FI/SP/00

Carte à puce et sécurité

Bertrand Lathoud, assistant à l'Institut d'informatique et d'organisation, HEC-Lausanne

Au cours des mois d'avril et mai 2000, des enquêteurs du GAO (General Accounting Office) [organisme chargé de mener des enquêtes pour le compte du Congrès des Etats-Unis] ont réussi à pénétrer dans une vingtaine de bâtiments fédéraux dépendant notamment du FBI, de la CIA, ou encore du Département de la Défense, en étant simplement munis de faux badges confectionnés à partir de modèles disponibles sur Internet ou chez des revendeurs spécialisés (dépêche Reuters du 26 mai 2000). Des telles faiblesses en matière de sécurité ne sont pas simplement imputables au laxisme de quelques gardes, ou aux lacunes des procédures de contrôle d'accès. Les outils de contrôle d'accès et d'identité, tels que les badges, ne sont plus forcément adaptés à leur mission, compte tenu des technologies disponibles. En effet, contrefaire une identité n'est plus réservé aux seules organisations gouvernementales, ou aux mafias de tout poil. On comprend mieux les motivations de l'administration fédérale américaine (par le biais du GSA: General Services Administration) à mener rapidement à son terme un projet fédéral intitulé: Smart Access Common Identification Card.

Ce choix technologique n'est pas le fruit du hasard, ou de la réussite d'un groupe de lobbyistes particulièrement actifs. La carte à puce est un outil permettant de répondre efficacement à plusieurs des critères essentiels de la sécurité: identification, authentification, et confidentialité. Les Etats-Unis font mine de découvrir aujourd'hui une solution développée en Europe, où elle fait ses preuves depuis plus de dix ans. Brevetée en 1974 par un ingénieur français, le concept de carte à puce va connaître son essor pendant les années quatre-vingt grâce à la mise sur le marché des premières cartes bancaires (carte bleue en France), et des télécartes destinées à la téléphonie. Dès 1985, les géants de la carte de paiement que sont Visa et Mastercard, s'y intéressent. On la retrouve ensuite dans les décodeurs des chaînes de télévision à péage, ou encore dans les natels (SIM: Subscriber Identification Module).

Il existe aujourd'hui six familles de cartes, qui vont de la carte à mémoire simple, jusqu'à la carte multi-technologies pouvant être lue par contact direct, ou par radiofréquences (technologie des transpondeurs) et embarquant un microprocesseur de type RISC. L'intérêt de la carte à puce en matière de sécurité est de pouvoir offrir un mécanisme d'authentification très robuste. En effet, certaines zones de la carte ne sont pas lisibles directement. Elles peuvent enfermer des données chiffrées, que le microprocesseur embarqué sera en mesure de traiter en fonction des instructions et informations fournies par le lecteur de carte. Une smart card peut par exemple contenir des données permettant l'identification du porteur et une clé privée dans la zone protégée de sa mémoire. Le lecteur d'un distributeur automatique de billets n'aura accès qu'au résultat du chiffrement, et devra comparer avec les informations correspondantes conservées par la banque.

Toutefois, le niveau de sécurité garanti par l'utilisation de cartes à puce sera déterminé par le degré de sécurisation offert par la puce elle-même. La récente affaire Humpich, en France, a provoqué une polémique entre le Groupement d'Intérêt Economique (GIE) Carte Bancaire [rassemblant environ 200 banques françaises], le Gouvernement, et les associations de consommateurs. En effet, Serge Humpich, ingénieur français, a découvert en 1997 un moyen de leurrer la protection mise en place au niveau des lecteurs de cartes, afin de créer une Yescard: une fausse carte à puce qui répond OK quel que soit le code secret entré sur le clavier du lecteur. Poursuivi en justice par le GIE, il a été condamné à 10mois de prison avec sursis en février 2000, au terme d'une instruction menée dans des conditions parfois surprenantes. Certains y ont vu la fin du mythe de la carte à puce inviolable. En fait, il semblerait que la réalité soit plus complexe: si la carte bancaire telle qu'elle existe aujourd'hui en France, est vulnérable, c'est en partie dû à la légèreté du GIE qui n'a pas su adapter la force du chiffrement des données transportées par la carte, à la puissance de calcul disponible pour le grand public et a fortiori les pirates. On se retrouve confronté à un problème de gestion, et non de technologie. De plus, certaines faiblesses de la carte bleue sont inévitables pour des raisons de compatibilité avec les systèmes de paiement électronique en vigueur dans certains pays. Ceux-ci en sont restés à la carte à bande magnétique, très facilement clonable. Si l'on veut pouvoir faire usage de la carte à puce dans ces pays, il est nécessaire d'enregistrer certaines informations, normalement confinées dans la puce, sur la piste magnétique. Les pirates disposent ainsi d'un biais pour contourner la forte protection que représente la puce.

L'avenir des cartes à puce ne semble pas pour autant assombri. Selon une étude du cabinet IDC, le marché européen pour cette technologie devrait croître de 31% par an pour les cinq prochaines années. Au niveau mondial, la croissance devrait se situer aux alentours de 40% par an. On se retrouverait ainsi avec 3,3 milliards de cartes en circulation dans le monde en 2005. Dès 2003, la grande majorité des cartes bancaires à puce devrait respecter le standard défini par Visa et Mastercard: chiffrement asymétrique et clés de 1024 bits. Outre les domaines traditionnels de la Banque et de la téléphonie mobile, on devrait la retrouver fréquemment dans tout ce qui touche à la sécurité des réseaux. Soucieuses d'améliorer leur image, les banques françaises ont promu une nouvelle solution de sécurisation des échanges commerciaux sur Internet: Cyber-Comm. Respectant le protocole SET (Secure Electronic Transaction), elle prend la forme d'un lecteur de carte à brancher sur l'ordinateur de l'utilisateur, et permet d'authentifier ce dernier sans que le code secret n'ait à transiter sur le réseau. Compaq a annoncé une première production de 100'000 claviers équipés d'un lecteur de carte à puce et compatibles avec cette technologie. Enfin, l'apparition des usages réellement mobiles (informatique diffuse) devrait accentuer la demande. On peut imaginer que la puissance croissante de l'électronique embarquée favorisera la diffusion de cartes contenant simultanément des données implantées par le fournisseur de services (banque, opérateur télécom,...) et des informations en provenance de l'utilisateur, telles que celles numérisées par des capteurs biométriques.

Bibliographie

Site présentant les choix normatifs de Visa et Mastercard:
www.emv.com
Etude IDC:
www.idc.fr/presse/cp_smartcards_ fr.htm
Site sur l'affaire Humpich:
www.parodie.com/monetique


retour au sommaire du Flash informatique spécial été 2000
retour à la page principale des Flash informatique
Vos commentaires
© FI spécial été 2000 du 5 septembre 2000