La carte à puce. Samia Bouzefrane. Maître de Conférences en Informatiques. Laboratoire CEDRIC Conservatoire National des Arts et Métiers (Paris)

Transcription

1 La carte à puce Samia Bouzefrane Maître de Conférences en Informatiques Laboratoire CEDRIC Conservatoire National des Arts et Métiers (Paris) 1

2 Histoire de de la la carte àpuce 2

3 La genèse des cartes àpuce Dans les années : -cartes en papier => cartes en plastique : John Biggins, un banquier de Brooklyn, qui imagina un système permettant àses clients de faire des achats «sans cash»auprès des commerçants. Les commerçants transmettant les factures àla banque qui débitait leurs comptes. Les premières cartes : - dotées de pistes magnétiques comportant des données numériques. -Inconvénient: ces pistes peuvent être lues et même écrites avec du matériel assez simple. 3

4 Les premiers brevets Développement de la microélectronique dans les années : Jürgen Dethloff et Helmut Grötrupp ingénieurs allemands (déposent un brevet en 1969) 1970: KunitakaArimurajaponais dépose un brevet en mars 1970 au Japon 1971: Paul Castruccide IBM dépose aux USA un brevet intitulé Information Card 4

5 Les brevets fondateurs/ : Roland Moreno français dépose 47 brevets dans 11 pays (crée ensuite la sociétéinnovatron) Implication industrielle de Bull et Schlumberger Prototype de puce portable imaginé par Moreno 5

6 Les brevets fondateurs/2 Mise au point de moyens inhibiteurs (par Moreno) logés sur la puce : -comparaison interne du code confidentiel; -compteur d erreurs, qui provoque l autodestruction de la puce en cas de soumission répétée d un code faux; -moyens de traitement; -lecture impossible de zones prédéterminées, notamment code confidentiel, clés, etc.; -écriture, modification, effacement impossibles de zones prédéterminées de la mémoire. En 1997, Roland Moreno estentréau National Museum of American History. 6

7 La première carte En 1977, le Français Ugon(de la compagnie Bull) propose de mettre les moyens inhibiteurs sur un micro-processeur. -Mars 1979 CII HoneywellBull et Motorola Deux puces: une mémoire 2716 EPROM et un microprocesseur 8 bits Octobre 1981 puce monolithique CII-HoneywellBull (CP8 : Circuit Portatif des années 80) 7

8 Première carte à puce 1979: 1ére carte àbase de microcontrôleur Fabriquée par Motorola pour Bull CP8 Mémoire de 1 Ko et micro-contrôleur 8 bits de Motorola 1984: commercialisation des premières télécartes par France Télécom et fabriquées par Schlumberger Fin des années 80, commercialisation des premières cartes bancaires 8

9 Premiers déploiements massifs : Les PTT françaises lancent les premières cartes téléphoniques prépayées à mémoire 1984, le GIE Carte Bancaire introduit la carte bleue (carte à microprocesseur) 1988 : les services des postes allemands lancent une carte à microprocesseur pour le réseau de téléphonie mobile C-Netz(succès limité). 1990: introduction de ces cartes dans le réseau GSM (cartes SIM) 9

10 Premières entreprises de la carte - La société Innovatron créée par Moreno pour exploiter ses brevets. -En 1979, Schlumberger (géant des services pétroliers) entre au capital d Innovatron, pour 34%. -Schlumberger devient le numéro 1 mondial de la carte àpuce (cartes, lecteurs, cabines téléphoniques, systèmes), - En 1997, Schlumberger acquiert le concurrent français: SOLAIC. -En 2001, Schlumberger acquiert le concurrent français Bull CP8. -En 1981, le GIE«Carte àmémoire»lance trois expérimentations de la carte àpuceavec: Bull, Philips, et Schlumberger. -En 1984, le GIE devient «Cartes Bancaires». -Fin des années 80, GIE «CB»commande 16 millions de cartes CP8, généralisant l utilisation de la carte à puce en France en

11 Vers les géants de la carte àpuce -En 1988, Marc Lassus crée Gemplus en France -En 2001, l activité«cartes àpuce»est cédée àschlumberger qui externalise cette activité à Axalto -En 2004, Schlumberger qui veut se recentrer sur les métiers du secteur pétrolier, se sépare d'axaltoen l'introduisant àla bourse de Paris. -En 2006, fusion de Axaltoet de Gemplus=> Gemalto(numéro 1 mondial de la carte àpuce) -Exemples d entreprises concurrentes aujourd hui : OberthurTechnologies, Sagem Orga -Fabricants de composants électroniques : puce (InfineonTechnologies, Atmel, STMicroelectronics). 11

12 Quelques dates/1 Année 1979 Événement Première carte fabriquée par Motorola pour Bull CP Sortie de la première carte mono-composant à microcircuit Premières télécartes françaises Le CNET spécifie la première carte bancaire à puce Naissance du GIE «Cartes Bancaires»successeur du GIE Carte à mémoire Le GIE CB commande 16 millions de cartes àpuce Premières normes ISO Premières cartes GSM pour téléphones mobiles Le GSM devient un produit commercial

13 Quelques dates/2 13 Année Événement Toutes les cartes CB sont dotées d un micro-circuit Développement de la carte de SS en Allemagne (près de 70 millions en 1997) Début du projet «SESAM Vitale» Développement important du portemonnaie électronique Généralisation de la carte vitale (près de 40 millions) Premières normes EMV Le système CB passe au standard international EMV Premières CB sans contact

14 La La carte à puce aujourd hui 14

15 Aujourd hui : près de 7 milliards de cartes en circulation Monétique: -Carte bancaire: Groupement Cartes Bancaires, nouvelles cartes EMV, etc. - Porte-monnaie: Octopus, Moneoen France, Protonen Belgique, Geldkarte en Allemagne Identification: Cartes d'identiténationales (eiden Belgique), E-passeports(août 2006 en France), Passeport biométrique (depuis la fin Juin 2009) Éducation(comme carte d'étudiant et/ou de restauration) Téléphonie mobile(carte SIM) La carte à puce aujourd hui Secteur médical(carte Vitaleen France, carte SISen Belgique). Titre de transport(passenavigoàparis, OysteràLondres). Sécurité informatique(authentification forte et signature électronique): carte doté d un cryptoprocesseurpour la génération des clés et le stockage de la cléprivée). 15

16 Exemples des Passeports Depuis 2006 en France : Passeport électronique comporte une puce électronique qui stocke les données personnelles du détenteur : (son nom, sa date de naissance, sa nationalité, son numéro de passeport et la photo numérisée du titulaire). Depuis le 15 Juin 2009 : Passeport biométrique : sur une puce RFID, qui permet de lire les informations àcourte distance, sont enregistrés -outre les informations personnelles classiques et la photo numérisée -deux empreintes digitalisées des doigts du détenteur (àpartir de l âge de 6 ans). (d après : 16

17 Famille de produits carte àmémoire : exemple des télécartes carte logique câblée : carte à microprocesseur : cartes à puce d aujourd hui 17

18 La carte à microprocesseur/1 Cartes à puce intelligentes Comportent un microcontrôleur : -UC -PROM -RAM -EEPROM - interface d E/S - crypto processeur dans le même circuit Processeur : 8, 16 ou 32 bits EEPROM : de 1Ko à128 Ko Interface série: UART simplifié 18

19 La carte à microprocesseur/2 - est un ordinateur: possède les mêmes composants qu un ordinateur -blindé: contient une seule pièce de silicium entouréde blindages et de capteurs empêchant l accès à ses données internes -protégépar code PIN: limitant l accès àson seul détenteur - petit: par sa taille, facilitant son transport dans un portefeuille. 19

20 Le Le marché aujourd hui 20

21 Le marchédes cartes àpuce 5,14 milliards de cartes à puce produites en 2009 (4,4 milliards à microprocesseur) On prévoit 7,5 milliards de cartes àpuce en 2012 (selon l ONU, on sera 7 milliards d habitants en 2011) Initialement : le marchéétait français avec 40 millions de cartes bancaires aujourd hui la Chine compte plus d un milliard et demi de cartes àpuce (1 milliard de cartes d identitésans contact, plus de 500 millions de cartes SIM). 21

22 La téléphonie mobile tire le marché Cartes de paiement: 15% à20% du marché Cartes SIM(SubscriberIdentityModule): 70% à78% du marchéglobal de la carte (croissance moyenne annuelle de 30%) 22

23 Cycle de de vie de de la la carte 23

24 Cycle de vie (exemple de la carte bancaire) Fabricant de silicium Fabricant de carte Banque utilisateur Post-personnalisation (gestion à distance des cartes SIM par exemple) 24

25 La La normalisation 25

26 Les standards Les normes liées àla carte : ISO (7816 àcontact, sans contact) ETSI, (télécommunications, GSM) EMV, (cartes de paiement) ICAO, (agence de l ONU, biométrie, passeport) Santé(ISO )... 26

27 La La norme ISO

28 Normalisation AFNOR / ISO La position des contacts : position AFNOR et position ISO Carte ISO Carte AFNOR 28

29 Les différents contacts Vcc: tension électrique (3 à5 V) RST: c est le «reset», initialise le microprocesseur (warm reset) cold reset = coupure et rétablissement de l alimentation CLK: signal d horloge car pas d horloge sur la carte GND: masse Vpp: utilisé dans les anciens modèles pour avoir une autre source d alimentation I/O: utilisépour le transfert des données et des commandes entre la carte et le lecteur. 29

30 Position de la puce % au support plastique Valeurs en mm 30

31 Formats normalisés des cartes à puce Même si on connaît en général deux formats de la carte àpuce Celui de la carte bancaire Celui de la carte SIM 3 formats normalisés : ID1, ID00 et ID000 31

32 Les 3 formats ID 01 ID 00 ID

33 Normalisation des dialogues carte 33

34 La La sécurité des cartes bancaires 34

35 Protocole de paiement par carte B0: Protocole mis en place par le GIE CB pour le paiement par carte Lors de la personnalisation, les infos relatives au porteur sont écrites sur la puce -nom du porteur, numéro de la carte, la date de validité - les mêmes infos cryptées -le code PIN -une clésecrète unique par carte 35

36 Numéro de la carte 16 chiffres ABCD EFGH IJKL MNOP A: {3=American Express 4=Visa, 5=Eurocard/MasterCard,..} BCD, BCDE, BCDEF: numéro de la banque Numéros suivants P: cléde Luhn, vérifie la validité du nombre complet 36

37 Étapes d authentification Lorsqu une carte est insérée dans un DAB ou un TPE, il y a : -Authentification de la carte: se fait hors ligne (le terminal décrypte les infos et les vérifie avec celles en clair) -Vérification du code PIN: par la carte qui se bloque si 3 essais infructueux -Authentification en ligne: obligatoire uniquement pour des transactions dépassant un montant défini dans les contrats bancaires 37

38 Organisation des acteurs dans le protocole B0 Émetteur (Banque) GIE CB Centre de Contrôle C sec Infos (GIE priv, GIE pub ) C sec VS=RSA GIEpriv (Infos) Transactions Carte bancaire (C sec, Infos,VS) Transactions GIE pub Marchand 38

39 Authentificationde la 1 ère génération de cartes Carte bancaire (C sec, Infos,VS) (Infos, VS) GIE pub Marchand VS=RSA GIEpriv (Infos) AlgoàcléRSA de 321 bits AlgoRSA utilise deux clés (secrète et publique) calculées àpartir de de 2 nombres premiers 39

40 La faille exploitée par S. Humpich En 1988, les experts préconisaient qu une cléde 320 bits ne résisterait pas longtemps et suggéraient des clés de 512 bits Serge Humpicha exploitécette faille en Il utilise un outil japonais de factorisation et retrouve la cléprivée du GIE CB. -Il lui suffisait alors de choisir Infos et calculer VS (Infos cryptées) en utilisant la clé privée 40

41 La YesCard A la présentation du code PIN, c est la carte qui valide le code présenté par l utilisateur - Avantage : éviter l utilisation frauduleuse d une vraie carte - Inconvénient : n empêche pas la simulation ou le clonage Si la carte a franchi la phase d authentification, il suffit que la carte réponde «oui»quelle que soit la valeur du code (YesCard) Phase d authentification en ligne : nécessite une clésecrète qui elle ne sort pas de la carte => c est ce qui a limitél utilisation de la YesCard 41

42 L affaire Humpich Année Juin Fév Événement Serge Humpichparvient àpercer le secret des cartes bancaires S. Humpichessaie de négocier avec le GIE CB qui porte plainte contre lui L affaire éclate publiquement Mise en service de nouvelles cartes en réponse à l attaque de Humpich S. Humpichest condamnéà10 mois de prison avec sursis Publication des failles de la carte bancaire Le système CB passe au standard international EMV 42

43 Impact sur la carte bancaire Impact sur l image de la carte àpuce Roland Moreno a lancéun pari d un million de Francs le 13 mars 2000 pour : -quiconque qui parviendrait àécrire un bit dans la zone préservée dans son brevet «inhibiteur»du 17 mars et quiconque qui parviendrait àlire un bit dans la zone préservée par la combinaison de ses deux brevets «comparateur et «compteur d erreurs». - Offre valable pendant un mois. Conditions : le joueur restera 1 mois dans un laboratoire équipéde tous les instruments logiques dont il a besoin avec une liaison avec un ordinateur puissant. Personne n a relevéce défi 43

44 Mise àjour de protocole Le GIE CB met àjour le protocole de paiement : La clérsa passe de 320 bits à768 bits. L authentification en ligne basée sur l algorithme cryptographique DES (cléde 56 bits) est passée àl algo3des (cléde 112 bits) 44

45 Autres types d attaques plus simples Les attaques utilisent les failles du protocole et ne touchent pas à l intégritéde la carte Exemples d attaques : Clonage de la piste magnétique d une carte bancaire Paiement en ligne avec les 16 chiffres de la carte Le numéro de la carte complet était disponible sur les facturettes de paiement Attaques des distributeurs de billets 45

46 La La norme EMV :: nouveau protocole de de paiement 46

47 La norme EMV Standard des cartes de paiement depuis 1995 Organismes fondateurs(déc. 1993): -EuropayInternational(rachetépar Mastercard en 2002); -MasterCardInternational; -VisaInternational; Rejoint par : -le japonais JCB International(depuis Déc. 2004) -l américain American Express(depuis Fév. 2009) Première version des spécifications en En France, la migration vers l EMVest terminée (100% des cartes, des TPE et des DAB). 47

48 Déploiement de l EMV aujourd hui Europe: - Zone SEPA (Single Euro Payment Area) -Migration vers l EMVde Janvier 2008 au 31 Décembre En 2010: 100% des cartes doivent être conformes àl EMV - En 2010, 590 millions de cartes bancaires EMV seront en circulation Dans le monde(europe, Asie et Amérique Latine) -En 2010, 830 millions de cartes EMV en circulation. USA: pas de cartes conformes àl EMV, idem pour les cartes e-id. 48

49 Protocole EMV Protocole plus sûr(utilise des clés RSA jusqu à 1984 bits) Deux protocoles d authentification (statique/dynamique) : -Le choix du protocole est fait par le terminal en fonction des capacités de la carte Authentification statique: le code PIN est transmis en clair àla carte Authentification dynamique: le code PIN est transmis chiffré à la carte Transaction finalisée en/hors ligne: clé unique pour chaque transaction 49

50 Transaction en ligne Dérivation d une cléunique C trans par transaction: C maître C trans ARQC (cryptogramme) C trans (Trans, ARPC) ARPC (cryptogramme réponse) Carte bancaire Marchand Banque 50

51 Sur Internet L utilisation des 16 chiffres visibles de la carte n est pas un protocole de paiement sûr. Ce numéro à16 chiffres n est plus imprimésur les facturettes 9 chiffres sont encore inscrits sur les facturettes et correspondent àpeu près àl aléa choisi par la banque => possibilitéde reconstituer le numéro entier En 2001, un cryptogramme a étérajoutéet impriméuniquement sur la carte, appelé CVV (Card Verification Value) chez Visa et CVC (Card Validation Code) chez MasterCard Ce code est générépar la banque àpartir des informations bancaires du client et de données secrètes de la banque Ce code ne peut être reconstruit car l algorithme est secret Depuis 2004, le cryptogramme doit être demandépar tout site marchand en plus du numéro de la carte afin de valider toute transaction en ligne auprès de la banque émettrice. Ce numéro n est écrit nulle part sauf sur la carte. 51

52 La La sécurité des cartes SIM 52

53 Architecture du réseau GSM 53

54 Les Cartes SIM Notion introduite en 1988 Carte SIM (SubscriberIdentityModule): moduled identitéd un abonné, module résistant aux attaques, qui stocke des informations sensibles : -Numéro de téléphone de l'abonné(msisdn) -Numéro d'abonnéinternational (IMSI, internationalmobile subscriberidentity) - Numéro de l équipement mobile (IMEI) -Algorithme d authentification (A3A8) - La clé d'authentification Ki -Code de service (opérateur) -Code PIN (PersonalIdentification Code) - Code PUK (Personal Unlock Code) 3,3 milliards de cartes SIM sur le marchéen

55 Les méthodes de protection/1 1. La protection de l identité d un abonné: L abonné possède un identifiant (IMSI: International Mobile Subscriber Identity) est envoyé la première fois au HLR (Host Location Register) pour retrouver les paramètres d abonnement dans la base de données des comptes client. Le réseau délivre un TIMSI (TemporaryMobile SubscriberIdentity) une identitétemporaire qui change àchaque appel pour interdire la traçabilité des communications. 2. L authentification d un abonné: Une authentification forte est réalisée à l aide de l algorithme A3 associé àune clékide 128 bits, pour limiter les fraudes sur le réseau (éviter par exemple que les forfaits des clients ne soient consommés par des pirates). 55

56 Les méthodes de protection/2 3. La confidentialité des données utilisateur: Dans un réseau cellulaire radio, l information est transmise par des ondes électromagnétiques (OverTheAir) entre le téléphone mobile et la station de base. Les échanges entre mobile et station de base sont chiffrés àl aide de l algorithme A5 qui utilise une cléde chiffrement Kc. Kcest mise àjour àchaque appel (authentification) avec l algorithme A8 de génération de clés. A3 et A8 sont souvent confondus (nommés A38 ou A3A8). 4. La protection de certaines informations telles que : IMSI, numéros appelés ou appelants, le numéro de série du téléphone (IMEI: International Mobile Equipment Identity) sont des informations sensibles stockées sur la carte SIM. 56

57 Les attaques de la carte SIM La carte SIM réalise le calcul A3A8 dans un espace sûr. En 1998, Mark Briceno, Ian Goldberg et David wagner(chercheurs à l université de Berkeley) ont cassé l algorithme A3A8. Même si GSM ne recommande aucun algorithme, les opérateurs utilisent la procédure secrète COMP Ces chercheurs ont aussi cassé cet algorithme en retrouvant la clé Ki en 21 9 calculs (environ essais). Les composants qui intègrent COMP128-1 sont munis d un compteur limitant le nombre d appels à100000, pouvant ainsi mettre hors service une carte SIM. Les modules SIM sont aujourd hui basés sur l algorithme COMP128-2 dont l algorithme est pour le moment secret. 57

58 Conclusion La sécurité n est pas une chose que l on peut régler définitivement L émergence du sans-contact 255 millions de cartes sans contact pour 2009 (prévisions EuroSmart): - les applications de transport (cartes d abonnement) - les cartes d identité en Chine -les cartes de paiement (aux États unis) La convergence des applications du sans-contact Nouveaux services grâce àla technologie NFC (NearField Communication) dans les téléphones mobiles - paiement et contrôle d accès à l aide d une carte SIM - marché de l identité(passeports biométriques) Explosion du nombre d objets intelligents communicants sécurisés (smart objects) Nouveaux systèmes, nouveaux protocoles et nouvelles failles 58

59 Bibliographie 1. Les Cartes àpuce: théorie et mise en œuvre, Christian Tavernier, 2 ème édition, Ed. Dunod, Normes EMV : 3. Cours sur la carte àpuce et la norme EMV par SamiaBouzefrane(CNAM): 4. Magazine MISCH, Hors Série, Cartes àpuce : découvrez leurs fonctionnalités et et leurs limites, paru en novembre Magazine Linux, Hors Série, Cartes à puce, paru en octobre

60 Annexes 60

61 Organisation des acteurs dans le protocole B0 Émetteur (Banque) GIE CB Centre de Contrôle C sec Infos (GIE priv, GIE pub ) C sec VS=Sig GIEpriv (Infos) Transactions Carte bancaire (C sec, Infos,VS) Transactions GIE pub Marchand 61

62 Organisation des acteurs dans SDA Émetteur (Banque) Autorité de Certification Infos (E pub, E priv ) Sig Epriv (Infos) Sig CApriv (E pub ) (CA priv, CA pub ) Valeur d Authentification Certificat (E cert ) Carte bancaire (Infos,VA, E pub, E cert ) Transactions CA pub Marchand 62

63 Lors de l utilisation VA= Sig Epriv (Infos) E cert = Sig CApriv (E pub ) (Infos,VA, E pub, E cert ) Code PIN (Infos, VA, E cert ) RSA(E cert, CA pub )=E pub (Infos, VA, E cert ) CA pub RSA(VA, E pub )=Infos?= Infos Demande du code PIN Code PIN en clair Carte bancaire Marchand 63

64 Dynamic Data Authentication: DDA Émetteur (Banque) Autorité de Certification Infos (C priv, C pub ) Sig Epriv (C pub ) (E pub, E priv ) Sig CApriv (E pub ) (CA priv, CA pub ) Certificat (C cert ) Certificat (E cert ) Carte bancaire (Infos, C priv, C pub, C cert, E pub, E cert ) Transactions CA pub Marchand 64

65 Lors de l utilisation C cert = Sig Epriv (C pub ) E cert = Sig CApriv (E pub ) (Infos, C cert, E cert ) T alea (Infos, C cert, E cert ) (Infos,C pub, C priv, C cert, E pub, E cert ) Code PIN Res=Sig Cpriv (C alea, T alea ), C alea RSA(E cert, CA pub )=E pub CA pub RSA(C cert, E pub )=C pub Décrypt(Res, C pub )?= C alea, T alea Demande du code PIN Carte bancaire Crypt Cpub (Code PIN, alea1, alea2) Marchand 65

66 Principes de sécurité d un réseau GSM Carte SIM Mobile Station de Base VLR HLR/AuC LAI, TMSI Requête d Identité IMSI Requête d Authentification RAND Triplet(RAND, SRES, Kc) Kc=A8(Ki,RAND) SRES =A3(Ki,RAND) Acquittement A5(Kc, TMSI) SRES =SRES? 66 A5 Basculement en mode chiffré Acquittement A5 RAND: nbaléatoire de 16 octets SRES(Signed RESponse): réponse signée SRES=A3(Ki, RAND) Kc: clé de chiffrement des communications, Kc=A8(Ki, RAND).