Cinquante ans plus tard, la carte à puce tient-elle toujours ses promesses de sécurité ?

On l'utilise chaque jour sans s'en rendre compte. La carte à puce, invention française qui fête ses 50 ans ce lundi, se loge dans les cartes bancaires, cartes SIM ou encore la carte Vitale (carte de santé en France). Ce rectangle de plastique incrusté d'un circuit électronique intégré miniaturisé a été plébiscité, d'abord en France puis dans le monde, en raison de son haut niveau de sécurité. Explications.

Comment ça marche ?

C'est l'équivalent d'un « micro-ordinateur embarqué sur la carte », qui va répondre de façon sécurisée, par oui ou non, à des interrogations de sécurité de l'extérieur, « sans jamais livrer les secrets qui sont mis à l'intérieur », décrypte Loïc Guezo, vice-président du Clusif, une association française de professionnels de la cybersécurité. La majorité des cartes à puce contiennent ainsi des informations chiffrées. Elles peuvent servir de moyen d'identification personnelle et de paiement. 

La carte à puce a été conçue pour résister à plusieurs types d'attaques : les attaques par logiciel « où on va essayer de détourner la sécurité en jouant sur les commandes », les attaques dites « invasives » qui visent le silicium de la carte, les attaques par observation où on cherche à remonter à la clé cryptographique en observant les signaux électroniques émis, ou encore les attaques par perturbation du composant lors de son fonctionnement, détaille Jessy Clédière, expert en sécurité des cartes à puce au Commissariat à l'énergie atomique et aux énergies alternatives (CEA). 

Les pannes ou la fraude sont peu courantes. À titre d'exemple, le taux de fraude à la carte bancaire était de 0,053 % dans l'Hexagone en 2022, son plus bas niveau historique, d'après la Banque de France.

Quelles sont les alternatives ? 

Elles concernent principalement le domaine bancaire avec le développement des virements instantanés, du paiement sans contact ou encore par mobile où la carte est dématérialisée, et qui utilisent une technologie d'ondes radio à courte distance. « Le smartphone change la donne », reconnaît M. Clédière, qui évoque Apple Pay et Google Pay. « Elle ne va pas disparaître dans les cinq ans, mais dans 15 à 20 ans, je ne suis pas sûr qu'il y aura autant de cartes à puce sur le terrain que maintenant », poursuit-il.

Ces alternatives sont-elles aussi sécurisées ?

Elles présentent un niveau de sécurité un peu moins élevé pour les experts interrogés. Piratage à distance, usurpation d'identité en ligne : « Dès qu'on dématérialise, on est sur du numérique, donc il y a des types d'attaques nouvelles qui sont possibles mais irréalisables sur une carte physique », souligne Loïc Guezo. « Ça ouvre le champ des possibles pour les attaquants. »

Car pour pirater une carte à puce, encore faut-il y avoir accès, être physiquement présent, la voler ou installer un faux lecteur de carte sur un distributeur de billets. « C'est un acte différent. Plus difficile », soutient Nosing Doeuk, responsable de l'innovation technologique au sein du cabinet de conseil MC2i. « Il faut avoir un peu de matériel. »

Disparition ou évolution ?  

Pour certains cas d'usage, comme les paiements de petites sommes ou les achats du quotidien, « on n'est pas contre un peu moins de sécurité contre beaucoup plus de praticité », note M. Doeuk. Mais quand on a besoin d'une sécurité maximale, la carte à puce reste un moyen très robuste pour s'authentifier, selon lui. Ce dispositif a aussi montré qu'il pouvait s'adapter aux nouveaux défis de sécurité comme l'émergence des ordinateurs quantiques, dont les capacités de calcul sans précédent peuvent casser les algorithmes utilisés en cryptographie classique. 

Thales, premier fabricant mondial de carte SIM, a ainsi annoncé en 2023 la création d'une carte à puce avec un algorithme post-quantique embarqué, en collaboration avec l'opérateur sud-coréen SK Telecom. « La carte à puce n'a pas de raison de disparaître. Ce n'est pas une technologie obsolète et elle ne présente pas beaucoup de défauts intrinsèques », résume Nosing Doeuk, pour qui les alternatives numériques représentent un complément, pas une menace.