- Carte à puce
-
Une carte à puce est une carte en matière plastique, voire en papier ou en carton, de quelques centimètres de côté et moins d'un millimètre d'épaisseur[1], portant au moins un circuit intégré capable de contenir de l'information. Le circuit intégré (la puce) peut contenir un microprocesseur capable de traiter cette information, ou être limité à des circuits de mémoire non volatile et, éventuellement, un composant de sécurité (carte mémoire). Les cartes à puce sont principalement utilisées comme moyens d'identification personnelle (carte d'identité, badge d'accès aux bâtiments, carte d'assurance maladie, carte SIM) ou de paiement (carte bancaire, porte-monnaie électronique) ou preuve d'abonnement à des services prépayés (carte de téléphone, titre de transport); Voir ci-dessous. La carte peut comporter un hologramme de sécurité pour éviter la contrefaçon. La lecture, par des équipements spécialisés, peut se faire avec ou sans contact avec la puce.
Sommaire
Histoire de la carte à puce
Dès 1947, une mémoire portative est décrite par un ingénieur britannique : un substrat en bakélite sur lequel sont imprimées de très fines pistes de cuivre qui, sous l'effet d'un courant important, se volatilisent irréversiblement, créant un effet mémoire. Il est question, à l'époque, de 64 bits.
En 1969, les Américains Halpern, Castrucci, Ellingboe, notamment[2] contribuent à la genèse de la mémoire portative[réf. nécessaire].
Le premier brevet concernant un dispositif de type carte à puce (mémoire sécurisée) est déposé le 25 mars 1974 par Roland Moreno, qui fonde par la suite la société Innovatron pour exploiter ce brevet, mais la qualité d'inventeur lui est contestée par Daniel Vesque[3] .
En mars puis mai 1975 Moreno développe par plusieurs certificats d'addition les moyens inhibiteurs revendiqués dans le premier brevet et étend la protection internationalement[4] :
- comparaison interne du code confidentiel ;
- compteur d’erreurs, qui provoque l’auto-destruction de la puce en cas de soumission répétée d’un code faux : un code inexact provoque la destruction d'un fusible en mémoire, d'où une surconsommation électrique importante. Voir à ce propos Analyse de consommation (cryptographie) ;
- moyens de traitement ;
- lecture irréversiblement impossible de zones prédéterminées, notamment code confidentiel, clés, etc. ;
- écriture, modification, effacement irréversiblement impossibles de zones prédéterminées de la mémoire.
Ces moyens inhibiteurs prévus dès 1974 n'ont pas toujours été installés industriellement. L'agencement d'un circuit intégré ASIC (Application Specified Integrated Circuit) est en effet une lourde opération industrielle qui ne se justifie nullement en l'absence d'un risque de fraude massive.
Les premières puces sécurisées apparaîtront en 1982 (logique câblée) et 1983 (microcontrôleur).
En 1975, la Compagnie Honeywell Bull, compagnie sous la tutelle de France Télécom, dépose de son côté une demande de brevet pour une carte portative du type carte de crédit également, comprenant au moins un dispositif de traitement de signaux électriques disposé à l’intérieur de la carte. Les français Bernard Badet, François Guillaume, et Karel Kurzweil y sont désignés inventeurs. La protection industrielle sera étendue à onze autres pays[5].
En 1977, l'Allemand Dethloff dépose un brevet pour une carte à mémoire portative dont les moyens inhibiteurs seraient constitués par un microprocesseur. Ce perfectionnement significatif autorisant un changement de fonctions de la carte par simple reprogrammation (fonderie sur la base d'un masque spécifique). Aujourd'hui, plus des trois quarts des cartes à puce en service sont dotées d'un microprocesseur ou d'un microcontrôleur.
Quelques mois plus tard, le Français Ugon dépose pour le compte de son employeur Bull un brevet sur une technique comparable, nommée CP8, pour « Circuit Portatif des années 80 », qui ne donnera lieu à une activité industrielle qu'à partir du début des années 1990, tout en engendrant de dépôt de plus de 1200 brevets.
En 1978, la Direction générale des télécommunications ‘DGT’ (qui deviendra France Telecom) organise elle-même dès 1978 la mise au point des prototypes, la réalisation des cartes et des terminaux points de vente, et elle impulse la constitution la même année d'un GIE Carte à Mémoire regroupant autour d’elle dix banques françaises[6].
En 1979, le géant des services pétroliers Schlumberger entre au capital d’Innovatron, pour 23 %, puis 34%, il devient par la suite numéro 1 mondial de la carte à puce, absorbant notamment ses deux plus lourds concurrents français : Solaic en 1997 puis Bull CP8 en 2001. A signaler cependant que, avant ces absorptions, via Innovacom qui lui appartient, France Telecom était entrée en 1989 dans le capital de la société Innovatron, qu’alors l’augmentation de capital opérée lors de la fusion des deux protagonistes avait multiplié par quinze celui-ci (porté à 7,6 millions d’euros)[7].
Des moyens considérables ont été déployés à partir de la fin des années 1970 par Philips, IBM et Siemens pour tenter de faire annuler les brevets de Roland Moreno, en vain.
En 1981, le GIE Carte à Mémoire lance trois expérimentations de la carte à puce, respectivement à Blois avec Bull, Caen avec Philips, et Lyon avec Schlumberger. À la fin des années 1980, le GIE Carte bancaire, qui a succédé au GIE Carte à mémoire, commande 16 millions de cartes CP8, lançant la généralisation de la carte à puce en France en 1992[8].
En 1988, Marc Lassus crée Gemplus en France. Cette société fut jusqu'à sa fusion avec Axalto (ex Schlumberger) en juin 2006 pour créer Gemalto, le numéro 1 mondial de la carte à puce, responsable d'avoir mis en circulation de 1980 à 2006 plus de 6.8 milliards de cartes (Gemplus Schlumberger pour les cartes, Schlumberger pour les lecteurs et terminaux ainsi que le back office).
Composition
La puce d'une carte typique est constituée d'un microprocesseur, le plus souvent en 8 bits et fonctionnant à une vitesse de 4 MHz, d'une mémoire morte (ROM) de taille variant entre quelques kilo-octets et plusieurs centaines de kilo-octets, d'une mémoire vive généralement très petite (256 octets dans le cas d'une carte bancaire B0', 4 096 octets pour la carte d'identité électronique (eID) Belge), et d'une mémoire de stockage de type EEPROM ou Flash.
Les composants des cartes à puce suivent l'évolution générale de l'électronique ; puissance des microprocesseurs (2005 : 32 bits à plus de 10 MHz) et capacité de mémoire (plus de 256 ko de mémoire non volatile EEPROM, 512 ko de mémoire morte), diversité des types de mémoire (mémoire flash de plusieurs Méga octets dès 2005).
La puce composant peut être accessible :
- par contact : l'interface entre les contacts de la puce et ceux du lecteur est le circuit imprimé doré très mince appelé micromodule. Il est divisé en 8 parties, chacune ayant un rôle précis permettant l'échange des données entre la puce et le lecteur. La puce est quant à elle située sous ces contacts et donc « cachée », c'est à tort que l'on désigne le micromodule comme une « puce » ;
- sans contact : par radiofréquence à courte ou moyenne portée, via une antenne interne dont les spires sont moulées dans l'épaisseur de la carte ;
- par une combinaison des deux précédentes : on parle alors de cartes « combi » ou « dual interface ».
Carte à puce et systèmes d'exploitation
L’évolution technologique a amené la venue des microprocesseurs dont a bénéficié notamment la carte à puce. Cela lui a permis d’exécuter des tâches plus complexes à l’instar des ordinateurs, lui ouvrant de nouvelles perspectives applicatives et surtout une standardisation avec l'arrivée de Système d'exploitation pour carte à puce.
Fonctionnement
La carte à puce succède :
- aux cartes embossées ;
- aux cartes à codes barres ;
- aux cartes plastiques à pistes magnétiques.
Quatre catégories de carte à puce sont référencées par le Conservatoire National des Arts & Métiers[9].Elles se différencient par les moyens de contrôle d'accès et/ou par le mode de communication.
— communication par contacts et/ou radiofréquences
— contrôle d'accès par microprocesseur ou par logique câblée, celle-ci pouvant être élémentaire (moins de 50 portes)[10] ou complexe[11].
La logique à haute intégration est mise en œuvre dans la TV payante, ainsi que dans certaines cartes RFID (multi-application, cryptographie DES, triple DES et RSA).
Les cartes à microprocesseurs, largement les plus répandues de nos jours, sont :
- mono-applicatives, comme les cartes bancaires B0' ou les cartes cryptographiques pour la sécurité informatique exploitant la technologie PKI[12]
- multi-applicatives, comme les cartes bancaires Europay Mastercard Visa, ou les cartes SIM des téléphones mobiles.
Actuellement, les cartes à puce comportent le plus souvent un microcontrôleur les rendant actives et permettant des fonctions plus élaborées, en particulier des reconnaissances de clé. Elles comportent principalement une zone mémoire, ainsi que plusieurs dispositifs de calcul destinés (entre autres) à la cryptographie. Ainsi, une fois insérées dans un lecteur, elles se comportent en fait comme un micro-ordinateur capable d'effectuer des traitements d'information.Un code confidentiel (mot de passe, en anglais Personnal Identification Number) dans la puce, par principe inaccessibles depuis l'extérieur de la carte, est garant de la personnalité, tandis que le chiffrement assure la confidentialité.
Elles sont aujourd'hui particulièrement répandues dans des applications comme les cartes bancaires françaises, les cartes Vitale, mais aussi les cartes SIM (Subscriber Identity Module = Module d'identité d'abonné) utilisées dans les téléphones portables pour l'identification du propriétaire et la sauvegarde d'informations diverses (numéros de téléphone et autres).
Avant d'être remise à la personne qui l'utilisera, une carte à puce est normalement 'personnalisée' électriquement (par l'organisme émetteur) via un encodeur de cartes et un programme informatique (outil de personnalisation), afin d'inscrire dans la puce les informations nécessaires à son utilisation. Par exemple, on inscrira dans une carte bancaire les références bancaires de l'utilisateur, ou dans la carte d'un contrôle d'accès, les autorisations accordées au porteur de la carte. La personnalisation physique de la carte consiste quant à elle à imprimer des donnés supplémentaires (nom de la personne, photo, etc) sur la carte, par exemple à l'aide d'une imprimante à sublimation, au-dessus d'une pré-impression offset.
On peut considérer à juste titre que les clefs USB, récemment apparues, font partie de la famille des « cartes à puce », en tant qu'objets portatifs dotés d'une mémoire : mais une minorité de ces clefs intègrent une circuiterie protégeant l’accès à la mémoire, contrairement aux cartes à puce proprement dites, dont la caractéristique principale est de protéger les données qu'elles contiennent contre toute intrusion.
Il existe en outre des cartes à puce fonctionnant à distance, par ondes radio. C'est le cas des cartes utilisées dans la norme NFC (ou Cityzi en France). Certaines de ces cartes fonctionnent aussi comme des cartes « classiques » — c'est-à-dire qu'on peut accéder aux données contenues dans la puce à partir d'un lecteur à contacts. Dans ce cas ces cartes sont dites mixtes.
Les cartes à distance (RFID, NFC) possèdent une antenne et un convertisseur de signal associés à la puce. L'antenne perçoit le signal (alternatif) émis à distance par le terminal, et le convertisseur transforme ce signal d'une part en un courant continu qui alimente la puce, d'autre part en un courant alternatif appelé horloge qui sert à synchroniser les échanges de la puce et du terminal dans le temps.
Les cartes de transport Navigo[13] sont un exemple de cartes mixtes.
Quelques utilisations
- Monétique :
- Carte bancaire : Groupement des Cartes Bancaires CB, nouvelles cartes EMV, etc.
- Porte-monnaie électroniques : Octopus, Moneo en France, Proton en Belgique, Geldkarte en Allemagne, dont la particularité est de servir à la certification de l'âge des clients des distributeurs automatiques de cigarettes.
- Identification :
- Cartes d'identité nationales (eID en Belgique)
- E-passeports (août 2006 en France)
- Tous les badges d’accès à des bâtiments
- Les cartes d'étudiant[14] et/ou de restauration, les cartes de lycéen
- Téléphonie mobile :
- Prépaiement de télécommunications
- Secteur santé (par exemple carte Vitale en France, carte SIS en Belgique)
- Titres de transport :
- Passe Navigo à Paris, Oyster à Londres
- KorriGo en Bretagne (France), Alséo en Alsace, Carte Pastel en Midi-Pyrénées (France), Ticketreize dans les Bouches du Rhone
- Carte OPUS au Québec
- Badgéo à Strasbourg
- Transpass Métropole à Marseille
- Sécurité informatique (authentification forte et signature électronique). Dans ce cas la carte contient un cryptoprocesseur pour la génération des clés et le stockage de la clé privée.
- Dans ce cas la technologie PKI Infrastructure à clés publiques est utilisée.
Entreprises dans le domaine de la carte à puce
L'industrie de la carte à puce implique différents acteurs :
- les fondeurs fabriquent le hardware (les puces de silicium)
- les encarteurs fabriquent la carte proprement dite en intégrant la puce de silicium dans une carte plastique
- les développeurs de système d'exploitation ou d'applets conçoivent les logiciels qui s'exécutent dans la carte à puce elle même.
Enfin, les fabricants de lecteurs fournissent aux intégrateurs et développeurs d'applications le matériel nécessaire pour s'interfacer avec la carte à puce.
Le marché de la carte à puce
Depuis les années 1980, le marché de la carte à puce ne cesse de progresser. En 2010, 5,5 milliards d'unités ont été produites[15]. L'essentiel de la production (75%) est destiné au marché des télécommunication (dont les cartes SIM pour les téléphones portables), 16% au paiement (cartes bancaires). On s'attend à une forte croissance de la technologie sans contact (et "dual interface") grâce au dynamisme de NFC.
Quelques données sur le marché français (données Banque de France):
- On dénombre en 2007, 91,755 millions de cartes à puce à usage bancaire en France (47 millions en 2003).
- Le nombre de paiements par carte à puce a dépassé en 2001 celui des règlements par chèque.
- En 2007, 41,5 % des paiements étaient effectués par carte à puce (25,5 % par chèque).
L'observatoire de la sécurité des paiements de la banque de France produit régulièrement des rapports à ce sujet.
Normes
Les principaux standards en matière de carte à puce sont le fruit des travaux de l'ISO. La norme internationale ISO-7816 est découpée en 15 parties[16]
D'autres technologies apparaissent rapidement, et d'autres organismes de normalisation interviennent. Citons :
- ETSI : pour les téléphones mobiles ;
- EMVCo : consortium bancaire regroupant Visa, MasterCard et JCB ;
- ECMA : pour la communication NFC (Near Field Communication).
La capacité des cartes à puce évoluant (1 Giga octet), des protocoles de communication rapides apparaissent : USB (dont USB-Inter chip) et MMC/SD. Les besoins de communication sans contact ont pour leur part donné naissance aux protocoles SWP (Single Wire Protocol) et NFC-Wi.
Bibliographie
- Les cartes à puce : théorie et mise en œuvre, Christian Tavernier, Éditeur Dunod, 2006
- La Carte à Puce, Collection Que Sais Je ?, n°3492, Editeur PUF, 1999
- Plus loin avec les cartes à puce, Patrick Gueulle, collection ETSF, ISBN : 2100072358, 2004
- Cartes à puce, Patrick Gueulle, collection ETSF,ISBN : 2100057367, 1998
- La carte à puce, Histoire secrète, Roland Moreno, Éditeur Archipel, 2001, ISBN : 2-84187-148-X - Voir aussi[7].
- Identification radiofréquence et carte à puce sans contact, Dominique Paret, Dunod, 2001, ISBN : 978-2100042630
Notes et références
- pouce (unité)s) sur une épaisseur typique de 0,76 mm (minimum : 0,69 mm, maximum : 0,84 mm) Les dimensions habituelles sont 85,725 × 53,975 mm (soit 3,375 × 2,125
- Helmut Gröttrup, le Japonais Kunitaka Arimura, ainsi que Eyrat, Beausoleil, etc. …et nombre d'inventeurs divers: les Allemands Jürgen Dethloff (1924-2002) et
- Voir [http://lettre-1994-aux-presidents-chaines-tv.e-monsite.com/ la lettre de Daniel Vesque, publiée par la suite dans "Le dossier noir des cartes bancaires" de Pascal Colombani
- Innovatron, ne lui permet pas de protéger l'invention dans plus de onze pays, dont USA, Japon, France, Allemagne fédérale, Italie, Suède, Belgique, Pays-Bas, Suisse. La faible capitalisation de sa société,
- Brevet de 1975 de la compagnie Honeywell Bull L’hebdomadaire "Bulletin officiel de la propriété industrielle (BOPI)", n°30 du 29 juillet 1977, a fait connaître cette demande de brevet d’invention déposée le 31 décembre 1975 dont le numéro de publication est 2337381. Pour les Etats-Unis n°US4216577 http://www.freepatentsonline.com/4216577.pdf
- Livre intitulé « La politique industrielle française dans l’électronique» de l’historienne Chantal Le Bolloc’h-Puges docteur en Sciences Economiques, maître de conférences à l’Université de Brest. © 1991 Editions l’Harmattan, ISBN : 2-7384-1072-3 ; En page 84, s’agissant de la «carte à mémoire, carte permettant le paiement électronique» : «la DGT décida de prendre les choses en main, puis organisa la mise au point des prototypes en instaurant une collaboration entre elle et les principaux intéressés, les établissements financiers : un GIE fut constitué regroupant les PTT et dix banques françaises. Elle alla plus loin encore, en organisant la réalisation des cartes et des terminaux point de vente»
- Article intitulé ‘France Télécom dans le capital d’Innovatron ’, hebdomadaire professionnel Electronique Actualités, 21 avril 1989.
- Ce délai de dix années s'explique par un grave défaut de conception des cartes fabriquée par Bull, qui commence par livrer plusieurs millions de cartes dont le code secret est lisible avec un jouet du commerce : sur ordre des banques, ces cartes (plusieurs millions) sont purement et simplement pilonnées, afin d’éviter le discrédit public de l’ensemble de cette technique.
- [1] et partie (2)[2]. Cours de Samia Bouzefrane partie (1)
- [3] Souvent appelées à tort "cartes à mémoire" ou encore "cartes à mémoire simple"
- [4] - [5] - [6] Dite aussi "intensive" ou encore "floue" (fuzzy)
- cantine scolaire, à la bibliothèque municipale et au système ramassage scolaire. Il est néanmoins possible en utilisant le même masque que la carte B0', d'en faire une carte multi-applications, multi-fonctions. Tout cela étant du ressort des participants aux programmes. Exemple : une carte d'élève servant à la
- Swatch) sous forme de montre-bracelet. Originellement étudiées (avec
- État des lieux et orientations des projets concernant les cartes à puce et autres supports d'identité dans l'Éducation Nationale et l'Enseignement Supérieur. Launay. D. JRES, 2005.
- Eurosmart : General Assembly, Brussels, 3 mai 2011
- ISO-7816-1 : caractéristiques physiques de la carte ;
- ISO-7816-2 : emplacement des contacts électriques ;
- ISO-7816-3 : nature des signaux électriques et protocole de transmission entre le terminal et la carte ;
- ISO-7816-4 : organisation des données et sécurisation ;
- ISO-7816-5 : procédure d'inscription des applications ;
- ISO-7816-6 : données communes et règles de codage ;
- ISO-7816-12 : principe de fonctionnement d'une carte à puce USB ;
dont :
Voir aussi
Articles connexes
- Moyen de paiement
- Télécarte
- Mifare
- Radio-identification
- Authentification forte
- Authentification unique
- Payment Card Industry
- Sécurité matérielle des cartes à puce
- Système d'exploitation pour carte à puce
Liens externes
- (en) Spécifications Pc/Sc
- Portail de l’électricité et de l’électronique
- Portail de la sécurité informatique
Wikimedia Foundation. 2010.