Pour les banques françaises, 2003 concrétisera l’arrivée d’EMV (Europay, MasterCard, Visa), le nouveau standard pour les 43 millions de cartes en activité dans l’Hexagone. On verra les premiers renouvellements importants des cartes B0′ par des modèles hybrides EMV + B0′. Ce déploiement, qui touchera les commerçants traditionnels, pourrait aussi bénéficier aux paiements sur Internet. En effet, MasterCard propose de marier EMV à un lecteur de cartes au format calculette, afin d’authentifier et de signer les achats en ligne par un mécanisme similaire à celui des systèmes d’authentification forte. Le concept marketing associé a été baptisé SecureCode. Les développements des lecteurs ont été effectués par Xiring et Vasco.Quant au client logiciel nécessaire – fourni par l’éditeur Caradas et à ajouter au navigateur Internet -, il a également été validé. “Ce système concurrence Verified by Visa, mais avec une carte à puce”, précise Éric Planchard, directeur de la stratégie de Xiring. Verified by Visa ou l’e-Carte Bleue, n’imposant, en effet, aucun lecteur, sont donc plus rapidement opérationnels. Le premier, par exemple, accepte un simple mot de passe.À l’inverse, pourquoi ne pas profiter de la meilleure protection offerte par SecureCode pour élargir le spectre des applications sécurisables par le couple EMV + calculette, et fournir de l’authentification pour de l’e-banking, ou de la signature d’opérations boursières en ligne, par exemple ? Or, ces fonctions sont usuellement l’apanage des infrastructures PKI.
Deux applications sur la même carte
Une hypothèse consisterait alors à héberger des certificats X509 sur cette même carte EMV. “Les technologies peuvent marier les deux applications – EMV et PKI – sur la même carte”, répond Alain Martin, directeur marketing cartes bancaires pour SchlumbergerSema. Il existe même un déploiement de ce type en Slovénie, avec la banque Banka Koper.Celle-ci distribuera, début 2003, dix mille cartes EMV, qui intègrent un composant PKI pour l’authentification et la signature sur son service d’e-banking, i-Net-Bank.Reste que ce cas fait figure d’exception. “Ce n’est pas une priorité dans les banques. Les projets EMV et PKI se parlent peu”, estime Laurent Bellefin, directeur de l’activité sécurité de Solucom. Une raison vient du coût. “À cause du prix, les cartes EMV françaises ne disposeront pas d’un cryptoprocesseur, pourtant essentiel pour la PKI”, révèle Alain Martin. Ces cartes proposeront une authentification statique, et non dynamique, qui, seule, permet une authentification par stimulation-réponse. Impossible, donc, de faire de la vraie PKI. Et, surtout, “les banques ne réfléchissent pas à la PKI grand public. C’est déjà assez compliqué en B to B. À la limite, elles pourraient délivrer une majorité de cartes EMV bon marché, et des cartes EMV-PKI aux clients qui souhaitent faire de l’e-banking. Mais il n’y a pas de lecteurs ad hoc”, poursuit Alain Martin.Reste une solution médiane entre l’authentification forte de SecureCode et la PKI exigeant un lecteur de cartes sur le PC : externaliser la clé privée de signature de la PKI chez un tiers de confiance, et débloquer son usage via une calculette interrogeant la carte EMV. Une solution offerte par Cryptomathic au Danemark.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.