Les 50 ans de la carte à puce, une invention française incontournable

RETOUR AU DOSSIER

Par Vincent Guyot, titulaire d’un doctorat sur les cartes à puce, ingénieur en informatique, directeur scientifique et responsable des formations spécialisées en cybersécurité à l’ESIEA


En France, on attribue la paternité de la carte à puce à Roland Moreno (1945-2012), inventeur autodidacte. Ce petit rectangle de plastique rythme le quotidien des Français depuis les années 80. Devenu indissociable de la cybersécurité, cet objet est à la croisée des champs de la micro-électronique et de l’informatique Dans tous les domaines où la sécurité doit être assurée, de la monétique à la santé en passant par les télécommunications et les transports, la carte à puce s’est rendue indispensable. En revanche, peu de personnes connaissent sa genèse ni ne savent comment un objet a priori si fragile peut constituer un moyen inviolable pour garantir la sécurité dans le monde numérique.

L’histoire de la carte à puce démarre vers la fin des années 60 avec le dépôt des premiers brevets : 1967 Pomeroy (USA), 1968 Grötrupp et Dethloff (Autriche), 1969 Grötrupp et Dethloff (Allemagne), 1970 Ellingboe (USA), 1970 Arimura (Japon), 1971 Castrucci (USA), 1972 Halpern (USA). Des centaines de brevets suivront pour stabiliser cette technologie.

Moreno, inventeur de la carte à puce à mémoire

Roland Moreno dépose le 25 mars 1974 le premier d’une quarantaine de brevets qui assureront sa réussite, ainsi qu’à sa société Innovatron. Cette carte à mémoire est utilisée par France Télécom (aujourd’hui Orange) dans sa Télécarte dès 1983. La paternité de cette invention est plusieurs fois contestée, mais les tribunaux donnent chaque fois raison à Roland Moreno/Innovatron.

C’est néanmoins à Michel Ugon (1940-2021), ingénieur major de promotion de l’École Supérieure d’Électronique de l’Ouest (ESEO), que l’on doit les cartes que nous utilisons au quotidien. En 1976, il prend la tête d’une équipe de recherche technique et multi-disciplinaire au sein de la société CII Honeywell Bull (aujourd’hui « Bull »), et conçoit une carte à puce intégrant un microprocesseur qui permet l’usage de la cryptographie. Le 26 août 1977, il dépose un brevet liant un microprocesseur et une mémoire programmable qui cible déjà les cartes de crédit. Le 25 avril 1978, son brevet MAM (SPOM en anglais) définit une architecture monolitique qui confère à la carte à puce un niveau de sécurité remarquable. Cette carte à microprocesseur, ou smart card (« carte intelligente »), se généralise et devient la pierre angulaire d’une nouvelle industrie (encore aujourd’hui dominée par des industriels français) donnant accès à un niveau de sécurité inégalé.

La carte et ses applications majeures

Dès 1978, afin de lutter contre les pillages de ses cabines téléphoniques, France Télécom teste l’usage d’une carte à mémoire comme moyen de paiement en remplacement des pièces de monnaie utilisées jusque-là. En 1983, le modèle commercial retenu de la Télécarte jetable nécessite une production industrielle en continu et permet l’essor de l’industrie de la carte à puce. Néanmoins, l’absence de mécanismes internes de sécurité dans la carte à mémoire permet la création de fausses cartes téléphoniques fonctionnelles.

L’avènement de la carte à microprocesseur permet d’utiliser des algorithmes cryptographiques à la sécurité éprouvée. En 1986, les premières cartes bancaires françaises à puce (cartes CB) sont émises expérimentalement en Bretagne. Quelques années plus tard, elles se généralisent en France, puis petit à petit en Europe et dans le reste du monde sous l’impulsion des réseaux internationaux (Visa, Mastercard, etc.), réduisant drastiquement les fraudes bancaires de paiement par carte.

En 1991 la carte à puce se développe rapidement à l’international avec les terminaux mobiles qui utilisent la carte SIM. Cette carte à microprocesseur dotée de capacités cryptographiques sécurise désormais les communications. Elle contient notamment le numéro de téléphone de l’abonné ainsi que les services auxquels il a souscrit. En la déplaçant de terminal en terminal, votre « ligne de téléphone » vous suit. En la remplaçant, on peut aussi changer de numéro de téléphone.

Les usages de la carte à puce se multiplient : carte de bibliothèque, carte de télévision à péage, carte de santé, carte étudiant, carte d’accès aux transports en commun, cartes de fidélité, passeport biométrique, carte d’identité ou encore permis de conduire, ne sont que quelques exemples illustrant la diversité des usages permis par la carte à puce.

La carte et la cryptographie

Dans un monde numérique, la cryptographie permet de protéger une information contre la divulgation (confidentialité), la modification (intégrité), l’usurpation d’identité (authentification) et la réfutation d’envoi (non répudiation). La cryptographie moderne repose sur l’utilisation d’algorithmes standardisés nécessitant un fragment de données secret appelé clef. Le niveau de sécurité augmente avec la taille de cette clef.

Une première famille d’algorithmes utilise une clef unique pour chiffrer et déchiffrer une information. On parle alors de cryptographie à clef secrète ou cryptographie symétrique, car l’émetteur et le récepteur d’une information doivent posséder la même clef secrète (sa distribution doit être sécurisée et sa connaissance contrôlée).

En 1975, une nouvelle famille d’algorithmes utilise deux clefs distinctes liées mathématiquement à leur création, avec l’une permettant d’effectuer une partie des calculs (comme chiffrer pour signer de l’information au nom de son porteur), et l’autre qui permet d’effectuer le reste des calculs (comme déchiffrer pour vérifier l’authenticité d’une information signée). On parle alors de cryptographie à clef publique ou cryptographie asymétrique, car l’émetteur et le récepteur utilisent deux clefs distinctes : la clef publique qui doit être diffusée et la clef dite privée qui doit rester secrète.

Ces deux types de cryptographie ont en commun la nécessité absolue de devoir garder secrète une clef afin de garantir la sécurité des informations à protéger. L’accès aux données de la carte étant contrôlé par celle-ci, c’est là que la propriété de non-clonabilité de la carte du brevet de Michel Ugon prend tout son sens : à partir d’une carte, il est « impossible » (au moins très difficile) de trouver les secrets qu’elle contient (clefs cryptographiques, code PIN, etc.).

La carte et la sécurité

Les cartes à puce étant principalement utilisées pour assurer la sécurité de systèmes informatiques, les informations secrètes qu’elles contiennent ne doivent pas pouvoir en être extraites. C’est pourquoi la carte sécurisée est un microcontrôleur « durci ».

Ainsi, tout le processus de fabrication d’une carte à puce, qu’il s’agisse du composant, du logiciel, du processus de personnalisation (inscription des informations propres au porteur et à l’émetteur), vise à rendre très difficile (en sécurité, on rechigne à utiliser le mot « impossible ») le fait de tenter de la violer. C’est la combinaison de plusieurs mécanismes qui permet d’arriver à ce résultat : par exemple, la carte dispose de mesures de protection contre les intrusions physiques, mais aussi contre les émanations électromagnétiques ou les tentatives visant à perturber le fonctionnement du programme qu’elle exécute.

Alors qu’elle n’existait pas encore aux débuts de la carte à puce, la cryptographie moderne lie désormais la carte à la cybersécurité. Capable d’atteindre les niveaux de certification les plus élevés en sécurité, la carte à puce reste un élément privilégié pour la sécurisation des systèmes d’information et de communication.

Je tiens à remercier P. Chour, P. Paradinas, J.J. Quisquater et P. Urien pour leurs contributions et retours précieux.

À lire :

Jean DONIO, Jean LEROUX LES JARDINS, Edouard DE ROCCA, Malika VERSTREPEN, La carte à puce, 2nde ed., Paris, Presses Universitaires de France (PUF), coll. « Que sais-je ? », 2000

Christian TAVERNIER, Les Cartes à puce, Théorie et mise en œuvre, 2nde ed., Malakoff, Dunod, 2011

Samia BOUZEFRANE, Pierre PARADINAS, Les cartes à puce, Hermès-Lavoisier, coll. « Traité RTA, série Informatique et Systèmes d’Information », 2013

Crédits images :

Page d’accueil :

Bannière : Roland Moreno devant une publicité de France Télécom pour la télécarte © Association Roland Moreno

Chapô : Télécarte commercialisée par France Telecom. Le schéma du circuit électronique est tiré de l’un des 45 brevets que Roland Moreno déposa entre 1974 et 1979. Le mot « irréversible » rappelle l’un des principes fondateurs de l’invention de la carte à puce, dont l’usage ne peut être modifié © Collection privée Vincent Guyot – Tous droits réservés

Page actuelle :

Bannière : Roland Moreno dans son bureau le 25 septembre 2008 © Collection privée Vincent Guyot – Tous droits réservés

Bas de page : Arbre des brevets, par Michel Ugon © Michel Ugon – Tous droits réservés

Print Friendly, PDF & Email

GALERIE

Retour en haut