

Le plan de mise en œuvre du DMP (Dossier médical personnel) a été relancé en France. Le marché de l’hébergement des informations des DMP a été attribué pour quatre ans (2010 – 2013) à un consortium industriel mené par les groupes Atos Origin et La Poste, et constitué des sociétés Atos Wordline, Santeos, Extella, HSC, Softway Medical Services et Evalab. Dès la fin de 2010, les premiers patients pourront accéder à leur dossier médical électronique et les professionnels de santé seront ainsi en mesure d’assurer une meilleure coordination des soins.

3.5 – Autres applications

Les applications sécurisées ont alimenté l’innovation : passeport électronique, carte d’identité électronique, carte pour le service national de santé (carte Vitale, carte HSA - Health Service Accounts, cartes des téléphones mobiles avec identification du souscripteur (Subscriber Identity Module), etc. En Asie, les cartes à puce sont très utilisées pour les transports publics et pour le paiement des péages autoroutiers, notamment avec des cartes sans contact.

4 - Protections

4.1 – Principe de base

Pour lutter contre la fraude et simplifier les échanges commerciaux des particuliers, les banques ont introduit leur propre système de cartes à puce, nuancé par des applications attachées à la concurrence qui règne sur ce marché (EMV, Europay, Mastercard, Visa). Avant usage par le détenteur, la carte à puce est encodée par l’organisme émetteur afin d’y inscrire les éléments électroniques de personnalisation, les paramètres d’accès autorisés et la date de validité. Une gravure externe est apposée sur la carte pour rappeler le nom de la personne et de l’organisme émetteur.

4.2 - Sécurité Finread

Financial Reader (ou Finread) est la norme de sécurisation des cartes à puce connectées à un ordinateur pour le paiement à domicile. Le lecteur s’appuie sur une machine virtuelle Java qui permet de télécharger des applications. Le lecteur de carte utilise des clefs de cryptage RSA asymétriques reposant sur une structure PKI. Le clavier et l’écran sont aussi sécurisés et des traces des manipulations demeureront sur le lecteur (tamper-evident), de façon à ce que le piratage laisse des traces. Le lecteur de carte pourra fonctionner en mode transparent (pour le contrôle simple d’accès, non sécurisé, sans cryptage des données). L’Embedded Finread est l’extension du système vers les mobiles, les décodeurs TV et les PDA, ainsi que pour des applications santé et sociales ou civiles.

4.3 - PKI

Le RSA étant plus exigeant en temps et en énergie, le PKI (ou infrastructure à clef publique) lui est préféré. Il est géré par une autorité de certification qui délivre les clefs de cryptage aux utilisateurs qualifiés. La clef privée de l’utilisateur n’est utilisable qu’avec la clef publique, tout comme dans la salle des coffres d’une banque ou d’un hôtel. Compliqué et cher, on peut lui préférer le GemSafe Light qui peut être retransformé en PKI.

4.4 - Sécurisation des paiements en mobilité

L’accès au contenu total ou partiel des informations de la carte à partir d’un réseau mobile (GSM, GPRS, ou 3G) implique l’élévation du niveau de sécurité des transactions, à un niveau de prix qui doit demeurer peu élevé. En effet, les taxes prélevées à l’occasion des petits paiements effectués à distance ne doivent faire renoncer l’utilisateur. D’autre part, un maximum de normalisation des transactions sur cette interface devrait garantir un marché très étendu. La signature numérique permet de garantir l’authentification, la non-répudiation, la confidentialité et l’intégrité. La carte à puce permet la personnalisation de la sécurisation des réseaux. La méthode PKI est réservée aux applications liées à la signature électronique et la tendance serait d’utiliser des clés symétriques basées sur le protocole SCP (Secure Channel Protocol).

4.5 – Méthode E2EE

Les Etats-Unis sont assez peu favorables à la protection apportée par la norme EMV et ont une préférence pour le procédé E2EE (End to End Encryption) sur piste magnétique. Dans la méthode E2EE, les données sont protégées par chiffrement et stockées dans chaque zone, bien que chiffrées également lors de leur transmission, ce qui rend difficile leur lecture le long de leur acheminement.

4.6 - Vulnérabilité des clés de chiffrement

L’INRIA et ses partenaires ont démontré la vulnérabilité d’une clé RSA de 768 bits. En conjuguant différentes capacités de calcul pendant deux ans et demi, ils sont parvenus à casser cette clé de 232 chiffres en retrouvant les facteurs premiers qui la composent. Ce nouveau record confirme les recommandations de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui invite à ne pas utiliser de clé RSA d’une taille inférieure à 2 048 bits en 2010. Les systèmes cryptographiques garantissent la sécurité des échanges de données sur Internet et sont placés au cœur du commerce électronique. Les systèmes à clé publique (les clés pour chiffrer et déchiffrer sont différentes, destinataire et expéditeur du message n’utilisent pas la même clé) permettent d’échanger des informations confidentielles ou de signer électroniquement des documents allant de l’Internet aux cartes à puces. L’algorithme RSA (pour Rivest Shamir Adleman) fait partie de cette famille de systèmes. [www.inria.fr]

Les experts en sécurité de l’Université Weizmann de l’Institut des Sciences en Israël estiment que le future algorithme de chiffrement Kasumi proposé pour la téléphonie 3G (UMTS / W-CDMA) n’est pas plus fiable que celui utilisé en téléphonie 2G. Avec un simple ordinateur, ce code peut être ouvert en moins de deux heures. Malgré tout, jusqu’à maintenant, ceci demeure assez théorique, car aucune attaque n’a encore été signalée en téléphonie 2G qui est protégée par un code créé il y a 22 ans. L’algorithme Kasumi est mis en œuvre dans près de 40 % des trois milliards de terminaux mobiles en service et les autres 60 % disposent de l’ancien système.

V - Evolution de la carte à puce

5.1 - Nécessité

La technologie des cartes SIM (Subscriber Identifier Module), vieille de dix ans, doit se renouveler et permettre à l’Europe, face au dumping pratiqué par la centaine d’industriels asiatiques, et d’ouvrir de nouveaux usages avec un produit dont le prix de base n’a fait que baisser depuis sa naissance. La technologie disponible aujourd’hui en composants, en particulier les SoC, (systèmes sur une puce) permet de disposer sur une carte à puce de mille fois plus de mémoire, d’offrir une sécurité renforcée, avec un accès au haut débit, des performances liées à de multiplex applications pour ouvrir un vaste éventail d’applications. L’intelligence contenue dans la carte permet d’envisager d’associer les informations propres à la personne (passeport avec photographie d’identité, carte pour l’accès aux services de santé et au dossier médical du patient, carte de crédit et de débit bancaires, agenda personnel, etc.). Les premiers essais de cartes de santé et de passeports électroniques constitueront des expériences instructives. Onze pays européens ont voté le principe de la carte d’identité électronique qui doit permettre de réduire les risques de fraude et la Belgique a déjà équipé ses 8 millions de citoyens en 2009.

Dans tous les domaines, il faudra définir des nouveaux produits qui puissent être compatibles avec ceux de l’ancienne génération. Certains groupes d’étude centrent leur analyse sur l’Europe, d’autres, sur leurs propres relations bancaires. Il est clair que les banques centrales ont la possibilité d’imposer leurs propres vues sur la sécurité et l’efficacité de la carte.

La possibilité d’applications centrées sur la Toile (Web2.0 ou WS*, de Microsoft) ouvre de nouveaux horizons. La carte SIM va probablement s’enrichir sur les quatre aspects suivants : mémoire plus importante (1 000 fois plus ?), communications à haut débit avec les réseaux, sécurité accrue - en 3DES -, nouvelles performances - avec des serveurs de la Toile, par exemple.

5.2 - Problématique des interfaces

La carte à puce pourrait être associée avec le GSM, la 3G et le Wi-Fi, grâce à la carte SIM ou UICC 3G (Universal Integrated Circuit Card) pour sécuriser les accès aux réseaux. Il faudrait dans ce but redéfinir les interfaces CLFI et HSP.

L’interface CLFI (ContactLess Front end Interface) avec le circuit haute fréquence sans contact ISO 14443, qui est attendue pour près de la moitié des terminaux en 2010, n’est pas encore définie par l’ETSI - SCP. La future interface rapide HSP (High Speed Protocol) fait encore l’objet de plusieurs propositions différentes qui tentent, plus ou moins, de garder la compatibilité avec "le sans contact" et avec les câblages existants sur les 8 fils de la puce (ISO 7816-3). Des offres propriétaires se manifestent néanmoins, comme celle de SanDisk (protocole SD des cartes Flash amovibles) pour le HSP ou celle de Nokia pour l’interface CLFI. Le LETI propose une interface à 5 Mbit/s sans contact. Il serait temps de faire les choix définitifs. Bien que des convergences apparaissent dans les propositions d’évolution de la carte à puce, il semble que chaque groupe d’affaires ou chacun des groupes bancaires concernés souhaite imposer dans l’urgence son propre système de contrôle de la sécurité.

Si la capacité mémoire de la carte peut être élargie, elle aura ses propres limites et il ne semble pas réaliste d’y stocker toutes les configurations de relations commerciales possibles. L’entité qui délivre la carte de paiement devra fixer ces limites, en accord avec les fournisseurs de services concernés.

Les liaisons "machine to machine" utilisent des terminaux équipés de cartes SIM permettant aux appareils (ascenseurs, compteurs électriques, système d’alarme) de communiquer entre eux. Deux millions de cartes SIM y sont déjà en service en France.

5.3 – Exemple des nouvelles cartes à puce HD-SIM

Les nouvelles cartes à puce HD-SIM conçues par Infineon et Micron disposent de plus larges capacités de stockage d’information (32 koctets à 128 koctets en EEPROM) et de mémoires Flash NAND à 50 nm ou 34 nm, ce qui permet de stocker des volumes de données compris entre 128 Mo et 2 Go. Ces HD-SIM exploitent la technologie de corrections d’erreur (ECC) pour les données stockées en mémoire et sont également sécurisées. La carte SIM Sense sera la première du genre à être adaptée à la technologie des accéléromètres et de pouvoir répondre à des mouvements définis. La carte SIM de Sagem Orga est asservie au GPS de façon à fournir une adaptation aux services européens de type E.112 et E.911.

VI – Quelques acteurs et projets

Transactions européennes sécurisées - "eEurope Smart Cards", créée par l’UE a publié les spécifications pour l’usage sécurisé des cartes à puce. Open Smart Card Infrastructure for Europe (OSCIE) rassemble les travaux de coopération entre 250 industriels pour le développement de la carte à puce en Europe. Voir www.eeurope-smartcards.org.

L’association internationale Eurosmart - Située à Bruxelles, l’association Eurosmart réunit les principaux acteurs de l’industrie de la carte à puce (ASK, Aspects, Atmel, Austria Card, Bundes Druckerei, Datacard, FNMT, Galitt, Gemalto, GIE Cartes Bancaires, Giesecke & Devrient, Infineon Technology, Ingenico, MasterCard, Moneyline, NedCard, NXP, Oberthur Card Systems, Renesas, Sagem Orga, Samsung, Saqqarah International - Groupe Imprimerie Nationale, Sharp, SST, STMicroelectronics et Wave) pour toutes les activités envisageables. Son but (non lucratif) vise au développement du marché de la carte à puce et à l’amélioration de la qualité de l’inter fonctionnement et de la sécurité de ses usages à travers les normes et au développement de R&D par des projets européens en particulier.

Eurosmart vise à établir un consensus pour un mode d’accès unique à haut débit, sécurisé et adaptable aux fonctionnalités de la carte à puce, permettant la mobilité à travers les réseaux locaux radioélectriques (WLAN, WiMAX et 3G) dans tous les espaces publics et privés. Eurosmart encourage l’établissement de projets pilotes propres à coordonner l’effort de R&D dans ce domaine (passeports électroniques, carte d’accès aux soins médicaux, systèmes de transport, etc.). [www.eurosmart.com]

"InspireD Consortium" - Consortium européen de 16 acteurs et industriels de la carte à puce qui a pour but de définir les normes d’une nouvelle génération de cartes à puce sécurisée et inter exploitable avec les dispositifs personnels sécurisés (TPD). Il inclut ainsi tous les types de dispositifs portables et devrait permettre aux utilisateurs de se connecter à leurs services électroniques préférés, où qu’ils se trouvent. Parmi les membres du consortium "InspireD" figurent 16 des plus importants acteurs industriels et universitaires du secteur européen de la carte à puce (Gemplus, ActivCard, ARTTIC, Atmel, Axalto, Everbee Networks, France Telecom, Gemplus, Giesecke & Devrient, Infineon, INRIA, NDS Technologies, Oberthur Card Systems, Orga, Philips, l’Université Catholique de Louvain et l’Université de Twente).

Mobey Forum – Le Mobey Forum, écosystème d’affaires et de services financiers mobiles, rassemble plusieurs banques internationales, des industriels et des spécialistes en logiciel qui souhaitent en commun le développement de la carte à puce pour des applications mobiles bancaires. Plusieurs actions ont été engagées positivement les années passées (2003, démonstration du fonctionnement sécurisé de terminaux bancaires - 2004, paiements à distance – paiements mobiles à l’aide d’une carte sans contact, etc.). Le Mobey Forum travaille à l’amélioration de la sécurité et à l’adaptation à la mobilité des services bancaires. Les travaux et analyses effectués par le Mobey Forum servent de référence à l’ensemble de la collectivité de recherche en ce domaine. [www.mobeyforum.org]

Le groupement SCS - Créé en 2005, le groupement d’acteurs français SCS (Solutions Communicantes Sécurisées) rassemble sur ce thème 330 partenaires publics et privés (universités, industriels, PME, etc.). Ce pôle de compétitivité méditerranéen s’est donné pour tâche d’aborder l’étude de l’amélioration de la sécurité de la carte SIM à l’occasion du projet MaXSSIMM. Celui-ci concerne la réalisation de l’accès sécurisé à des applications liées à l’Internet mobile, au déploiement de nouveaux services et de nouveaux usages, à la protection des utilisateurs et des exploitants, à la gestion des formats d’échange, des droits des fournisseurs de contenus, etc. [www.pole-scs.org]

SEPA – En 2001, la Commission européenne a introduit, avec le concept de monnaie unique, la notion de SEPA (Single Euro Payments Area) dont le but est d’effacer les différences entre les paiements intérieurs et transfrontières. La mise en place du SEPA, pour les 36 pays fondateurs (dont les 27 pays de l’Union), prévue au début Novembre 2010, selon les règles définies par l’EPC (European Payements Council), doit faciliter les transferts de fonds intraeuropéens (transfert de crédits, débit direct et gestion des réseaux relatifs aux cartes bancaires) et réduire fortement les coûts des banques et des utilisateurs. Le SEPA devrait donner lieu à une harmonisation progressive des services, structures et règlements liés à la carte bancaire (80 systèmes de gestion des cartes bancaires pour 750 millions de cartes en Europe). Le projet intitule "SEPA Card Processing" concerne les POS (points de vente) et les ATM (distributeurs automatiques de billets) ainsi que les services lies aux émetteurs conformes aux normes de l’EMV.

Smart Meiji - Le projet Smart Meiji, établi entre la Communauté Européenne et le Japon, a pour objectif d’accroître la sécurité des cartes à puce, la protection des données personnelles et l’emploi des cartes sans contact, grâce à des normes communes. Le Japon est leader de l’emploi des cartes sans contact et l’Europe souhaite accroître la diffusion des normes de sécurité établies par l’ISO (ISO 14443, systèmes A et B) et l’interopérabilité et la compatibilité des cartes à travers le monde.

Trust-Me SSIMM - Solution Sécurisée pour l’Internet Mobile Multimédia du Pôle-SCS. L’objectif de cette étude est de proposer une solution globale et sécurisée dans le domaine de l’Internet mobile.

Smart Card Platform – (Technical Committee SCP) – Groupe technique formé en 2000 par l’ETSI qui se trouve être le point focal de la normalisation pour la carte à puce des systèmes mobiles 2 et 3 G. [www.etsi.org/scp]

Projet de surveillance de l’accès à Internet - Le déploiement d’un système "d’identification volontaire et vérifiée" propose de mettre en jeu une carte à puce capable d’identifier l’empreinte digitale de l’internaute à chaque fois qu’il se connecterait à Internet.