La carte à puce, futur support universel de la sécurité

La carte à puce sait tout faire. Mais, c'est en matière de sécurité des réseaux d'entreprise qu'elle connaîtra sa plus forte croissance. Selon le GartnerGroup, 169 millions de cartes réservées à cet usage devraient voir le jour en 2004, contre 16 millions en 2001. Elles vont bénéficier de la législation sur la signature électronique et de l'engagement des administrations en faveur des télédéclarations.De plus, la puissance des puces augmentera lors du passage au 32 bits. Les applications Java ne sont pas, toutefois, si gourmandes dès lors qu'un cryptoprocesseur épaule l'unité principale. Ce processeur dédié signe les transactions sans que la clé privée soit transférée sur le PC. Ces opérations limitaient la longueur des clés à 1 024 bits, mais les derniers cryptoprocesseurs autorisent 2 048 bits. Ce processeur génère aussi le jeu de clés sur la carte même, ce qui garantit la confidentialité de la clé privée.

La mémoire avant la puissance

Finalement, la limite concerne plus la mémoire que la puissance. Lors du déploiement d'une PKI, la carte stocke au moins deux certificats, et plus quand plusieurs PKI sont ciblées. La carte à puce concentre également différentes méthodes d'authentification comme chez ActivCard, SchlumbergerSema ou Scrypto Systems. Une même puce accueille des certificats numériques, des procédés d'authentification forte par mots de passe dynamiques, ou des identifiants et mots de passe statiques. Cette dimension multi-applicative dépasse le champ de la sécurité : une carte peut cumuler le contrôle d'accès aux applications et un porte-monnaie électronique.

Les cartes de crédit entrent en scène

Si Java autorise plusieurs applications, il serait bon que les cartes bancaires puissent les accueillir. Ce sera le cas avec le standard EMV, qui remplacera les cartes B0', restreintes au paiement. Comme les B0', les premières cartes EMV ont un cryptogramme statique, lu par le lecteur, qui réalise la signature. Mais la seconde génération de cartes EMV, prévue pour 2003, calculera elle-même le cryptogramme de signature d'une transaction. Elle accueillera de nouvelles applications Java et des certificats de toutes autorités. Des cartes de crédit pourraient contrôler l'accès aux applications et aux locaux. Mais, " pour cela, il faut que les banques travaillent avec les opérateurs tiers concernés ", estime Étienne Cambois, analyste risque chez Gemplus. Pour Frédéric Engel, directeur marketing d'ActivCard, " l'extension du rôle des cartes de crédit permettrait aux banques de mieux rentabiliser les énormes investissements liés au déploiement d'EMV ".Par ailleurs, les constructeurs insèrent dans la puce des détecteurs d'intrusions qui, le cas échéant, effacent la mémoire. Des traitements aléatoires empêchent toute déduction relative à la puce, par observation de sa consommation. Ces défenses sont vérifiées par des laboratoires dépendant de la DCSSI, qui délivrent des certificats, fièrement arborés depuis quelques mois par les constructeurs.