Sécurité des transactions entre administrés et administrations.
Perspectives de la carte à puce

Jean-Paul BAQUIAST  le 12 février 1997 (4 pages)

On examinera la problématique de la sécurité des échanges de données administratives compte-tenu de la généralisation des transactions sur Internet (TCP/IP), puis les perspectives offertes par la carte à puce, notamment bancaire (CB).

Problématique

1 Généralisation des téléprocédures.

Le développement des réseaux et de l'équipement en stations de travail ou points publics d'accès (micro-ordinateurs ou Net Work Computer) des administrés ou clients des administrations (entreprises, travailleurs individuels ou particuliers) va généraliser le recours aux téléprocédures administratives.

.

Par téléprocédure, il faut entendre toute procédure administrative s'effectuant à partir de l'ordinateur d'un administré ou client vers celui d'une administration, à travers un réseau public de télécommunication. Un réseau public n'est pas affecté à des interlocuteurs définis et à eux seuls (comme le sont des réseaux privés sur lignes spécialisés) mais à tous types d'usagers. L'on peut dire aussi qu'un réseau public est un réseau ouvert, caractérisé par l'absence d'un opérateur unique prenant en charge l'ensemble des opérations nécessaires à l'acheminement des messages (au contraire d'un réseau fermé). La nature ouverte d'un réseau facilite l'intrusion des fraudeurs, et doit donc être compensée par un renforcement des exigences sécuritaires.

La croissance rapide de l'Internet ouvre aux téléprocédures, du fait de la généralisation mondiale du protocole de communication IP, un champ également mondial, dès lors que les partenaires aux téléprocédures sont reliés au réseau de réseaux que constitue Internet.

Au plan national, puis européen et mondial, les téléprocédures concerneront, selon les cas :

2. Partenaires à l'échange.

Tous types d'agents économiques, administratifs ou de particuliers sont concernés, dès lors qu'ils sont équipés eux-mêmes, ou procèdent aux téléprocédures par des points publics d'accès. Il s'agit d'abord des déclarants ou usagers-clients des administrations, comme des administrations destinatrices d'une déclaration ou fournissant un service. S'ajoutent des tiers à l'échange :

Les banques et opérateurs peuvent assurer en tout ou en partie la fonction de tiers de confiance.

Les partenaires à l'échange, dès lors qu'ils ne sont pas reliés en point à point par des lignes spécialisées, au sein de réseaux spécifiques et non normalisés, dont le coût serait excessif, doivent se reconnaître et communiquer au sein de réseaux généralistes (réseau téléphonique, réseaux X400 notamment) .

3. Présentation des messages.

D'une façon générale, les téléprocédures s'exécuteront (si l'importance et la fréquence des échanges le justifient) sous la forme d'échange de messages normalisés EDIFACT, automatiquement générés et décodés par les ordinateurs des échangistes. C'est le cas déjà pour ce qui concerne les flux importants, souvent transfrontières, intéressant les entreprises d'une certaine taille et les administrations, ainsi que les échanges d'entreprise à entreprise (BtoB).

Pour ce qui concerne cependant les téléprocédures intéressant les PME et les particuliers, des formules intermédiaires (téléchargement d'un formulaire, rempli par l'usager, et générant ou non des messages EDIFACT, de type allégé ou Lite-EDI) apparaitront suffisantes.

4. Besoins d'identification et de sécurité.

Sans procédés ou procédures spécifiques, les réseaux de télécommunications ne peuvent être sécurisés, hormis par de simples mots de passe. Les ordinateurs des échangistes ne le peuvent pas davantage, en ce sens que des importuns peuvent s'en saisir pour envoyer ou recevoir des messages indus. Le commerce et le paiement en ligne, mais tout autant les procédures administratives supposant l'échange de données confidentielles, nécessitent donc des moyens particuliers de sécurisation.

Les besoins de sécurité varient selon la nature des transactions. Il faut éviter l'excessive sécurisation, qui pénalise des échanges ne la légitimant pas. D'une façon générale cependant, les besoins concernent :

D'autres besoins de sécurité s'attachent aux services de messagerie à valeur ajoutée éventuellement fournis (horodatage, certificat d'émission et de réception, etc).

L'appel d'offres électronique pour les achats de l'administration SIMAP, sur lequel travaille la Communauté Européenne (DG XV) offre l'exemple d'applications où se conjuguent les différents besoins de sécurité.

Les administrations françaises, au sein de la COSIFORM, sous la responsabilité de la Délégation aux Systèmes d'informations du ministère de l'économie et des finances, ont défini des "profils de protection générique pour informations confidentielles et pour informations non confidentielles" , conformes aux normes en vigueur et enregistrées par le Service central de la sécurité des systèmes d'informations français (SCSSI). Il appartiendra aux ministères de déterminer le niveau de sécurité qui leur parait nécessaire, au sein de ces profils.

Les profils ne prévoient pas l'utilisation de cartes à microprocesseurs, mais leur examen montre qu'en de nombreux points et fonctions, ces cartes sont susceptibles de rendre des services difficilement remplaçables par d'autres dispositifs.

5. Modalités de télépaiement.

Lorsque le paiement d'un service est compris dans la téléprocédure, ce paiement, ou plutôt ce télépaiement, peut se faire en utilisant des cartes bancaires généralistes ou des porte-monnaies électroniques (généralement téléchargés à partir de comptes bancaires ou de comptes ouverts dans la comptabilité des organismes offrant un service marchand). Le télépaiement peut aussi s'exécuter par l'intermédiaire d'organismes bancaires et commerciaux offrant différents services associés (galerie marchande par exemple), sous standards propriétaires..

Un point doit d'ores et déjà être noté, c'est que les procédures bancaires et commerciales en ligne visent à sécuriser, au mieux des pratiques courantes, les échanges entre acheteurs et vendeurs. Les solutions adoptées (notamment la carte à puce et les lecteurs et réseaux associés) bénéficient d'une grande diffusion, et offrent donc des coûts et des garanties de fonctionnement très intéressants pour d'autres usagers.

L'arrivée de l'Euro rendra particulièrement attractifs les moyens de paiement en ligne, qui faciliteront, notamment pendant la période intermédiaire, les opérations de conversion. Il faut prévoir une vive concurrence entre banques pour offrir les outils de commerce électronique les plus fiables et les moins coûteux.

6. Schémas directeurs des téléprocédures.

Différents pays mettent en place, pour éviter la concurrence ou la simple dispersion entre autorités publiques participant aux téléprocédures, des systèmes obligatoires ou recommandés harmonisant les techniques et les standards de communication. Il peut s'agir, comme aux Etats-Unis au sein des administrations fédérales, d'une véritable plate-forme d'interconnexion entre administrations et services à valeur ajoutée regroupant les opérateurs commerciaux, puis ultérieurement les citoyens eux-mêmes.

Dans d'autres cas, comme en France, sous l'impulsion de la Cosiform, il s'agit de recommandations fortes (circulaire du Premier ministre en date du 15 janvier 1997) pour que les administrations adoptent des normes de message (Edifact) ou de protocoles, ou sinon des standards de fait visant à devenir des normes. Derrière ces recommandations doit évidemment se trouver une autorité en assurant le respect, ce qui n'est pas encore le cas en France. (voir interview de Louis BREAS, Délégué Général de la COSIFORM)

Au niveau des échanges de données entre administrations des Etats-membres de l'Union européenne, comme pour l'accomplissement des procédures communes, il serait indispensable d'adopter les mêmes démarches, mais jusqu'à présent, en dehors de la participation à la définition et à la mise ne place de messages EDIFACT, aucune action générale visant à faciliter les téléprocédures ni les télépaiements n'a pu encore être étudiée, faute de consensus sur les besoins et les solutions. C'est en principe l'objet de la dernière phase du programme IDA, en cours de définition. L'on peut douter de la volonté des Etats-membres d'aboutir à des résultats communs dans ces domaines pourtant importants.

Perspectives pour la carte à puce.

1. Des solutions couvrant à la fois les besoins de la sécurité et de la gestion.

On a vu que les téléprocédures supposent des niveaux, d'ailleurs différents, de sécurité. Certaines solutions, comme les logiciels de cryptologie du type PGP, offrent une sécurité suffisante concernant la protection du contenu des messages. Mais d'une part, ils ne sont pas encore autorisés en France, et d'autre part, ils ne peuvent rien concernant l'identification sécurisée de l'émetteur et du récepteur.

L'expérience acquise depuis longtemps par les banques françaises, au sein du GIE carte bancaire, montre que la carte bancaire à puce offre des garanties de sécurité tout à fait convenables, au sein d'un système d'ailleurs complexe d'attribution de clefs de sécurité aux trois catégories de partenaires au paiement, et de dispositifs de lecture-écriture. Ces solutions, d'origine française, sont actuellement en voie de diffusion rapide dans le monde bancaire, y compris aux Etats-Unis, longtemps réticents.

Par ailleurs, avec le développement des téléprocédures ou téléachats supposant qu'une même personne s'adresse à plusieurs bases de données, à l'occasion d'une même connexion, la carte à puce de type CQL de Gemplus, HP et Informix (PIC) permet la connexion en temps réel du porteur de cartes à des fichiers et procédures le concernant, avec possibilité d'exécuter certaines opérations simples de gestion. La carte se comporte alors comme un système d'exploitation portable propre à chacun, introduisant dans le système de gestion, en toute confidentialité, les données individuelles requises par la procédure.

Dans cette perspective, la carte permet notamment de gérer, outre des droits d'accès et des procédures administratives, des opérations de débit de comptes et de paiement. Sous la forme du porte-monnaie électronique, elle peut assurer ainsi une comptabilisation et un règlement de dépenses d'accès à des contenus (par exemple à des serveurs de formation (-cf. le projet EMMA).

Dans l'avenir enfin, l'emploi des ordinateurs de réseau ou NC, dépourvus d'intelligence locale développée, nécessitera de la même façon, mais plus systématiquement, que l'utilisateur s'identifie et introduise  dans le réseau .les informations lui permettant d'accéder aux programmes et contenus des serveurs correspondants à ses besoins. La encore, les cartes du type PIC seront utiles.

2. Des solutions véritablement polyvalentes.

Ces solutions ne sont pas limitées aux relations de personnes à administrations. Elles intéressent en fait toutes les catégories d'échangistes, qu'ils soient émetteurs ou récepteurs, qu'il s'agisse d'individus, d'entreprises ou de services publics. La carte, notamment, peut être utilisée par une entreprise lors de l'entrée dans un réseau de service à valeur ajoutée, en supplément des sécurités offertes par ce réseau, ou de celles inclues dans les messages (EDI) et les traitements liés à des transactions lourdes.

3. Intérêt de réutiliser les acquis de la banque française. (GIE Carte bancaire)

L'on sait les difficultés de toutes sortes qui s'attachent à la mise en place d'un système de cartes, de lecteurs et de serveurs original. Le bon sens consiste donc à réutiliser, lorsque c'est possible, les investissements faits par d'autres, techniques ou organisationnels, lorsque ceux-ci ont fait la preuve de leurs qualités et, surtout, lorsqu'ils sont conformes à des normes ou à des standards de fait en assurant une large diffusion..

Pour tout ce qui concerne les applications de gestion et de sécurisation évoquées ci-dessus, il apparaît que, sauf motifs à justifier, les produits et techniques déjà développés par le GIE Carte bancaire et par ses fournisseurs devraient pouvoir être réutilisés, en ne demandant que des adaptations marginales. A tout le moins, les standards en cours de normalisation devraient-ils être retenus. Pour l'avenir, les recherches-développements entrepris, notamment dans le cadre des financements Esprit européens, devraient également être réutilisées.

Chacun y gagnerait, non seulement les nouveaux utilisateurs, mais les banques membres du GIE lui-même, qui pourraient attendre une diminution des prix de revient des produits du fait d'une utilisation considérablement plus large. C'est ainsi que l'intégration dans le système d'un processeur de clef asymétrique (RSA), plus facile à utiliser (*)que la clef symétrique DES, deviendrait abordable pour des applications bancaires, comme pour les applications de gestion.

(*) D'un point de vue crypto-analytique (cassage) l'algorithme DES est intrinséquement aussi sûr que l'algorithme RSA. Cependant la facilité offerte par le RSA pour distribuer des clefs publiques (par exemple pour vérifier des signatures) à des intervenants auxquels l'on n'aurait pas imaginé confier des clefs DES pour les mêmes fonctions (parce qu'elles permettraient de contrefaire des signatures) facilite la mise en oeuvre de systèmes sécuritaires utilisant le RSA.

De la même façon, le lecteur de carte de type PinPad offrant une excellente sécurité, pourrait devenir un périphérique standard de tous micro-ordinateurs ou NC, élargissant considérablement le champ d'utilisation des réseaux au protocole IP.

Une discussion sur ce sujet avec le GIE Carte Bancaire a conclut à la faisabilité d'une alliance entre deux mondes jusqu'ici restés éloignés, celui de la monétique et celui de la gestion administrative.

On objectera que les importants programmes français Sésame-Vitale et Carte des Professionnels de Santé (identification des assurés, carte de santé, contrôle d'accès) ont été définis selon des standards différents. Il faudra choisir, dans ces domaines, soit de conserver des standards propriétaires, notamment pour des raisons de sécurité liés à la spécificité des informations médicales, soit de faire converger à terme les différents produits.

L'on objectera également que d'autres programmes de recherche intéressant le commerce électronique (par exemple le projet EComm) peuvent ou pourront développer des solutions propres.

Il ne nous appartient pas ici de proposer des choix entre ces divers protocoles. Les utilisateurs ne peuvent que souhaiter une approche réaliste de la part des promoteurs, visant à rapprocher et à interfacer les solutions, en vue d'une interopérabilité internationale aussi large que possible. Il faut se souvenir aussi, en Europe et notamment en France, que ces questions apparemment très techniques cachent des conflits d'intérêts considérables. L'on sait par exemple, sans faire de procès d'intention à leur égard, que le groupe Visa-MasterCard, en privilégiant le protocole SET (qui initialement n'incluait pas la carte à puce) vise à se donner un rôle mondial dominant de tiers de confiance. Ceci, outre les gains directs apportés par la gestion des télétransactions financières, leur donnera la possibilité de rassembler et commercialiser dans le monde entier des listes personnalisées d'acheteurs et de vendeurs, sources de profits considérables dans l'univers du commerce électronique.

Les Européens, notamment dans la perspective de l'arrivée de l'euro, ont intérêt à se rassembler derrière des solutions cartes bancaires et porte-monnaie électronique (electronic purse) où leur compétence s'est affirmée, et qu'il conviendrait de normaliser systématiquement. Il en est de même des utilisateurs de protocoles de sécurisation des cartes à puce.

Les administrations doivent veiller pour ce qui les concerne, non seulement à choisir une solution unique pour tous les ministères, mais aussi une solution déjà existante, assurée d'une large diffusion nationale et internationale, où la présence industrielle européenne, garante de milliers d'emplois industriels et de service, s'est déjà mondialement affirmée.

Malheureusement il ne semble pas qu'une coopération entre grands utilisateurs soit conforme à l'esprit français. L'expérience a montré jusqu'ici que le monde de la banque, celui de la téléphonie et, plus récemment, celui des réseaux de télévision à péage, sans mentionner celui de la santé, déjà cité, ont développé des solutions à base de cartes à microprocesseurs incompatibles. Il faudrait donc une forte volonté politique pour rallier à une démarche commune en matière de technologie de base (carte, lecteur, normes) les différentes administrations d'Etat ou locales susceptibles de développer des applications.

L'utilisateur, en tous cas, y trouverait son compte. Nul n'a envie de détenir dans son porte-feuille plusieurs cartes, différentes, nécessitant des lecteurs et des protocoles d'utilisation eux-mêmes différents.

.

4. Risques du choix de la  solution carte bancaire.

Les administrations et le commerce peuvent-ils prendre le risque d'investir sur des solutions s'appuyant sur la technologie de la carte monétique (qu'elle utilise C.SET, EComm ou un mix des deux protocoles) face au développement mondial des RSVA et surtout des autorités de certification prenant en charge la sécurité du commerce électronique ?

Cette question mériterait d'être posée si la carte restait une solution strictement française. Elle n'aurait pas de chances de s'imposer face aux solutions américaines, reposant sur le tiers de confiance, la cryptologie ou d'autres techniques logicielles de sécurisation de l'accès aux réseaux.

Mais les perspectives offertes par le développement aux Etats-Unis de la carte Visa-Master Card , lesquels s'orientent à leur tour vers l'inclusion d'une carte, offrent, même Outre-Atlantique, une possibilité de marché important pour des applications d'identification et de sécurisation sur les réseaux. Les européens auraient tort de ne pas en profiter pour promouvoir une solution qui a fait ses preuves.

Rappelons que l'utilisation de la puce comme enceinte cryptographique portative (elle contient les secrets de son détenteur et les utilise sans jamais les dévoiler) présente trois avantages par rapport à la même réalisation en logiciel dans l'ordinateur de l'échangiste:

- portabilité (l'échangiste peut se déplacer d'un ordinateur à l'autre)

- sécurité (les secrets sont bien gardés)

- difficulté de détourner le produit de l'usage prévu (et donc plus grande facilité de mise en conformité avec la loi française sur l'utilisation de la cryptographie).

Il est à noter que, pour ces raisons, les solutions de carte à puce sont généralement bien considérées par les autorités telles la CNIL en charge de la protection des données individuelles.

Au delà même des systèmes de paiements mondiaux, l'utilisation de la puce pour sécuriser l'EDI (dont le commerce électronique ne constitue qu'un aspect) rencontre des échos favorables chez les grands distributeurs de logiciels.

Le lecteur carte à puce sécurisé développé par le Gie CB  (PIN-PAD déjà cité) est multi-applications: paiement, santé, identification, administrations...La relation administrés-administrations, notamment mais pas seulement lorsqu'elle met en oeuvre un paiement, doit être appréciée d'une manière globale, et pas seulement sous le seul angle du télépaiement. Ainsi les infrastructures et les efforts de communication visant à favoriser les nouvelles procédures s'inscriront-ils dans une perspective globale de facilitation des relations et de rentabilisation des investissements.

J.P.BAQUIAST