La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

19 décembre 2003 Agence pour le développement de ladministration électronique 1 Cartes de vie Quotidienne Journée Plénière du 19 décembre 2003 Panorama.

Présentations similaires


Présentation au sujet: "19 décembre 2003 Agence pour le développement de ladministration électronique 1 Cartes de vie Quotidienne Journée Plénière du 19 décembre 2003 Panorama."— Transcription de la présentation:

1 19 décembre 2003 Agence pour le développement de ladministration électronique 1 Cartes de vie Quotidienne Journée Plénière du 19 décembre 2003 Panorama de la carte à puce

2 Agence pour le développement de ladministration électronique 2 Plan : introduction à la carte à puce (1/3) Généralités sur les cartes à puce Historique Le marché de la carte à puce Composition d'une carte à puce Vie d'une carte à puce Cycle de vie d'une carte à puce Les acteurs Les familles de cartes à puce Les cartes à mémoire Les cartes à microprocesseur

3 Agence pour le développement de ladministration électronique 3 Plan : introduction à la carte à puce (2/3) Le système d'exploitation Systèmes dédiés et systèmes ouverts Interaction carte/terminal Cartes avec et sans contact Dialogue carte/terminal Les standards Standards ISO 7816 Standards ISO Standards indépendants du domaine Standards financiers Spécifications PKCS

4 Agence pour le développement de ladministration électronique 4 Plan : introduction à la carte à puce (3/3) La sécurité Les niveaux dévaluation dassurance (EAL) Les attaques La cryptographie La certification La signature électronique

5 Agence pour le développement de ladministration électronique 5 Historique Dates clé 1970 : Jurgen Dethleff conçoit une carte à puce avec micro-circuit. Le professeur Kinitaka Anmura dépose le brevet au Japon 1974 : Roland Moreno brevète un système de paiement bancaire électronique. La carte bancaire est née 1977 : Michel Ugon ajoute un processeur et dépose les brevets. Les cartes peuvent bénéficier des avancées dans le domaine de la cryptographie 1982 : La Direction Générale des Télécommunications commande des publiphones à plusieurs industriels 1984 : La technologie CP8 est retenue par les banques françaises 1986 : Production en masse de cartes à puce pour les industries bancaires et Télécom : Standard ISO : Standard financier EMV (Europay, Mastercard, Visa)

6 Agence pour le développement de ladministration électronique 6 Le marché de la carte à puce Utilisation des cartes Télécartes, cartes bancaires, cartes GSM, cartes de fidélité, cartes de transport, télévision à péage, cartes ville, etc. Nombre de cartes dans le monde 2 milliards de cartes à puce en % de cartes à mémoire, dont 90% pour la téléphonie et 5% pour les transports 48% de cartes à microprocesseur, dont 67% pour la téléphonie, 20% pour la banque, 6% pour la santé, 4% pour la télévision à péage Prix des cartes Carte à mémoire : de 0,15 à 2 (pour 512 octets à 4 ko) Carte à microprocesseur : de 2 à 8 (pour 1 à 32 ko) Carte à cryptoprocesseur : de 8 à 16 (pour 8 à 32 ko)

7 Agence pour le développement de ladministration électronique 7 Composition de la carte à puce La puce électronique Un micro-circuit (circuit intégré) construit à partir dune galette de silicium Le micromodule Très mince circuit imprimé logé dans l'épaisseur de la carte qui accueille les contacts(visibles) du connecteur sur une face et la puce (cachée sous les contacts du micromodule) sur l'autre La carte plastique Deux principaux types de plastique sont utilisés Le PVC non recyclable mais embossable L'ABS non embossable mais recyclable Détail dun circuit intégré

8 Agence pour le développement de ladministration électronique 8 Cycle de vie d'une carte à puce : phase amont La vie d'une carte à puce est constituée de 2 phases Phase amont : le développement du système dexploitation, la conception de la puce Phase de création : fabrication, encartage, initialisation Phase de circulation : personnalisation, distribution, utilisation et gestion du parc, mort Phase amont Le développement de l'applicatif La première phase consiste au développement du système dexploitation de la carte à puce et à la spécification des informations nécessaires à la pré- personnalisation La conception de la puce A partir du schéma de conception de la puce, des logiciels dédiés et de l'applicatif, le concepteur dessine la puce : il réalise la "database construction" qui va servir à la fabrication du photomasque de la puce

9 Agence pour le développement de ladministration électronique 9 Cycle de vie d'une carte à puce : phase de création Phase de création Fabrication de la puce La fabrication de la puce consiste à fabriquer le mico-circuit à partir des galettes de silicium (les mico circuits se présentent en nombre sous forme de wafer) Un programme est inscrit en mémoire ROM définissant les fonctionnalités de base de la carte : "masque" figé sachant traiter un nombre limité de commandes pré-définies (gestion des entrées sorties, réponse au reset, etc.), cest le système dexploitation Encartage, test et pré-personnalisation Cest lassemblage de la puce, du micromodule et du support plastique Test et pré-personnalisation (inscription du numéro de série de la carte) Initialisation Inscription en mémoire des données spécifiques propres à l'application dans laquelle la carte va s'insérer A ce stade, la mémoire va être organisée et répartie suivant les différents besoins Les zones de travail sont définies et repérées par des indicateurs représentatifs de leur mode de fonctionnement : lecture seule, lecture/écriture, etc.

10 Agence pour le développement de ladministration électronique 10 Cycle de vie d'une carte à puce : schéma de la phase de création

11 Agence pour le développement de ladministration électronique 11 Cycle de vie d'une carte à puce : phase de circulation (1/2) Phase de circulation Personnalisation Cette étape, réalisée par lémetteur, est dédiée à l'adaptation au porteur final de la carte Personnalisation électrique : écriture par exemple du nom du porteur, du numéro d'abonné ou de toute autre information pertinente dans la ROM Personnalisation graphique : impression et/ou embossage sur le recto et/ou le verso de tout logo, signe, photographie ou hologramme permettant une identification visuelle rapide de la carte Distribution Lopérateur gère la distribution des cartes –Remise de la carte (en face à face, par envoi postal, etc.) –Remise du code PIN –Communication éventuelle sur le fonctionnement (le public nest pas encore habitué au sans contact par exemple) Toutes les étapes de la distribution doivent avoir un niveau de sécurité supérieur ou égal au niveau recherché pour lensemble de la vie de la carte

12 Agence pour le développement de ladministration électronique 12 Cycle de vie d'une carte à puce : phase de crculation (2/2) Phase de circulation (2/2) Utilisation Traitement des commandes par le masque de la carte avec utilisation et modifications éventuelles des données inscrites dans la carte Gestion du parc Lopérateur doit gérer le parc de cartes, les pertes, les remplacements, les éventuelles oppositions Fin de la vie dune carte Par invalidation logique, saturation de la mémoire, bris, etc. Le système d'exploitation devient non fonctionnel

13 Agence pour le développement de ladministration électronique 13 Les acteurs (1/2) Les fournisseurs de composants, matières et système d'exploitation La puce est un micro-circuit réalisé à partir de galettes de silicium Sur la puce est enregistré le système d'exploitation de la carte STMicroélectronics, Siemens, Hitachi, Motorola, etc. Les fabricants de cartes A partir des plaques de puces en silicium, ils assurent l'encartage Gemplus (32% du marché en 2002), Schlumberger, Oberthur, etc. Les fabricants de lecteurs La carte ne peut fonctionner de manière autonome ; son utilisation nécessite la présence dun lecteur Exemples : terminaux de paiement électronique, DAB, téléphone GSM, etc. Ingénico, Dassault, Siemens, etc.

14 Agence pour le développement de ladministration électronique 14 Les acteurs (2/2) Les SSII et les VARS 2 grands types Les grandes SSII (Société de Services en Ingénierie et en Informatique), telles que Steria, Atos ou Expérian, qui développent des compétences fonctionnelles horizontales ou verticales Les VARS (Revendeurs à Valeur Ajoutée), telles que Berger-Levrault ou Horanet, de taille plus modeste, proposent des solutions ciblées Elles rajoutent des briques de base qu'elles ont elles même développées pour fournir à leurs clients des solutions complètes Les opérateurs France Télécom (télécartes), Mastercard et Visa (cartes bancaires), Orange, SFR et Bouygues Telecom (cartes SIM) Les communes (CVQ)

15 Agence pour le développement de ladministration électronique 15 Les acteurs : schéma Fabricants de cartes Fabricants de puces (wafers) Opérateurs (émetteurs) SSII et VARS Fabricants de terminaux Utilisateurs (accepteurs) Terminaux Cartes Fournissent des puces Fournissent des cartes à puces Fournissent des terminaux Fournissent des solutions Installent Distribuent Utilisent

16 Agence pour le développement de ladministration électronique 16 1er type de cartes : les cartes à mémoire 2 grands types de cartes Les cartes à mémoire et les cartes à microprocesseur Ces 2 types de cartes sont foncièrements différents sur le plan de la technique et de l'utilisation. Elles sont aussi différentes qu'une disquette informatique et un ordinateur personnel : la carte à mémoire est capable de stocker des informations tandis qu'une carte à microprocesseur est un véritable ordinateur Les cartes à mémoire Les cartes à mémoire simples Ces cartes sont utilisées comme systèmes permettant de décrémenter des unités stockées au préalable Les cartes à mémoire avec logique cablée La carte comporte un dispositif « câblé » de protection des données procurant un certain niveau de sécurité Ces cartes peuvent également être chargées avec une valeur non monétaire

17 Agence pour le développement de ladministration électronique 17 2nd type de cartes : les cartes à microprocesseur Les cartes à microprocesseur Les cartes à microprocesseur CISC 8 bits Laccès à la mémoire contenant les données est sécurisé par la présence dun circuit « intelligent », un microprocesseur 8 bits doté de capacités de traitement de données et de calculs complexes La carte est programmée par un logiciel enregistré dans la ROM (cest le système dexploitation et les applications) Ces cartes évoluent dans un monde clos : celui des applications pour lesquelles elles sont conçues, un monde où une application est installée définitivement sur la carte Les cartes à microprocesseur RISC pour Java La révolution apportée par le langage Java consiste à ne pas affecter à une carte une tâche précise et immuable, avec en plus la possibilité de faire coexister plusieurs applications

18 Agence pour le développement de ladministration électronique 18 Carte à microprocesseur : fonctionnement Un microprocesseur est constitué essentiellement par : Une unité de traitement (CPU) Des mémoires Mémoire non volatile à lecture seule, la ROM (Read Only Memory) –Système dexploitation Mémoire volatile à accès rapide, la RAM (Random Access Memory) –Sert aux calculs intermédiaires Mémoire utilisateur MU, non volatile réinscriptible (EEPROM, FLASH ou FeRAM) –Identité, abonnements, journal des actions, etc. Des dispositifs anti-intrusion Une interface entrée-sortie normalisée

19 Agence pour le développement de ladministration électronique 19 Le système d'exploitation Le système dexploitation ou OS (Operating System) Etant ajusté pour un composant électronique particulier, il est aussi appelé masque Le masque est stocké dans la ROM du composant lors du processus de fabrication Le système d'exploitation est doté des fonctionnalités qui permettent le déroulement de programmes applicatifs à travers la mise en œuvre des opérations suivantes : Gestion des entrées/sorties Organisation de la mémoire en zones de travail avec gestion des codes confidentiels Gestion des autorisations daccès (codes confidentiels) en lecture et en écriture au niveau de chaque zone Chargements éventuels de sous-programmes spécifiques lors de la personnalisation ou pendant la durée dutilisation de la carte

20 Agence pour le développement de ladministration électronique 20 Systèmes dédiés et sytèmes ouverts On peut distinguer deux types de systèmes d'exploitation de cartes à puces : Les systèmes fermés ou dédiés Généralement mono application; dédiés à un usage unique ; par exemple les cartes bancaires (B0'), les cartes santé (Vitale), les cartes pour la téléphonie mobile (SIM) Les systèmes ouverts Ils ne sont pas destinés à une application particulière et il est possible de "charger" des logiciels (applets) après la réalisation du masque et l'encartage ; par exemple les JavaCards, ou le système d'exploitation Multos ou encore le système Windows SC

21 Agence pour le développement de ladministration électronique 21 Cartes avec contact, sans contact et mixtes Les cartes avec contact (carte à puce classique) Les cartes sans contact Elle contient, en plus d'une puce classique, une interface radiofréquence permettant la récupération des données à distance Distance : de 10cm à quelques mètres Avantages La vitesse de transfert (moins de 150 ms) Economie dans la maintenance des terminaux Les cartes mixtes (avec et sans contact) peuvent s'organiser de deux manières différentes Cartes Combi disposant dune double interface gérée par le microprocesseur Cartes Twin dont la mémoire est partagée en deux compartiments dissociés : une partie réservée aux applications à contact et lautre aux applications sans contact Antenne

22 Agence pour le développement de ladministration électronique 22 Carte/terminal : la connexion La connexion Lors de sa phase dutilisation, une carte à microprocesseur subit des cycles de trois étapes qui constituent une connexion : L'introduction de la carte : lorsque la carte est insérée dans le lecteur (ou présentée devant), elle se trouve de nouveau alimentée en énergie et est réinitialisée L'exécution de la commande : elle consiste en la réception dune commande sur le port dentrée / sortie et à lexécution de celle-ci. Cette phase peut être renouvelée autant de fois que nécessaire pour la bonne fin de lapplication La déconnexion : elle correspond à une coupure franche de lalimentation électrique de la carte. Elle se retrouve alors dans limpossibilité de faire quoi que ce soit

23 Agence pour le développement de ladministration électronique 23 Carte/terminal : le dialogue Le dialogue La demande provient toujours du lecteur : la carte ne peut pas émettre de requête, elle peut juste répondre à un ordre du lecteur La communication entre la carte et le terminal seffectue selon des protocoles de communication normalisés Ces protocoles définissent les ordres que lon peut envoyer à la carte (ordres entrants), ainsi que les ordres qui demandent des données de la carte (ordres sortants) Toutes les communications entre la carte et le lecteur se terminent par lenvoi de deux mots détat, soit pour signaler que lordre a bien été exécuté (ordre entrant), soit pour dire que toutes les données ont été transmises (ordre sortant). Le format des ordres est normalisé ; les commandes sont appelées commandes APDU

24 Agence pour le développement de ladministration électronique 24 Les standards ISO 7816 Les cartes sont très standardisées car elles doivent être utilisables avec la gamme la plus large possible de lecteurs dans le monde entier C'est la raison pour laquelle les caractéristiques des cartes à puce ont été fixées par des règles reconnues universellement qui appartiennent à une famille de standards et protocoles internationaux dénommés ISO 7816 Caractéristiques physiques Dimension de la carte, des fonctions et du placement des contacts du micromodule Caractéristiques électroniques Signaux électroniques et protocoles de transmission utilisés dans les échanges entre la carte et le terminal Précisions La partie 1 définit les caractéristiques physiques La partie 2 définit les dimensions et emplacements des contacts La partie 3 définit les signaux électroniques et protocoles de transmission La partie 4 définit les commandes intersectorielles pour les échanges La partie 5 définit le système de numérotation et la procédure d'enregistrement d'identificateurs d'applications La partie 6 définit les éléments de données intersectoriels

25 Agence pour le développement de ladministration électronique 25 Les standards ISO Les standards ISO sont pour les cartes à puce sans contact Cette norme spécifie les caractéristiques applicables aux cartes d'identification, aux cartes sans contact à circuits intégrés et aux cartes de proximité La partie 1 définit les caractéristiques physique La partie 2 définit l'interface radio fréquence et des signaux de communication La partie 3 définit les caractéristiques d'initialisation et anticollision La partie 4 définit le protocole de transmission Elle propose deux versions pour le codage numérique : type A et type B Existe aussi le standard ISO Cette norme spécifie les caractéristiques applicables aux cartes d'identification, aux cartes sans contact à circuits intégrés et aux cartes à couplage rapproché La partie 1 définit les caractéristiques physiques La partie 2 définit les dimensions et emplacements des surfaces de couplage La partie 3 définit les signaux électroniques et modes de remise à zéro Type AType B Lecteur vers carte Modulation ASK 100% Codage Pulse Position Différentiel Modulation ASK 10% Codage NRZ Carte vers lecteur Modulation d'impédance Sous-porteuse : 847 kHz Modulation sp : OOK Codage Manchester Modulation d'impédance Sous-Porteuse : 847 kHz Modulation sp : BPSK Codage NRZ

26 Agence pour le développement de ladministration électronique 26 Les standards indépendants du domaine JavaCard Cest un type de carte fonctionnant avec un système dexploitation ouvert destiné aux cartes multiapplicatives Les spécifications de la JavaCard sont la propriété de SUN et sont élaborées par le JavaCard Forum. La version actuelle est JC 2.1 Multos C'est un système d'exploitation, défini par un consortium industriel, destiné aux cartes multiapplicatives PC/SC Standard de communication entre un PC et des cartes à puces Il permet d'intégrer des lecteurs de carte à puce aux PCs Il offre une interface de type API (Application Programming Interface) pour les applications fonctionnant sous Windows

27 Agence pour le développement de ladministration électronique 27 Les standards financiers CEN Purse EN 1546 Le standard CEN (TC224, WG10) intervient dans le domaine financier et plus particulièrement les applications du porte-monnaie électronique (PME) multiservices Il définit les données et les instructions de la carte, ainsi que les transactions et les applications utilisant ce PME CEPS Cest un standard ouvert dont le but est dassurer que 90% des porte- monnaies électroniques du monde soient inter-opérables CEPS est le standard de facto du porte-monnaie électronique EMV Ce standard a été défini par les institutions financières internationales Europay, Mastercard et Visa en 1996 Ce standard couvre le protocole, les données, les instructions et les transactions des cartes bancaires à puce Ce standard répond à une double exigence de sécurité et d'interopérabilité

28 Agence pour le développement de ladministration électronique 28 Les spécifications PKCS Public Key Cryptography Standard (PKCS) PKCS est un ensemble de spécifications développées par RSA Security et des développeurs de système dans le monde entier, dans le but daccélérer le déploiement de la cryptographie à clé publique PKCS est devenu un standard de facto PKCS #7 Cryptographic Message Syntax Standard PKCS #11 Cryptographic Token Interface Standard. PKCS #15 Cryptographic Token Information Format Standard : ces spécifications définissent le format des fichiers et des répertoires abritant des certificats et des clés cryptographiques

29 Agence pour le développement de ladministration électronique 29 La sécurité (1/2) La sécurité est la principale qualité de la carte à puce. Cest dailleurs pour cette raison quelle a été choisie pour les transactions bancaires notamment en France. Cette sécurité accrue est rendue possible grâce à un ensemble de techniques variées Une sécurité physique Les cartes à puce disposent dun bloc de sécurité qui vérifie que celle-ci est utilisée dans des conditions normales Ce bloc intègre des systèmes de détection du voltage, de température, de luminosité, etc. Le système dexploitation Le contrôle daccès à la mémoire est assuré grâce à lutilisation de clés de fabrication, de personnalisation, etc. Il réalise aussi lidentification du porteur de la carte grâce au PIN composé de quatre chiffres.

30 Agence pour le développement de ladministration électronique 30 La sécurité (2/2) La mémoire La politique de sécurité des données stockées en mémoire différencient trois granularités : –Linformation en lecture seule, –L'information en lecture / écriture, –Linformation en écriture seule. Ces protections sont gérées par le masque (ou système dexploitation) Carte à puce et cryptographie Le rôle de la cryptographie dans une application utilisant la carte à puce est dassurer la sécurité des transactions : –Authentification de la carte (ex : carte SIM) –Authentification du porteur (code PIN) –Génération et vérification des signatures électroniques

31 Agence pour le développement de ladministration électronique 31 Niveaux dassurance de lévaluation (EAL) Les EAL (Evaluation Assurance Level) sont des niveaux dassurance de lévaluation Les EAL définissent une échelle pour mesurer lassurance que lon a dans une carte à puce contre des attaques (c.f. slide suivant) Les EAL fournissent une échelle croissante qui permet dobtenir un équilibre entre le niveau dassurance obtenu et le coût et la faisabilité nécessaires pour parvenir à ce degré dassurance Les 7 niveaux dassurance de lévaluation EAL1 - testé fonctionnellement EAL2 - testé structurellement EAL3 - testé et vérifié méthodiquement EAL4 - conçu, testé et revu méthodiquement EAL5 - conçu à l'aide de méthodes semi-formelles et testé EAL6 - conception vérifiée à l'aide de méthodes semi-formelles et testé EAL7 - conception vérifiée à l'aide de méthodes formelles et testé

32 Agence pour le développement de ladministration électronique 32 Les attaques Les cartes à puce peuvent faire l'objet de deux types d'attaques : celles qui laissent la puce intacte et celles qui impliquent des modifications de la puce Ces attaques peuvent exploiter des vulnérabilités du système d'exploitation ou peuvent consister à créer des conditions d'environnement inhabituelles (fréquence, tension, température...) afin de court-circuiter ou désactiver les mesures de sécurité ou passer la puce dans un mode non sécurisé D'autres attaques nécessitent une rétro-ingénierie du circuit-intégré, des manipulations chimiques, le recours à un générateur d'UV ou de lumière visible, l'insertion de micropointes, l'utilisation d'un microscope optique ou électronique à balayage ou d'un FIB (Focused Ion Beam). Toutes ces attaques ont pour but la divulgation ou la modification d'informations sensibles, par exemple un numéro d'identification personnel, des clés cryptographiques ou des fichiers de données

33 Agence pour le développement de ladministration électronique 33 La cryptographie La cryptographie est lart de chiffrer et déchiffrer les messages échangés entre un émetteur et un récepteur Un système cryptographique basé sur les cartes à puce se présente de façon classique Il utilise un algorithme de cryptage associé à une clé pour convertir un message initial en message codé, qui ne peut être décodé que par un algorithme de décodage associé à une clé de décryptage Il existe deux schémas classiques de chiffrement Symétrique (comme le DES) qui utilise la même clé pour le chiffrement et le déchiffrement Asymétrique avec une clé publique et une clé privée générées par une procédure mathématique comme dans lalgorithme RSA Seules les cartes dotées dun cryptoprocesseur permettent de gérer le chiffrement asymétrique

34 Agence pour le développement de ladministration électronique 34 La certification Les Certificats Numériques sont basés sur la Cryptographie de clé publique, un système qui fonctionne avec des paires de clés privées et de clés publiques. La clé privée n'est connue que de son propriétaire Cette clé ne doit jamais être divulgée par l'utilisateur. La clé publique est connue Le Certificat Numérique Un Certificat Numérique assigne une clé privée à un individu ou à une organisation Le lien entre la clé publique et l'individu ou l'organisation est certifié par un tiers auquel on a accordé sa confiance, en l'occurrence, une Autorité de Certification

35 Agence pour le développement de ladministration électronique 35 La signature électronique La signature électronique est le pendant de la signature manuscrite Les signatures électroniques sont utilisées pour identifier les auteurs/co-signataires d'un ou d'autres données électroniques Les signatures électroniques sont créées et vérifiées grâce aux certificats numériques Signature électronique sécurisée ou non Une signature électronique peut juridiquement exister sans être pour autant "sécurisée" dans les conditions prévues par le décret (du 13 mars 2000) Lorsque la signature électronique nest pas sécurisée, le procédé qu'elle met en œuvre n'est pas "présumé fiable" jusqu'à preuve contraire ce qui, en cas de contestation, impose à celui qui veut se prévaloir des effets juridiques de cette signature d'apporter la preuve de la fiabilité du système mis en œuvre

36 Agence pour le développement de ladministration électronique 36 La signature électronique sécurisée La Signature Electronique Sécurisée, elle, est présumée fiable Elle repose sur lutilisation combinée Dun certificat qualifié (format spécifique et procédures démission strictes) Dun dispositif sécurisé de création de signatures (SSCD), comme une carte à puce aux agréments spécifiques Etat des lieux La pratique est aujourdhui à lutilisation de certificats non qualifiés, avec des procédures denregistrement pouvant sapprocher du schéma daccréditation (niveau *** de la PRIS ADAE) Les cartes disponibles ne sont pas encore au niveau SSCD


Télécharger ppt "19 décembre 2003 Agence pour le développement de ladministration électronique 1 Cartes de vie Quotidienne Journée Plénière du 19 décembre 2003 Panorama."

Présentations similaires


Annonces Google