Invention : Cryptage sécurisé sur carte à puce
Joan Daemen, Pierre-Yvan Liardet et leur équipe de cryptologues belges et français sont les pionniers du chiffrement à deux clés sur carte à puce. Avant l'invention de ce procédé de cryptage renforcé, les réseaux étaient vulnérables car les cartes à puces informatiques, combinées aux cartes "maîtresses" ayant servi à les créer, plaçaient des centaines de milliers d'utilisateurs à la merci de la cyberdélinquance.
Les cartes à puce - qu'il s'agisse de cartes
bancaires ou de cartes d'accès sécurisé dotées de la classique pastille de
contact dorée - ont graduellement remplacé les anciennes cartes à bande
magnétique dans de nombreux pays européens à partir de la moitié des années
1990, et elles ont depuis été incorporées aux cartes de crédit et de débit aux
États-Unis. Le contact doré héberge de la mémoire et parfois des
microprocesseurs, emmagasinant les données d'accès essentielles et assurant la
protection contre les usages détournés.
Les premières générations de cartes à puce
étaient certes dotées d'une sécurité autonome, mais elles restaient la proie
des cyberdélinquants qui pouvaient les cloner s'ils parvenaient à mettre la
main sur une carte maîtresse servant à individualiser un grand nombre de cartes
"réceptrices" distribuées aux détenteurs.
Une équipe d'inventeurs belges et français sous
la direction de Joan Daemen et Pierre-Yvan Liardet trouvèrent la parade à ce
talon d'Achille, en cryptant la carte maîtresse à l'aide d'un algorithme
garantissant qu'elle ne puisse jamais servir ultérieurement à cloner les cartes
individuelles ou à y accéder.
Impact sociétal
Il suffisait naguère d'avoir accès à la carte
maîtresse pour compromettre une série de cartes à puce ou même tout un réseau.
Si l'entreprise chargée d'émettre des cartes à puce soupçonnait l'existence
d'une fuite, force était d'annuler et remplacer toutes les cartes du réseau. On
imagine l'ampleur et le coût d'une telle opération sachant qu'en 2015, environ
9 milliards de cartes à puce étaient en circulation (5,1 milliards dans le
secteur des télécommunications et 2,6 milliards dans le secteur bancaire).
Les atteintes à la sécurité coûtaient très cher
à la société émettrice et pouvaient avoir de sérieuses conséquences économiques
et juridiques pour les clients et les consommateurs, dont l'identité et les
données personnelles et bancaires étaient compromises sans même qu'ils s'en
rendissent compte.
Impact économique
L'essor du marché de l'électronique nomade ne
manquera pas de stimuler les ventes de cartes à puces pendant un avenir
prévisible, notamment les cartes SIM chiffrées qui gèrent les comptes et les
données de télécommunication mobile. Les fabricants de cartes de paiement comme
Europay, MasterCard et Visa (EMV) émettent désormais davantage de cartes à
circuit intégré que de cartes à bande magnétique.
Certains analystes estiment à quelque 9% la
croissance annuelle du marché mondial des cartes à puce au cours des prochaines
années, avec un montant global de 10,4 milliards d'euros d'ici 2020.
L'invention de Daemen, Liardet et leur équipe
n'est pas étrangère à ces prévisions puisque l'amélioration du cryptage milite
en faveur de l'adoption des cartes à puce. D'après la banque centrale
européenne, 1 euro part en fraude pour chaque tranche de 2 635 euros
dépensée via carte de crédit.
-
Joan Daemen
-
Pierre-Yvan Liardet
-
Joan Daemen et Pierre-Yvan Liardet
-
Joan Daemen et Pierre-Yvan Liardet
-
Principes du chiffrement avancé
-
Joan Daemen et Pierre-Yvan Liardet
Mode de fonctionnement
L'invention a comme avantage de ne faire
communiquer qu'une seule fois la carte maîtresse avec la carte réceptrice. Lors
de cette première (et dernière) interaction, la carte maîtresse envoie une clé
de chiffrement à la carte réceptrice et celle-ci confirme la réception.
Ce n'est qu'après avoir reçu cette confirmation
que la carte maîtresse enregistre les données sur la carte réceptrice. Faute de
confirmation, la carte maîtresse arrête d'enregistrer des cartes et se trouve
dans l'impossibilité d'émettre de nouvelles cartes tant que la carte réceptrice
correcte n'est pas présente. Cela signifie qu'une carte maîtresse est
inutilisable si elle tombe entre de mauvaises mains. Non seulement la
communication avec la carte réceptrice est un événement unique et ponctuel,
mais les cartes maîtresses compromises sont incapables d'émettre de nouvelles
cartes.
Les inventeurs
Originaire de Neerpelt, en Belgique, Joan
Daemen fit des études d'ingénieur civil à l'université catholique
néerlandophone de Louvain. Après avoir obtenu son doctorat en cryptographie, il
se classa rapidement au nombre des meilleurs cerveaux mondiaux dans le domaine
des algorithmes de chiffrement et de la sécurité des données. Il travailla pour
plusieurs entreprises, dont la société Proton World, au service de laquelle il
se trouvait lorsque le gouvernement américain lança un appel pour la mise au
point d'une nouvelle norme industrielle de cryptage des données électroniques.
Le procédé de chiffrement par bloc qu'il
développa avec son collègue Vincent Rijmen devait être adopté comme standard de
cryptage avancé par l'Institut américain des normes. Peu après, en 2003, Proton
World fut racheté par STMicroelectronics pour ce qui représentait à l'époque
environ 60 millions d'euros (100 millions de dollars australiens). En 2014,
STMicroelectronics enregistrait des recettes annuelles de 6,7 milliards
d'euros.
Le cryptologue français Pierre-Yvan Liardet se
consacre depuis près d'un quart de siècle à la sécurisation des cartes à puce
et au développement de codes et protocoles renforcés. Depuis 1998, il travaille
chez STMicroelectronics, après avoir occupé des postes chez Schlumberger et
Solaic Smartcard, participant également au déploiement du dispositif
cryptographique EMV. Co-auteur de plus de sept publications internes et
co-inventeur de plus de 50 brevets (45 familles de brevets européens en
instance ou approuvés), il obtint en 2006 son doctorat en informatique au
Laboratoire d'Informatique, de Robotique et de Microélectronique de Montpellier
(LIRMM), avec pour sujet de thèse les parades aux attaques insidieuses par
canal auxiliaire.
Le saviez-vous ?
Une des plus anciennes méthodes de chiffrement
est le Code de César, utilisé par Jules César dans les correspondances avec ses
armées. Le texte chiffré s'obtient en remplaçant chaque lettre du texte clair
original par une lettre située à distance fixe dans l'alphabet. Ainsi le
message en clair "RIEN A SIGNALER", codé par un décalage alphabétique
égal à 3, devenait "ULHQD VLJQD OHU".
Les codes de cryptage ont évolué depuis : la
norme de chiffrement avancé repose sur un algorithme qui effectue des décalages
et des substitutions infiniment plus complexes que le Code de César, utilisant
au moins dix séries de traitement avec des permutations et des clés distinctes
pour rendre tout déchiffrage quasiment impossible. On estime que les
superordinateurs les plus rapides auraient besoin d'un milliard de milliards
d'années (3,4 x 1038 ans) pour venir à bout de la clé AES de base
(128 bits) par la "force brute", c'est-à-dire générant des
combinaisons de façon aléatoire.