Joan Daemen, Pierre-Yvan Liardet
Secure smart-card encryption
Finalistes du Prix de l'inventeur européen 2016
Les cartes à puce - qu'il s'agisse de cartes bancaires ou de cartes d'accès sécurisé dotées de la classique pastille de contact dorée - ont graduellement remplacé les anciennes cartes à bande magnétique dans de nombreux pays européens à partir de la moitié des années 1990, et elles ont depuis été incorporées aux cartes de crédit et de débit aux États-Unis. Le contact doré héberge de la mémoire et parfois des microprocesseurs, emmagasinant les données d'accès essentielles et assurant la protection contre les usages détournés.
Les premières générations de cartes à puce étaient certes dotées d'une sécurité autonome, mais elles restaient la proie des cyberdélinquants qui pouvaient les cloner s'ils parvenaient à mettre la main sur une carte maîtresse servant à individualiser un grand nombre de cartes "réceptrices" distribuées aux détenteurs.
Une équipe d'inventeurs belges et français sous la direction de Joan Daemen et Pierre-Yvan Liardet trouvèrent la parade à ce talon d'Achille, en cryptant la carte maîtresse à l'aide d'un algorithme garantissant qu'elle ne puisse jamais servir ultérieurement à cloner les cartes individuelles ou à y accéder.
Impact sociétal
Il suffisait naguère d'avoir accès à la carte maîtresse pour compromettre une série de cartes à puce ou même tout un réseau. Si l'entreprise chargée d'émettre des cartes à puce soupçonnait l'existence d'une fuite, force était d'annuler et remplacer toutes les cartes du réseau. On imagine l'ampleur et le coût d'une telle opération sachant qu'en 2015, environ 9 milliards de cartes à puce étaient en circulation (5,1 milliards dans le secteur des télécommunications et 2,6 milliards dans le secteur bancaire).
Les atteintes à la sécurité coûtaient très cher à la société émettrice et pouvaient avoir de sérieuses conséquences économiques et juridiques pour les clients et les consommateurs, dont l'identité et les données personnelles et bancaires étaient compromises sans même qu'ils s'en rendissent compte.
Impact économique
L'essor du marché de l'électronique nomade ne manquera pas de stimuler les ventes de cartes à puces pendant un avenir prévisible, notamment les cartes SIM chiffrées qui gèrent les comptes et les données de télécommunication mobile. Les fabricants de cartes de paiement comme Europay, MasterCard et Visa (EMV) émettent désormais davantage de cartes à circuit intégré que de cartes à bande magnétique.
Certains analystes estiment à quelque 9% la croissance annuelle du marché mondial des cartes à puce au cours des prochaines années, avec un montant global de 10,4 milliards d'euros d'ici 2020.
L'invention de Daemen, Liardet et leur équipe n'est pas étrangère à ces prévisions puisque l'amélioration du cryptage milite en faveur de l'adoption des cartes à puce. D'après la banque centrale européenne, 1 euro part en fraude pour chaque tranche de 2 635 euros dépensée via carte de crédit.
Mode de fonctionnement
L'invention a comme avantage de ne faire communiquer qu'une seule fois la carte maîtresse avec la carte réceptrice. Lors de cette première (et dernière) interaction, la carte maîtresse envoie une clé de chiffrement à la carte réceptrice et celle-ci confirme la réception.
Ce n'est qu'après avoir reçu cette confirmation que la carte maîtresse enregistre les données sur la carte réceptrice. Faute de confirmation, la carte maîtresse arrête d'enregistrer des cartes et se trouve dans l'impossibilité d'émettre de nouvelles cartes tant que la carte réceptrice correcte n'est pas présente. Cela signifie qu'une carte maîtresse est inutilisable si elle tombe entre de mauvaises mains. Non seulement la communication avec la carte réceptrice est un événement unique et ponctuel, mais les cartes maîtresses compromises sont incapables d'émettre de nouvelles cartes.
Les inventeurs
Originaire de Neerpelt, en Belgique, Joan Daemen fit des études d'ingénieur civil à l'université catholique néerlandophone de Louvain. Après avoir obtenu son doctorat en cryptographie, il se classa rapidement au nombre des meilleurs cerveaux mondiaux dans le domaine des algorithmes de chiffrement et de la sécurité des données. Il travailla pour plusieurs entreprises, dont la société Proton World, au service de laquelle il se trouvait lorsque le gouvernement américain lança un appel pour la mise au point d'une nouvelle norme industrielle de cryptage des données électroniques.
Le procédé de chiffrement par bloc qu'il développa avec son collègue Vincent Rijmen devait être adopté comme standard de cryptage avancé par l'Institut américain des normes. Peu après, en 2003, Proton World fut racheté par STMicroelectronics pour ce qui représentait à l'époque environ 60 millions d'euros (100 millions de dollars australiens). En 2014, STMicroelectronics enregistrait des recettes annuelles de 6,7 milliards d'euros.
Le cryptologue français Pierre-Yvan Liardet se consacre depuis près d'un quart de siècle à la sécurisation des cartes à puce et au développement de codes et protocoles renforcés. Depuis 1998, il travaille chez STMicroelectronics, après avoir occupé des postes chez Schlumberger et Solaic Smartcard, participant également au déploiement du dispositif cryptographique EMV. Co-auteur de plus de sept publications internes et co-inventeur de plus de 50 brevets (45 familles de brevets européens en instance ou approuvés), il obtint en 2006 son doctorat en informatique au Laboratoire d'Informatique, de Robotique et de Microélectronique de Montpellier (LIRMM), avec pour sujet de thèse les parades aux attaques insidieuses par canal auxiliaire.
Le saviez-vous ?
Une des plus anciennes méthodes de chiffrement est le Code de César, utilisé par Jules César dans les correspondances avec ses armées. Le texte chiffré s'obtient en remplaçant chaque lettre du texte clair original par une lettre située à distance fixe dans l'alphabet. Ainsi le message en clair "RIEN A SIGNALER", codé par un décalage alphabétique égal à 3, devenait "ULHQD VLJQD OHU".
Les codes de cryptage ont évolué depuis : la norme de chiffrement avancé repose sur un algorithme qui effectue des décalages et des substitutions infiniment plus complexes que le Code de César, utilisant au moins dix séries de traitement avec des permutations et des clés distinctes pour rendre tout déchiffrage quasiment impossible. On estime que les superordinateurs les plus rapides auraient besoin d'un milliard de milliards d'années (3,4 x 1038 ans) pour venir à bout de la clé AES de base (128 bits) par la "force brute", c'est-à-dire générant des combinaisons de façon aléatoire.
Media gallery
Contact
Demandes concernant le Prix de l'inventeur européen et le Young Inventors Prize :
european-inventor@epo.org S'abonner à la newsletter du prixDemandes des média :
Contacter notre service de presse#InventorAward #YoungInventors