Liaison 16

PREAMBULE. Ce document est la mise à jour d'un cours que je donnais dans les années sur les cartes à puce et vient compléter la (déjà) abondante documentation sur le .

Toutefois, un pas décisif fut franchi après l'affaire Humpich et la création de YesCard. La CAM gérant sa propre sécurité, elle permet d'alléger d'autant la réalisation des équipements de paiement. En exercice simulé, il a été démontré qu'en cas d'éjection d'un pilote au-dessus de la mer, la visualisation du symbole d'un sous-marin AMI sur l'écran d'un avion de chasse, devenait, à cet instant précis, l'information indispensable pour permettre au pilote de s'éjecter au plus près d'un sous-marin AMI présent sur zone, qui pourra ainsi rapidement le récupérer.

Menu de navigation

PREAMBULE. Ce document est la mise à jour d'un cours que je donnais dans les années sur les cartes à puce et vient compléter la (déjà) abondante documentation sur le .

Improved Data Modem [ ]. En attendant son remplacement par une liaison de données de série-J, qui est un défi devant être relevé dans la décennie , l'US Air Force à lancé en le programme TACP-M [ acro 42 ] qui effectue automatiquement les traductions du format VMF [ acro 43 ] , par exemple, en données de série-J [ ].

Sur l'aspect fonctionnel et opérationnel, il n'y a aucune différence de traitement sur les deux types de participants. Chacun peut recevoir et transmettre:. Cela se traduit sur les écrans tactiques par:. Ce sont les IUs qui transmettent au minimum leur position sur l'interface. Les Interfaces Units peuvent n'avoir jamais émis de messages sur l'interface. C'est la raison pour laquelle, il a été prévu de permettre à un terminal MIDS de se synchroniser passivement sur le réseau Liaison Les Interfaces Units passives peuvent cependant être destinataires d'ordres adressés, dans ce cas, l'attitude de la plate-forme permet de s'assurer que l'ordre a bien été reçu.

Le choix d'utiliser une liaison de données plutôt qu'une autre est guidé par les contraintes suivantes:. Il existe un lien fort entre les Groupes de Participation de la liaison 16, et les fonctions des trois Liaisons de Données Tactiques utilisant les données de série-J.

Les principales fonctions des liaisons de Données Tactiques de série-J sont listées ci-dessous:. Le PPLI-A est essentiellement utilisé pour l'émission de la position des avions de chasse à un taux élevé, afin d'éviter les tirs fratricides en combat rapproché.

Cette fonction est la fonction essentielle de la Liaison L'identification AMI donnée par la Liaison 16 est la meilleure garantie contre les tirs fratricides. L'identification est complétée par l'état de la plate-forme. Cette information permet aux Commandants de lutte de vérifier, en temps réel , la capacité d'une plate-forme, C2 ou Non-C2, a réaliser une nouvelle mission, sans devoir intervenir en phonie et ainsi, en évitant de perturber les opérateurs menant des actions tactiques.

Il est essentiel que ces informations soient mises à jour automatiquement. En cas de nécessité, une plate-forme AIR peut de plus, transmettre les états d'urgence [ trad 26 ] comme l'éjection du pilote [ trad 27 ] , ou l' amerrissage [ trad 28 ]. La liaison 16 entretient pour chaque plate-forme, une navigation relative et une navigation absolue.

Les navigations, relative et absolue, que la liaison 16 offre sont inégalées sur un théâtre d'opération dont l'environnement est fortement brouillé. Système géodésique mondial , révision de Dans le réseau Liaison 16, les distances sont exprimées en data mile [ ] 0, du mile nautique ou mile marin. Équipées de senseurs, les plates-formes élaborent, à partir de données brutes les plots radar, les détections reçues des plates-formes Non-C2, par exemple , des pistes dont les symboles représentent sur les écrans, les informations cinématiques et de localisation dans l'espace, des mobiles détectés.

Dans le théâtre d'opération très connecté des années , il est indispensable que ces informations soient élaborées au sein des plates-formes C2, dans un format apte à être immédiatement transmis vers les autres éléments de la force. Seules les informations échangées, par l'intermédiaire des liaisons de données, ont droit au qualificatif de tactiques. L'échange de données consolidées sur le Groupe de participation surveillance, permet aux plates-formes C2 d'élaborer une image tactique unique et partagée par tous les participants au réseau.

Les données tactiques consolidées sont:. Le Groupe de participation surveillancepermet également aux plates-formes C2, d'échanger des messages dont le but est de clarifier l'image tactique, en supprimant:. Le Groupe de Participation , surveillance permet aux plates-formes C2 de transmettre des liens entre deux objets de l'image tactique, par la transmission de messages d'association et de PAIRING [ 3 ]. L'association et l'appariement ne sont pas des fonctions propres aux liaisons de données tactiques en général, ou à la Liaison 16 en particulier.

Les systèmes de mission et de combat, associent et appairent les pistes, même en l'absence de connexion au réseau afin d'éclaircir ou de préciser l'image tactique. Une fois la plate-forme connectée à l'interface, la Liaison 16 permet la transmission de ces informations. Sur les écrans, l'association est généralement représentée, lors de la sélection d'une des pistes associées, par un trait de couleur Jaune la reliant aux autres pistes associées.

Sur les écrans, l'appariement est généralement représentée, lors de la sélection d'une des pistes appariées, par un trait de couleur Bleue la reliant à la seconde piste objet de l'appariement. La fonction surveillance de la liaison 16 permet d'échanger plusieurs milliers de d'objets tactiques. Le concept de Guerre en réseau ou NCW impose que l'ensemble des objets soient mémorisés dans la base de données Table des pistes des plates-formes C2 et Non-C2.

C'est particulièrement le cas du porte-avions Charles de gaulle [ ] et de l'E-2C [ ]. Depuis, la capacité des systèmes en gestion du nombre de pistes a été augmentée, particulièrement pour les E-2D [ ] américains et les E-3 de l'OTAN [ ]. La force de ce lien est actée depuis l'édition 6 du STANAG qui définit précisément les conditions de l'acquisition de l'information par les opérateurs.

La visualisation des objets s'effectue sur une grille orthogonale en coordonnées cartésiennes. La grille est centrée sur le porteur et est recalée environ toutes les minutes pour un avion et toutes les dix minutes pour un navire.

Il est important de noter qu'à l'échelle d'une zone tactique, les écarts de distance entre:. La route d'une piste échangée sur la liaison 16 est déterminée à partir du méridien de référence de la position de cette piste le nord à la position de la piste.

La route présentée sur les écrans tactiques sera quant à elle référencée au méridien de référence du porteur. Pour permettre la visualisation immédiate de toute information "forcée" ou "appelée", la capacité de mémorisation de la table des pistes d'un avion de chasse doit être la même que celle des plates-formes C2 qui le contrôlent.

Le HIT permet à une plate-forme C2 de pousser l'information ponctuellement utile sur l'écran du cockpit d'une plate-forme Non-C2. Opérationnellement, avant l'envoi d'un ordre d'engagement vers une plate-forme Non-C2 qu'elle contrôle, la plate-forme C2 positionnera la piste de la cible en "High Interest Track". Elle s'assure ainsi que la cible est visualisée sur l'écran du destinataire et que rien ne s'oppose à ce que l'ordre soit exécuté sans délai. Au début , grâce aux puissances de calcul et aux capacités de mémorisation, la technologie n'impose plus au donneur d'ordre ou à l'industriel d'effectuer des choix sur le traitement à priori des informations devant être visualisées par l'utilisateur opérationnel.

L'expérience a montré que certaines informations considérées inutiles à priori, devenaient indispensables dans certains contextes. À titre d'exemple, les pistes sous-marines ne sont pas utiles à la conduite des missions des avions de chasse. En exercice simulé, il a été démontré qu'en cas d'éjection d'un pilote au-dessus de la mer, la visualisation du symbole d'un sous-marin AMI sur l'écran d'un avion de chasse, devenait, à cet instant précis, l'information indispensable pour permettre au pilote de s'éjecter au plus près d'un sous-marin AMI présent sur zone, qui pourra ainsi rapidement le récupérer.

La surveillance permet aux unités de Commandement et de Contrôle C2 d'élaborer une image tactique. Cette fonction leur permet d'échanger.

Les avions Non-C2 fighters, Bombers… en tant que senseur déporté du C2 qui les contrôle, n'élaborent donc que des plots qui sont redescendus vers le C2 sous forme de messages "Target Sorting". Les caractéristiques des différents capteurs embarqués sont évolutives en fonction du déploiement des nouveaux standards d' avions de chasse.

En particulier, une plate-forme C2 doit posséder la capacité de diffuser toutes les informations de guerre électronique , descendues par les plates-formes Non-C2 travaillant sous son contrôle.

La remontée de données piste directement par un C2 vers un Non-C2 qu'il contrôle, au travers du Network Participating Group Control Uplink , pratique héritée de la Liaison 4-A , était utilisée par des armées n'ayant pas atteint un niveau opérationnel suffisant pour travailler pleinement dans une force appliquant les concepts d'emplois déduits du Network Centric Warfare.

Cette pratique entraînait une confusion résultant de la réception de la même information piste par deux canaux différents NPG Surveillance et Control. Elle n'est plus permise en raison de la restriction du nombre de TimeSlots affectés au "Control Uplink", imposée par la saturation du réseau. Sur les systèmes, toutes les pistes en "Exercice" passent automatiquement AMI, dès l'apparition sur le réseau d'une piste Hostile non-exercice , ou lors de la fin de l'exercice en particulier lors de la réception du message "Exercice Status Change".

Les points d'urgence [ trad 26 ] sont essentiellement:. La surveillance permet également d'échanger les messages décrivant l'environnement du théâtre comme les Points de référence: Couloirs aériens , routes maritimes, les dangers: Champs de mines , etc. La surveillance permet aussi la diffusion des points fixes et les relèvements élaborés par les senseurs de Guerre Électronique après qu'ils ont été consolidés EW Product. Enfin, la Surveillance prend en compte la lutte anti-sous-marine. Le tempo de la lutte anti-sous-marine ne demande cependant pas un taux de mise à jour aussi élevé que celui qui est offert par la Liaison La fonction surveillance est commune aux trois liaisons de données de la série-J, fonctionnant comme un seul réseau "logique" unique.

La corrélation est le processus, appliqué sur chaque plate-forme C2, par lequel les données d'une piste de catégorie Air ou Surface exclusivement issue des mesures de capteur s et celles d'une autre piste Air ou Surface reçue sur la liaison, sont fusionnées en une seule piste "locale" contenant des données "externes" Remote.

En "table des Pistes", une piste corrélée est représentée par un item unique, composé de données locales et de données externes. Cette restriction maximise l'utilisation de la capacité de la liaison.

Elle élimine 'la confusion' que des reports de pistes multiples peuvent engendrer, sur les systèmes de commandement et de contrôle actuels C2. Sur une plate-forme donnée, la dé-corrélation, ne peut donc être réalisée que sur une piste Common Local Track, c'est-à-dire que par le système de mission d'une plate-forme C2, ne détenant pas la R2 de la piste devant être dé-corrélée. Track Quality est utilisée par les liaisons de données tactiques pour entretenir la qualité de l'image tactique en limitant des ambiguïtés et minimiser la charge des échanges sur les liaisons [ ].

En données de série-J la valeur de la TQ des pistes temps réel va de 1 valeur minimale à 15 valeur maximale. L'unité possédant la meilleure TQ assume alors la responsabilité du report R2 jusqu'au moment ou une autre Unité possédera une TQ suffisamment plus haute pour reprendre la R2 de la piste. Elle s'applique également aux points de référence, aux points d'urgence, aux surfaces, comme en lutte anti-sous-marine, les "NOTACK area" qui définissent une zone attribuée pour un temps donné à un sous-marin AMI et dans laquelle toute attaque est interdite.

Il est composé de deux termes Alphanumériques codés sur 5 digits et de trois termes numériques codés sur trois digits. Il se présente donc sous la forme A. N N en octal. Dans un réseau logique multi liaisons, les numéros de pistes sont communs à toutes les liaisons de données tactiques. Dans le monde des données de série-J, le nombre de TN permet de désigner environ C'est la raison principale de l'abandon de la Liaison 11 dans les opérations d'envergure.

Ce jour-là, de nombreuses plates-formes participaient au réseau Liaison Cela entraîna une erreur dans l'appréciation de la trajectoire de l'Airbus lorsque le commandant du Vincennes posa la question "What is doing? Le fait que l' A6 Intruder était en descente alors que l' Airbus A était en montée, a participé au déclenchement du drame qui devait coûter la vie à passagers [ ].

Ce retour d'expérience, et le nombre élevé de numéros de pistes disponibles pour les liaisons de données de la Série-J, ont exclu pour la liaison 16, l'utilisation du TN POOL plusieurs plates-formes utilisent le même bloc de numéros de piste qui était en vigueur dans le réseau liaison 11 lors de cet évènement.

De plus, cela a permis de lever les réticences de nombreuses marines, dont la Marine Nationale , à abandonner la Liaison 11 au profit de la Liaison Il faut remarquer cependant, qu'en début , soit 22 ans après la tragédie du vol Iran Air , aucune des plates-formes opérationnelles - en particulier, celles du groupe aéronaval - ne disposait de la Liaison Cependant, les opérateurs peuvent attribuer manuellement, n'importe lequel des TNs hors de la plage des TNs affectée à leur plate-forme Le TN n'est en aucun cas une indication sur l'IU à l'origine de la diffusion de la piste mais uniquement sur l'unité à l'origine de sa création, si le TN a été attribué automatiquement.

IU Liaison 16 peuvent avoir n'importe quel numéro Numérique en octal soit N. La fonction " guerre électronique " bénéficie au maximum des taux élevés de mises à jour offerts par la Liaison 16 dans le Groupe de Participation EW. Elle offre des possibilités de recherches et d'analyses coordonnées effectuées par des plates-formes dont la fonction principale ou secondaire est la guerre électronique.

Elle permet de répondre au besoin de plus en plus fort de coordination entre les plates-formes ISR [ acro 51 ] et les plates-formes C2 [ ]. Entre les plates-formes C2, les ordres de coordination de la Guerre Électronique, sont directement échangés par les cellules dédiées à cette fonction. Sur les plates-formes C2 chargées de la diffusion des informations consolidées sur la surveillance, les informations d'identité, en particulier celles concernant l'HOSTILE, doivent être validées par une autorité habilitée avant diffusion.

Pour assurer cette fonction, il faut que cette plate-forme porte la marque ou supporte l'autorité chargée de l'identification SIGINT ou SIA [ acro 16 ] , et dispose des moyens techniques et humains nécessaires à la réalisation pratique de cette fonction. Ce besoin est exprimé, de manière implicite, depuis des années par l'armée de l'air [ ]. En pratique, peu d'unités C2 possèdent la capacité technique d'effectuer cette tache.

Ces plates-formes permettent d'enrichir l'image tactique à partir d'un référentiel de l' Ordre de bataille pré-établi. L'accélération de la boucle OODA [ ] , [ acro 52 ] , est la première application du concept de guerre en réseau ou NCW , elle entraîne l'obligation, pas toujours acceptée par les spécialistes de la guerre électronique , d'intégrer les aéronefs SIGINT au niveau tactique, dans le réseau Liaison C'est le seul moyen de permettre une réponse quasi immédiate à une nouvelle menace EW détectée.

En , il était communément accepté que le délai de traitement de la menace ne devait pas excéder 6 minutes pour être efficace [ ]. Le challenge pour les nations appartenant à l' OTAN , est d'apporter leurs contributions dans le domaine tactique sans risquer de dévoiler leur information confidentielle dans le domaine stratégique.

Seule une volonté politique partagée par les décideurs nationaux permettra de lever les obstacles rémanents. L'intégration de la " guerre électronique " dans les réseaux tactiques est le grand défi de la décennie La chaîne de commandement est fortement impliquée dans la prise en compte de la Liaison 16 dans la Guerre Électronique.

Les responsabilités doivent désormais être partagées entre les Commandants tactiques chargés du traitement immédiat de l'information et les Contrôleurs opératifs chargés de la collecte, de la mémorisation et de la consolidation de la même information. En France, la question de disposer d'un avion SIGINT connecté au réseau tactique au travers de la liaison 16, voire de la Liaison 22 , se pose pour le remplacement des deux CG Gabriel programmé pour , alors que le projet d'avions de surveillance électronique C SE n'a pas été retenu.

Cela implique que l'Armée de l'Air accepte ou que l'état-major des armées impose, que le transall Gabriel migre du statut exclusif de collecteur d'information à celui d'avion de guerre électronique polyvalent avion collecteur d'information et avion tactique de guerre électronique. Dans ce cas, seule l'attitude de la plate-forme apportera l'information de la bonne réception de l'ordre.

C'est pourquoi, les systèmes de combat effectuent l'acquisition automatique des numéros de pistes. La saisie manuelle des numéros de pistes est exclue sous les conditions de stress. Généralement, les règles de construction des messages s'appliquent de la manière ordonnée suivante:. La fonction "coordination des armes" permet aux unités C2 d'échanger les messages nécessaires pour éviter l'engagement dupliqué sur une même cible Dual Designation.

Elle permet d'échanger les messages nécessaires à l'utilisation optimisée des armes tant celles qui sont embarquées que celles qui sont contrôlées Plates-formes Non-C2. Par exemple, si un avion de chasse prépare une frappe sur une cible déjà engagée, la plate-forme C2 déjà engageante, s'adressera à l'unité C2 contrôlant l'avion de chasse, pour lever le conflit d'engagement. De nombreuses études portent sur l'aide à la frappe, apportée par la Liaison 16 pour les missiles.

Les travaux portent sur le développement d'un terminal léger en termes de poids, de volume et de prix embarquable à bord d'un missile [ ] Bae System. Les messages de contrôle ne sont échangés qu'entre la plate-forme C2 et les plates-formes Non-C2 qu'elle contrôle. La fonction CONTROL permet l'échange d'information et d'ordres entre une unité C2 et les unités Non-C2 qu'elle contrôle essentiellement des avions de chasse, des bombardiers, des aéronefs de renseignement et de Guerre Électronique, des aéronefs à voilure tournante.

Cependant, il n'est pas exclu qu'à l'avenir cette fonction soit disponible pour la Liaison 22 et la liaison J-over-IP. La fonction CONTROL devient essentielle du fait que les aéronefs Non-C2 partent de plus en plus souvent en mission sans connaître leurs cibles, mais doivent frapper rapidement la cible après sa localisation. Le but affiché par les commandants tactiques est de frapper les cibles sensibles en moins de 10 minutes [ ] après localisation et identification.

Ces derniers "remontaient" vers les avions, les pistes et les points de référence de la situation tactique. Les détections des plates-formes Non-C2 sont "descendues" vers les plates-formes C2. Elles seules ont la responsabilité de créer et de mettre à jour les pistes, après avoir effectué des tentatives de fusion des détections reçues des Non-C2 avec celles de leurs propres senseurs.

C'est le cas des EH HM. Les plates-formes Non-C2 "descendent", les réponses aux ordres d'engagement et de guidage, ainsi que les états d'engagement. Les plates-formes C2 "remontent" également, les ordres d'engagement, les ordres de guidage et les plans de vol. Le Handover permet à une plate-forme Non-C2 de changer de plate-forme C2 contrôlante, sans échanger le moindre mot en phonie.

Le Handover illustre bien, l'utilisation des différents NPG, ainsi que le concept d'emploi de la Liaison 16 dans le contrôle des aéronefs Non-C2. La plate-forme C2 perdante demande à la plate-forme C2 gagnante de prendre le contrôle de la plate-forme Non-C2. Cependant, les horloges ne fournissent pas aux terminaux une précision commune suffisante de l'heure réseau pour faire fonctionner le réseau de la Liaison 16 c'est-à-dire, une précision qui permet à tous les terminaux de partager les mêmes "frontières" temporelles des timeslots.

Il y a deux approches fondamentales pour permettre au participant de partager une heure réseau avec une précision suffisante. La base de temps relative offre de multiples avantages dont celui d'être complètement indépendant du système GPS. Il est aussi parfaitement possible ainsi de se synchroniser avec une référence de temps décalée. Dans cette configuration, plusieurs réseaux Liaison 16 peuvent travailler simultanément mais avec des références temporelles différentes et décalées de 5 ou 10 min par exemple.

Ces écarts de références temporelles entraînent une séparation physique des réseaux et de leurs participants. Ce type de configuration a permis dans un passé récent, la séparation d'un grand théâtre d'opérations en différentes sous zones.

Cependant, cela répondait à un besoin ponctuel qui s'oppose au concept de guerre en réseau, où tous les participants doivent être en mesure d'accéder à toute l'information. Pour commencer le processus de synchronisation de réseau, l'opérateur de la plate-forme référence de temps NTR. Puisque le terminal est NTR, l'heure de l'horloge de son terminal devient l'heure du réseau. Le terminal se déclare immédiatement synchronisé et commence à fonctionner sur le réseau il transmet et il reçoit.

Le modèle de sauts de fréquences est fonction des clés de crypto et du numéro de net. Cependant, le fait d'utiliser le même chiffrage tous les jours et pour tous les TimeSlots augmenterait la vulnérabilité du système. Donc, le terminal change le chiffrage utilisé pour le modèle de sauts de fréquences et pour le chiffrage des messages après chaque période de 24 heures: Il évalue l'heure de transmission en tenant compte de l'incertitude.

Le message "Initial Entry" recherché sera reçu si l'incertitude réelle de l'horloge du terminal est inférieure à la valeur indiquée par l'opérateur. Lorsque le terminal entrant reçoit le message Initial Entry, il mesure l'heure d'arrivée, référencée à son heure horloge.

Il connait l'heure à laquelle le message a été transmis, référencée au temps de réseau. Le terminal connait de manière suffisamment précise l'heure réseau pour interpréter les messages - empaquetés en Standard ou en P2SP - de tous les autres participants et poursuivre le processus de synchronisation.

Le terminal entrant reçoit le message de réponse RTT-R et mesure son heure d'arrivée référencée à son horloge. Le terminal entrant calcule précisément l'erreur entre le temps de son d'horloge et le temps de réseau du NTR.

Il calcule l'erreur pour commencer à construire un modèle mathématique d'erreur entre l'heure de son horloge et l'heure réseau. Il continue à émettre des interrogations RTT-I et pour chaque réponse RTT-R reçue, il fait un nouveau calcul d'erreur et améliore ainsi son modèle d'erreur d'horloge. Les messages RTT sont alors périodiquement échangés afin de maintenir un modèle d'horloge précis.

En réalité, même après qu'il a atteint une synchronisation fine, le terminal continue à améliorer le modèle d'erreur de son horloge. Ce modèle dépend de la stabilité de l'horloge. Au démarrage l'heure horloge est moins stable. La dérive de l'horloge varie non linéairement lors de la montée en température de l'équipement. Une fois que l'horloge est stabilisée en température, la dérive du temps horloge évolue beaucoup plus lentement avec le temps.

Le terminal obtient un modèle stable de l'erreur de son horloge avec une très faible erreur résiduelle. Ainsi, l'heure interne du terminal peut rester synchronisée avec l'heure réseau même s'il n'est plus en portée optique du NTR.

La durée de la conservation de cette synchronisation dépend de la durée de fonctionnement dans le réseau. Cette fonction est définie en phase de conception du réseau. Le processus précédemment décrit est efficace si la plate-forme entrante est en portée optique du NTR, mais cela ne peut pas toujours être le cas. Une fois atteint l'état de "synchronisation fine", le terminal de la plate-forme IEJU commencera à re-transmettre le message d'entrée initial reçu du NTR.

La retransmission est effectuée aléatoirement dans le TimeSlot "Net Entry", une fois toutes les 24 secondes. Le terminal de la plate-forme entrante ne recevra que le message de la plate-forme la plus proche.

Lorsque la plate-forme entrante est en portée optique d'une seule Unité IEJU, celle-ci peut ne pas transmettre dans le TimeSlot attendu par la plate-forme entrante puisqu'elle transmet le message "Initial Entry" seulement une fois tous les deux TimeSlot "Initial Entry". En cas d'échec, le terminal entrant se met en attente du TimeSlot "Initial Entry" suivant et essaye de nouveau. L'entrée en réseau par l'intermédiaire d'une IEJU plutôt que par le NTR peut prendre plus de temps, en raison de la possibilité de devoir faire face à quelques échecs.

Les terminaux entretiennent une évaluation de leur précision de temps c'est-à-dire, une évaluation de leur erreur résiduelle. Cette précision est transmise dans leur message PPLI, c'est la qualité de temps. La valeur de qualité de temps la plus haute est "15" et seul le NTR possède cette qualité de temps. Une fois en synchronisation grossière Coarse Synch , le terminal entrant essaye d'obtenir synchronisation fine Fine Synch.

Il commence à recevoir les messages PPLIs des autres unités, et entretient une table des terminaux qu'il reçoit avec la qualité de temps la plus haute. S'il échoue à obtenir une réponse, il transmet un message RTT-I à la meilleure source suivante dans sa table, etc. De cette façon, les terminaux sauf celui du NTR entretiennent automatiquement la meilleure qualité de temps possible. Cette valeur calculée d'incertitude de temps est utilisée pour l'entrée en réseau à moins que l'opérateur n'entre manuellement l'heure de l'horloge du terminal.

Lorsque l'opérateur entre l'heure, il peut aussi entrer l'incertitude avec une valeur minimale de 6 secondes et jusqu'à 60 secondes. Six secondes d'incertitude est court et, si le temps de l'horloge est en avance de plus de 6 secondes sur le temps du réseau, le terminal ne peut jamais réaliser la synchronisation grossière c'est-à-dire, le temps imparti pour l'attente du TimeSlot est dépassé.

Ainsi pour entrer en réseau, il est recommandé pour l'opérateur d'entrer l'heure et d'utiliser une 1 minute d'incertitude sur les E-3, l'incertitude est généralement de 36 secondes. Bien sûr, cela allonge le temps d'entrée en réseau puisque le terminal attend le TimeSlot "Initial Entry" pendant au moins une minute. Cependant, cela augmente la probabilité d'entrer en réseau.

La situation parfaite pour ne pas entrer l'heure et laisser le terminal utiliser l'incertitude par défaut de 6 secondes se présente lorsqu'une plate-forme quitte un réseau et souhaite immédiatement rentrer dans ce même réseau un Arrêt — Marche peut sauver bien des situations! Le pilote sait que le temps corrigé de son horloge est excellent, et qu'une incertitude basse précipitera le processus de rentrée.

La différence entre les deux NPG n'est pas importante pour les opérateurs. Cependant, dans les réseaux qui sont limités en capacité, comme ceux conçus sous les contraintes de compatibilité électromagnétiques en temps de paix, les NPG RTT peuvent être absents.

Cela doit être connu des pilotes des avions de chasse parce qu'il affecte le taux de mise à jour des PPLI. Il est la source du temps de référence auprès duquel tous les participants au réseau liaison 16 obtiendront l'heure nécessaire pour atteindre et maintenir la synchronisation au sein du réseau [ ].

C'est pourquoi, lors d'un changement de NTR, il est nécessaire de passer par une étape où aucun NTR n'est présent pour une courte période de temps. Les terminaux ont la capacité de rester synchronisé pendant une longue période de temps en l'absence d'échange de messages RTT. En conséquence, la Qualité de Temps du réseau entier diminuera en l'absence de NTR, mais il faudra attendre de nombreuses minutes avant de perdre toute communication.

Cela ne veut cependant pas dire qu'un réseau doit pouvoir fonctionner longtemps sans NTR. Quelques plates-formes sont très dépendantes de la navigation des terminaux de la Liaison 16 et la Qualité de Navigation est directement liée à celle de la Qualité de Temps. Il est donc nécessaire de garder une Qualité de Temps aussi haute que possible pour garantir une capacité de navigation Liaison 16 maximale.

Un réseau Liaison 16 ne devrait pas fonctionner sans NTR plus que quelques minutes. La fonction navigation de la Liaison 16, est la raison principale pour laquelle l'absence de NTR pour plus que quelques minutes n'est pas souhaitée.

Une synchronisation perturbée résultant de la présence de deux NTRs dans le réseau met en péril la navigation Liaison En résumé, le changement de NTR doit être soigneusement coordonné pour s'affranchir du risque de la présence de plusieurs NTRs. Il est préférable de n'avoir aucun NTR pendant quelques minutes. Le nouveau NTR devrait être la JU possédant la meilleure Qualité de Temps du moment afin d'éviter de perturber toutes les plates-formes synchronisées.

Si une plate-forme entre dans un réseau et atteint l'état "FINE SYNCH" sans recevoir de messages en provenance des participants de réseau, cela peut être la conséquence de la présence de multiple NTRs comme décrit ci-dessus. Le terminal cherche la réception du prochain TimeSlot "Initial Entry" en fonction de son temps horloge et des clés de crypto du jour. Une difficulté de synchronisation peut être due à une erreur de la plate-forme entrante ou du NTR lors du démarrage du réseau.

Il est indispensable que chaque participant utilise les clés de crypto du jour. Si les clés sont correctes, il faut vérifier l'heure. Par exemple, il se peut que le NTR ou que la plate-forme entrante, aient utilisé une horloge de référence possédant une erreur de temps absolue significative par exemple, une minute ou plus pour entrer l'heure dans l'horloge du terminal. Il peut y avoir des circonstances lors desquelles l'émission de signaux Liaison 16 est dangereuse pour une plate-forme.

Pratiquement, tous les systèmes hôtes des plates-formes fournissent leurs positions aux terminaux Liaison Chaque terminal transmet donc la position de sa plate-forme dans le message PPLI. C'est juste un peu plus imprécis par exemple, l'hôte ne peut pas connaître sa position avec la même précision en conséquence, le délai de propagation retenue est donc moins précis.

Cela est défini en conception de réseau. Cependant, puisqu'un échange de RTT s'effectue dans un même TimeSlot, la portée est limitée à environ milles nautiques. Ceci est compatible du mode "Normal Range". Si un participant s'approche d'un réseau fonctionnant en "Normal Range", qu'il est positionné à plus de milles nautiques des autres participants du réseau, et qu'il commence son entrée en réseau alors qu'il se trouve en portée optique d'un participant, il peut atteindre l'état "COARSE SYNCH", malgré une erreur de temps considérable le terminal considère à tort, qu'il se trouve à une distance inférieure à milles nautiques.

Sinon, il doit attendre d'atteindre cette distance pour entrer en réseau. Lorsqu'ils ne fonctionnent pas en mode ETR [ acro 53 ] , plusieurs participants en positions rapprochées, avec la même erreur de synchronisation peuvent devoir faire face à des problèmes pour former un réseau.

Nous avons vu précédemment que si deux participants transmettent dans le même TimeSlot, le Terminal en réception ne recevra que le participant le plus proche. Cela n'est vrai que si les participants se situent à des distances différentes du récepteur. C'est une situation rare, mais pouvant être rencontrée par une patrouille d'avions tentant d'entrer en réseau lors de l'attente du décollage sur le RunWay ou sur le pont d'envol d'un porte-avions.

Si quatre avions stationnent sur un RunWay et essayent de former un réseau en entrant les uns après les autres, la procédure à appliquer est la suivante:.

Un message Liaison 16 est transmis comme une série de symboles de cinq bits. Chaque symbole est transmis sur une fréquence porteuse différente f , que nous appellerons une impulsion , une variation brève et rapide d'un état électrique.

Le temps de propagation dans un TimeSlot standard est suffisant pour supporter une distance de propagation de NM Nautical Mile. Cependant, il y existe une option pour étendre cette distance à NM. Cette recherche commence au début du TimeSlot. Une fois le modèle trouvé, il peut interpréter les impulsions restantes, qui contiennent les données réelles.

Les impulsions transmises ne commencent pas au début du TimeSlot. Et voici deux photographies de deux composants ayant environ 10 ans d'écart. On note une plus grande accessibilité aux bus sur le premier composant que sur le second ou tout semble noyé glue logique. Sachant que le second composant avait probablement un bouclier actif qui a été retiré pour la photo.

Voila pourquoi, les technologies évoluant, il est important de ne pas laisser trop longtemps des cartes sur le terrain.

Des composants qui étaient résistants à des attaques de haut niveau il y a dix ans ne le sont plus forcément aujourd'hui. L'activité de production de masque sera finalement reprise par la société Axalto elle-même issue de la société Schlumberger voir ci-après.

Bull n'a donc plus d'activité dans ce domaine. On se rappellera que Sligos a été une société importante dans l'encartage via sa filiale Solaic, revendue en à Schlumberger qui a donné naissance à Axalto devenue Gemalto suite à la fusion avec Gemplus, voir plus loin. ATOS et Bull ont donc toutes deux eu à faire avec la carte à puce dans leur histoire et toutes les deux, ont finit par abandonner cette activité.

C'était juste pour l'anecdote. Sauf qu'en décembre , l'histoire aurait pu bégayer. Suite à une baisse de ses activités, Gemalto s'est trouvée dans la position d'être repris par le marché. Mais c'est finalement Thalès qui a remporté le morceau. Avec le rachat de Morpho quelques mois auparavant, l'année aura été fertile en bouleversements dans le marché de la carte. Reste à savoir si Thalès saura valoriser cette acquisition.

Rien n'est moins sur Rendez-vous dans quelques années. Philips-TRT que l'on a déjà cité parmi les fabricants de composants est également un concepteur de masques. Les cartes D1 et D2 produites à la fin des années étaient particulièrement bien adaptées aux applications de sécurité contrôle d'accès et d'habilitation à des systèmes d'informations, signature électronique En , un accord a été signé avec Bull-CP8 afin de mettre en commun les ressources nécessaires en matière de recherche et développement de nouveaux masques.

Cette entité a été vendue à l'anglais Delarue. Schlumberger a longtemps revendiqué le titre de premier producteur de CAM au monde. Si l'on ne prend en compte que les cartes à micro-processeur, Schlumberger n'était dans les années qu'un tout petit producteur ce qui n'exclut pas d'avoir de l'ambition. Jusqu'en , le plus gros de la production de cette société était encore la carte F carte en logique câblée avec comme plus gros client France-Télécom Télécarte. A partir de , Schlumberger pouvait revendiquer une place de leader aux cotés de la société Gemplus.

Finalement, l'activité carte de Schlumberger donnera naissance à la société Axalto qui reprendra les activités de conception de masque et de lecteurs de Bull-CP8. Gemplus, créé en a eu un démarrage fulgurant grâce à un produit particulièrement souple: L'offre de cette société était basée sur un masque programme offrant des fonctionnalités de base, quelque soit le composant utilisé et laisse à l'utilisateur final le soin de rajouter les fonctions spécifiques qui lui étaient nécessaires.

On avait donc une offre réduite en terme de masque programme mais une adaptabilité très grande. Finalement, en , Axalto et Gemplus annonceront la fusion de leurs activités pour créer le leader mondial dans la réalisation de cartes.

La société issue de cette fusion sera baptisée Gemalto. Après avoir repris les activités de production de Bull-CP8, Oberthur SC a racheté les activités cartes de Delarue et a commencé la conception de masques. En , Oberthur était considéré comme un des trois premiers mondiaux dans le domaine de la carte. Cette activité a été revendue par son fondateur à un fond de pension américain en , le fondateur ne conservant que l'activité fiduciaire fabrication de billets de banque entre-autres.

Sagem a également longtemps été un concepteur de cartes et ce, dès les années Finalement, Oberthur a racheté Morpho pour donner naissance en septembre à un nouveau groupe nommé Idemia nom que je trouve particulièrement sans saveur!

A coté de ces poids lourds, il existe une multitude de petites ou moyennes sociétés oeuvrant dans le domaine des cartes de haute sécurité. Michel Hazard ayant souhaité prendre sa retraite, il a vendu sa société à Nagra en On pourrait également citer Innovatron créée par Roland Moreno qui a produit elle-même ou une de ses filiales des masques de cartes.

Les encarteurs partent d'un composant déjà masqué programmé et l'insèrent dans une carte plastique au format ISO. Dans les années , de nombreux encarteurs venaient du monde de l'impression par exemple, SG2, filiale de la banque Société Générale, mais aussi Oberthur, Delarue, Ruwa Plast ex Ruwa Bell , etc.

Toutefois, au moins au début de la carte, un des principaux problème consistait à se doter de machines capables d'insérer le composant dans le support plastique, en plus, parfois de créer ce que l'on appelle le micro-module, c'est à dire, le composant monté sur ses contacts. Tous les grands encarteurs que j'ai connus ont créé leurs machines, jusqu'à ce que le marché soit suffisamment développé pour qu'une offre industrielle soit enfin disponible.

C'est peut-être ce qui a fait la différence entre ceux étaient en mesure de spécifier et de faire fabriquer ou fabriquer eux-mêmes ce genre de machine et les autres qui n'étaient concentrés que sur le processus industriel typiquement, les imprimeurs. La personnalisation électrique d'une CAM par opposition à la personnalisation graphique consiste à inscrire les informations indispensables à l'application pour laquelle elle est émise. Ces informations peuvent être l'identité du client, le code porteur, les clés secrètes, etc.

En , cette activité avait déjà subie une forte concentration et se trouvait regroupée chez les concepteurs de masques. Les chiffres parlent d'eux-mêmes source Eurosmart. En , le marché des cartes à microprocesseur représentait environ 60 millions d'unités environ 9 milliard en et le marché des cartes en logique câblées représentait environ millions d'unités.

C'est en que le nombre de cartes émis dans le monde est devenu supérieur à celui émis en France. Cartes émises par d'autres fournisseurs de service ou enseignes pour la fidélité. Cartes à usage social avec application de paiement. Téléphones mobiles, tablettes, outils de navigation et autres objets connectés comportant un élément sécurisé sans application SIM.

Cartes émises par des opérateurs pour le transport, le stationnement i. Cartes émises par les opérateurs de télévision à péage i. Cartes d'accès physique ou logique. Dans certaines applications signature électronique par exemple , même l'émetteur n'est pas en mesure de créer une nouvelle carte ayant les mêmes caractéristiques que celle qu'il vous a fournie précédemment. Cet objectif de sécurité ne peut être atteint que si certaines conditions sont réunies:.

Avant d'aborder chacune de ces conditions et de voir comment on les vérifie, on dispose à la date de rédaction de ce document de suffisamment de recul pour déterminer si les cartes répondent à cet objectif.

Beaucoup d'attaques sur les cartes citées par la presse généraliste n'en sont pas. Cette affirmation peut sembler bizarre à certains et mérite une petite illustration en guise d'explication. La première attaque sur les cartes dont je me souviens a fait la une des magazines dans les années A cette époque, des étudiants grenoblois s'étaient fait pincer par la police parce qu'ils vendaient de fausses Télécartes qui étaient fonctionnellement acceptées par les publiphone.

Pour ceux qui ne savent pas comment fonctionnaient les Télécartes de l'époque, il y a un petit chapitre à ce sujet dans ce cours. Mais en résumé, les Télécartes ne répondaient absolument pas au critère de non-reproductibilité.

Il s'agissait d'une simple mémoire de bits en lecture libre, comportant dans une partie non réinscriptible, une information identifiant France-Télécom et pour le reste, un nombre de bits pouvant être écrits, chaque bit correspondant à une taxe téléphonique. Les étudiants se sont contenter d'émuler ce fonctionnement dans un microcontrôleur avec quelques centaines de lignes d'assembleur pour l'essentiel, gestion du dialogue carte qui est particulièrement simple dans le cas présent et émulation du fonctionnement de la mémoire qui est encore plus trivial.

Parler d'attaque sur les cartes à ce propos était donc un non-sens puisque la carte ne prétendait à aucune sécurité à par la protection en écriture de certains bits. Il s'agissait en fait d'une attaque sur le système. Cette clé était utilisée pour mettre en oeuvre une authentification statique des cartes bancaires.

Une fois la clé cassée, il était alors possible de réaliser de vraies-fausses cartes pouvant être utilisées en yes-card une carte qui répond toujours ok à une présentation d'un code porteur ou PIN.

Calcul de vérification de signature à partir de la VA et de la clé publique correspondant à la clé privée ayant permis de constituer la VA. Si le résultat du calcul permettait de retrouver les informations signées et mémorisées dans la carte, alors, on pouvait en conclure que la VA avait bien été générée par une autorité connaissant la clé privée, donc, une banque.

Cette mise en oeuvre ne fait nullement intervenir un mécanisme de sécurité de la carte qui se comporte ici comme un simple support de mémorisation. On aurait pu faire de même avec une carte à piste magnétique si celle-ci avait eu la possibilité de mémoriser une quantité de données suffisante. Une partie de la sécurité du système reposait donc sur le fait que la clé RSA devait être l'état de l'art. En pratique, l'authentification statique des cartes, qui pouvaient convenir pour assurer la sécurité du système à son lancement, n'était plus adaptée dans les années Il fallait passer à l' authentification dynamique vérification de la possession par la carte de la clé privée via un challenge ce qui fut fait quelques années plus tard.

Ce cas est emblématique des confusions qui ont été faites à l'époque sur la sécurité des cartes. La sécurité des cartes bancaires, s'inscrivant dans un système particulier le système CB avait bien été compromise, mais sans qu'il y ait une attaque sur les cartes.

Cette affaire a été très médiatisée à l'époque. Il est intéressant de savoir comment elle s'est conclue, ne serait-ce que pour éviter de se retrouver dans une mauvaise situation lorsque l'on est amené à expérimenter dans le domaine des cartes. Humpich a été condamné pour avoir accédé sans autorisation à un STAD système de traitement automatisé de données. Cette condamnation a été confirmée par la cour d'appel de Paris en Ross Anderson de l'université de Cambridge au Royaume Uni s'est fait une spécialité de publier des attaques sur les cartes à puce.

Si certaines sont de vraies attaques, dans le sens où elles visent à mettre en défaut des mécanismes de sécurité des cartes en général par exemple, via des attaques semi-invasives utilisant des lasers ou des impulsions électromagnétiques , beaucoup d'autres, sont liées aux systèmes qui les mettent en oeuvre comme par exemple, celle publiée en Cette attaque est rendue possible parce que l'information provenant de la carte et indiquant qu'un PIN correct a été présenté n'était généralement pas utilisé à la date de parution de l'attaque.

Inconvénient, seule la banque était en mesure de vérifier le cryptogramme car à l'époque, l'algorithme était un hash-MAC. Mais le point avait été bien vu dès cette époque.

En avril , un consultant français Renaud Lifchitz publie une présentation Hacking the NFC credit cards for fun and debit montrant qu'il est possible de récupérer les informations circulant en clair entre une carte bancaire sans contact et un terminal.

Là encore, la sécurité de la carte elle même n'est pas en cause puisqu'à aucun moment, il n'a été prévu une quelconque protection en confidentialité des informations transmises. Il s'agit donc bien d'une caractéristique du système qui par conception transmet les données en clair. Deux points de vue sont à considérér: Pour la CNIL vie privée , certaines informations sont considérées comme personnelles nom, log des transactions. Ce problème a été en partie réglé puisqu'en , un rapport de l'OSCP Observatoire de la Sécurité des Cartes de Paiement précisait que "le nom du porteur n'est en effet plus accessible lors des échanges en mode sans contact pour la très grande majorité des cartes émises en France.

Pour les banques fraude , le président du groupement des Cartes Bancaires signalait en avril l'absence de fraude constatée. Mais ce qui nous intéresse dans ce paragraphe, c'est la façon dont le sujet a été traité par les médias. De ce point de vue, ont peut être partagé:. Par rapport aux années , on peut se féliciter que la presse a cette fois su faire la distinction entre la sécurité des cartes en général et la sécurité des systèmes qui les mettent en oeuvre.

En bref, la présentation du consultant n'avait pas lieu d'être, si ce n'est à titre d'illustration de quelque chose de bien connu. Les plus connues et les plus spectaculaires concernent la télévision à péage: Cela a donc été fait et la bagarre est permanente entre ceux qui attaquent et ceux qui conçoivent les nouvelles cartes.

Les attaques proviennent parfois d'une erreur de construction un bug logiciel découvert plus ou moins par hasard par quelqu'un. Ces cas ont été assez rares en pratique puisque jusqu'à une époque récente, le développement des cartes était assez bien maitrisé par les masqueurs. La complexité des nouvelles cartes augmentant considérablement, il est possible probable que le nombre de bugs va lui aussi augmenter, rendant intéressante la recherche des erreurs de construction qui peut souvent être faite à moindre coût avec simple PC et un lecteur.

Si ces cas venaient effectivement à se généraliser, ils mettraient en péril tout un pan de l'industrie. Il existe aussi des erreurs de construction sur le matériel qui favorisent plus ou moins les possibilités d'attaques. Je connais au moins un cas où une carte a été émise avec un composant comportant un problème de fabrication connu. Il a fallu attendre très peu de temps pour qu'il soit exploité.

La leçon que l'on doit en tirer est que si on connait une faiblesse, il ne faut pas trop compter sur le fait de ne pas la divulguer pour empêcher son exploitation. Si les enjeux en valent la peine, elle sera exploitée. Certains cas d'attaques réussies concernent des cartes qui ont été émises il y a fort longtemps. Les techniques de microélectroniques évoluent, les équipements de conception et de test également, donc les équipements d'attaque aussi La sécurité d'une carte ne fait donc que se dégrader dans le temps.

Ce qui était très difficile à une époque devient simplement difficile un peu plus tard jusqu'à devenir parfois trivial. La conséquence est que les émetteurs de cartes doivents déterminer une période de validité des cartes en fonction des risques assumés et surveiller le niveau de résistance réelle des cartes sur le terrain.

Certains émetteurs ayant des exigences de sécurité élevées demandent à ce que cette sécurité soit vérifiée à travers des évaluations. Les chapitres qui suivent donnent un aperçu de leur contenu. Mais là comme ailleurs, il n'y a pas de mystère: D'où le nombre régulier de publications portant sur des attaques de cartes réussies et parfois triviales: Enfin et pas que dans ce domaine, il faut conserver un oeil et un esprit critique vis-à-vis des publications, y compris, des publications universitaires: Le travail de beaucoup de chercheurs, parfois renommés, est de chercher Et une façon d'en faciliter l'obtention est de publier.

Parfois, ces publications révèlent des pépites. Ce questionnement était justifié. Jusqu'en , les industriels concernés étaient peu nombreux, et honorablement connus. A partir de le marché s'est développé à grande vitesse. De multiples projets apparaissaient, la technologie se banalisait, de nouveaux acteurs plus ou moins connus voyaient le jour, le marché devenait mondial. Les résultats ont été présentés alors au salon Cartes Mais le véritable booster est arrivé lorsque la Banque de France a demandé au GIE-CB des preuves concernant la sécurité des cartes bancaires.

Le GIE-CB s'est alors tourné vers le SCSSI devenu depuis l' ANSSI pour faire évaluer la sécurité des cartes et a inscrit dans son règlement que l'agrément des cartes bancaires c'est à dire, en pratique, le sésame permettant aux fournisseurs de cartes de vendre aux banques ne serait donné que si les cartes avaient subi une évaluation selon les Critères Communs certifiée par le SCSSI.

Elle a permis le développement d'une expertise dans le domaine de la sécurité des composants et des cartes, en France tout d'abord, puis en Allemagne gros fournisseur de composants pour les applications bancaires et en Hollande.

La reconnaissance de cette expertise a largement dépassé le cadre européen. Elle a poussée vers le haut le niveau de sécurité des aux autres applications signature électronique, identité, passeport, etc. La certification sécuritaire est devenue un sésame pour l'export en dehors de l'Europe, certains pays non européen demandant explicitement des cartes certifiées en Europe.

L'évaluation de la sécurité d'un produit consiste à vérifier que ce produit est conforme à un référentiel d'exigences. Cette évaluation est réalisée par un laboratoire d'évaluation. Celui-ci peut lui-même être conforme à une norme internationales typiquement, ISO qui garantie en particulier. A noter que ces principes sont applicables à quasiment tous les domaines sauf En effet, cette analyse fait en effet intervenir une part d'expertise qu'il n'est pas possible de cadrer entièrement du fait de sa subjectivité, sauf à faire perdre tout intérêt à l'évaluation.

C'est pourquoi, afin d'offrir un certain niveau de garantie concernant ce point, il est nécessaire qu'un acteur soit présent dans le processus pour s'assurer que les analyses faites par les laboratoires d'évaluation sont bien au niveau de l'état de l'art. Dans la plupart des pays, ce sont des agences gouvernementales qui assument généralement cette fonction. Ces agences sont également les centres de certifications et les certificats délivrés permettent d'avoir l'assurance que:.

Pourquoi pas le secteur privé? Théoriquement, rien ne s'y oppose. Mais jusqu'en , il n'était généralement pas possible pour le secteur privé de rentabiliser ce type de certification.

Les centres de certifications auraient du maintenir un pool d'experts dont le coût se serait forcément répercuté sur le coût de la certification rendant celle-ci insupportable pour les industriels. Mais cette approche n'est pas partagée par tous. Ainsi, aux États-Unis, l'aspect subjectif de l'analyse de vulnérabilité est contesté. L'évaluation des cartes et des composants est d'ailleurs un des rares domaines où ces critères ont eu un réel succès.

Il serait fastidieux d'entrer dans les détails des CC dans ce cours. Je me contenterai de décrire les quelques éléments que le lecteur doit avoir en tête:. En conséquence, seules les évaluations sécurité de cartes faites en Europe sont reconnues par les Européens et en pratique, la notoriété de l'accord SOGIS est telle que pendant de nombreuses années, des pays en dehors de l'Europe demandaient que leurs cartes soient évaluées et certifiées en Europe au sein de cet accord.

Depuis les années , certains de ces pays cherchent également à monter des schémas d'évaluation et de certification similaires. Une des raisons de ce succès vient sans doute du fait que dès les années , le monde de la sécurité des cartes industriels, laboratoires, agences gouvernementales, grands utilisateurs a accepté de travailler en commun sur les attaques au sein d'un groupe de travail, le JHAS Joint Interpretation Library - Hardware Attack Subgroup.

Les résultats de ce groupe de travail ont servi de référence pour tous les laboratoires européens réalisant des évaluations CC et par la suite, EMVco. Les document produits par le JHAS ne sont pas publics. Par contre, le document public Application of Attack Potential to Smartcards donne quelques idées sur les moyens employés par les laboratoires pour évaluer les composants et les cartes.

Pour plus de précisions, voir le chapitre Sécurité du composant matériel. Les travaux sur l'évaluation de la sécurité des produits selon des critères normalisés et ouverts ont démarré en France dans les années Dans le domaine des cartes, il est apparu assez rapidement que cette approche ne fonctionnait pas. Ces contre-mesures ne peuvent pas toutes être spécifiées par le fabricant du composant sauf en des termes généraux. Même si depuis que les cartes bancaires existent et ont popularisé le concept, peu de personnes, y compris chez les experts en sécurité, connaissent et comprennent les particularités de cet objet du point de vue de la sécurité.

Les rares attaques publiées concernent des cartes pour lesquelles il n'y a pas eu d'effort particulier du point de vue de la sécurité. Par ailleurs, il y a souvent confusion entre les attaques portant sur les cartes et celles portant sur le système: Les exemples d'attaques qui n'en sont pas au début de ce chapitre illustrent ce point. Enfin, pour les quelques experts qui s'intéressent au sujet, la carte représente un défi intéressant et des techniques d'attaques de très haut niveau font donc l'objet de publications dans différente conférences.

Pour faire simple, ce sont généralement:. Parfois pour de bonnes raisons: Néanmoins, les fondeurs améliorent leur produits en permanence et les avancées faites depuis les années ont été considérables, il faut bien le dire, en grande partie grâce aux exigences sécurité du marché bancaire français ce qui est encore une fois paradoxalement peu connu en France. De nombreuses publications font une liste des attaques habituelles sur les composants. Cette liste est également présente à un niveau de généricité assez élevé dans le document Application of Attack Potential to Smartcards.

Il présente l'intérêt de servir de base pour la cotation des attaques dans les évaluations sécuritaires de cartes, évaluations pratiquées dans plusieurs pays européens et quelques pays d'Asie. L'objectif d'une évaluation sécuritaire d'un composant est donc de vérifier s'il est possible de récupérer des secrets que ledit composant est censé protéger ou de modifier l'intégrité d'une donnée sensible par exemple, un compteur. La difficulté de cette évaluation est que le composant est générique et qu'il ne sait pas encore pour quelle application il sera utilisé.

Il est donc soumis à toutes sortes de tests en espérant qu'ils couvrent bien tous les cas d'usages potentiels. Ces tests couvrent les attaques non invasives telles que récupération d'informations par analyse de la consommation ou du rayonnement électromagnétique ou par perturbation électrique ou lumineuse ainsi que les attaques invasives pouvant aller jusqu'à la modification du composant via un FIB.

On l'aura compris, un équipement standard est celui que l'on peut se procurer pour un coût raisonnable un peu partout magasin, e-bay Face à cela, les fabricants rivalisent d'ingéniosité pour tenter de déjouer les attaques réalisables à l'aide des équipements cités ou au moins, les rendre d'un coût prohibitif par rapport au gain escompté.

Chaque fabricant a ses secrets de fabrication et il n'est pas question ici de les dévoiler. A une certaine époque, utilisation de mémoires dynamiques plutôt que statiques afin d'empêcher l'analyse du comportement des circuits en basse fréquence. Brouillage des informations en mémoire permanente. Capteurs divers avec réaction en cas de déclenchement de ces capteurs.

Régénération de la fréquence d'horloge en interne et variations aléatoires de la fréquence pour compliquer les synchronisations. Contrôle des tensions d'alimentation. A noter également que l'évolution des technologies rend plus délicates certaines attaques: Néanmoins, jusqu'à présent, les laboratoires d'analyses et les attaquants ont toujours su s'adapter à ces évolutions.

L'image ci-après donne une idée du contenu d'un micro-contrôleur pour carte à puce. Là aussi, les techniques de sécurisation font parties du savoir faire de quelques sociétés et sont conservées confidentielles. La conséquence de ce qui vient d'être exposé est qu'il est illusoire de prendre un composant même certifié, de le programmer n'importe comment et d'espérer qu'il résistera aux attaques.

C'est la raison pour laquelle les composants masqués subissent également une évaluation sécuritaire et qu'en pratique, une carte à puce ou d'ailleurs, n'importe quel composant masqué subit une évaluation sécuritaire pour obtenir à son tour le niveau AVA. En résumé, les fonctionnalités de la carte ne peuvent être sûres que si le concepteur du logiciel a pris soin de programmer sa carte pour qu'avec l'aide du composant, elles puissent globalement résister aux attaques précédemment décrites. La suite est plus classique.

Les fonctionnalités de la plupart des cartes se déclinent de la façon suivante. Le risque spécifique associé à la sécurité du logiciel et qui commence à être bien connu y compris du grand public provient de la difficulté que l'on a à développer des logiciels complexes sans bugs. Or, certains bugs peuvent avoir un impact sur la sécurité. Les premières cartes étaient suffisamment simples pour que l'on puisse analyser le logiciel en profondeur et limiter ce risque.

Avec le temps, les logiciels sont devenus de plus en plus complexes et ce type d'analyse a atteint ses limites. Une façon de le circonscrire serait d'utiliser plus massivement des méthodes de développement sûres, comme les méthodes formelles.

Une société comme Gemalto et avant, Schlumberger a réalisé des cartes en partie développées suivant de telles méthodes mais sans aller jusqu'au bout de la démarche. Ce qui est certain et cela a déjà été évoqué au début de ce document, c'est que le futur enjeu de la sécurité des cartes concernera la maîtrise du développement logiciel ce qui n'est pas gagné. Vouloir mettre un serveur Web dans les cartes à puces comme le proposent certains serait sûrement le meilleur moyen à terme de porter atteinte à la confiance que l'on peut avoir dans ce produit et dans l'industrie associée.

Les différents modes de communication contact, sans contact peuvent être utilisés pour tenter de compromettre les biens de la carte.

Dans certains cas, il peut également être nécessaire d'assurer la disponibilité du canal de communication. Pendant longtemps, on a considéré comme faible le risque d'attaques sur les communications via les contacts. Ainsi, les PIN des cartes étaient présentés en clair entre le lecteur et la carte. C'est encore souvent le cas mais de plus en plus, certaines applications considèrent que ce risque doit être pris en compte et qu'il faut mettre en place des contre-mesures.

C'est le cas, par exemple, pour les cartes bancaires où il est prévu que le PIN puisse être présenté chiffré ou encore, que l'intégrité des informations retournées par la carte vers le lecteur doit être assuré mode CDA en EMV par exemple.

Toutefois, en mode contact, la plupart des attaques nécessitent une intervention sur les lecteurs ou des aménagements sur les cartes elles-mêmes ce qui limite souvent leurs rentabilités ou leurs généralisations.

Les attaques applicables au mode contact sont généralement applicables au mode sans contact mais avec parfois un mode opératoire simplifié ou une plus grande discrétion. De plus, il existe des attaques que l'on peut considérer comme spécifiques au mode sans contact et qu'il est bon de rappeler, ainsi que leurs limites. L'écoute passive consiste à utiliser une antenne adaptée et à tenter de récupérer un signal qui une fois amplifié et démodulé permet de récupérer les données communiquées entre un lecteur et une carte.

La base de ces techniques sont issues de la TSF, c'est-à-dire, de la fin du 19ème siècle ce qui ne nous rajeunit pas…. Les communications entre un lecteur et une carte pourrait être théoriquement écoutées jusqu'à une distance de m.

L'activation consiste à activer une carte sans contact à l'insu du porteur afin de récupérer des informations skimming , voire, pour les cartes bancaires, réaliser des transactions de paiement. Une publication de Ziv Kfir and Avishai Wool de donne quelques indications sur la facilité ou la difficulté pour réaliser une telle activation en laboratoire la carte est correctement positionnée en champ libre, on est en mesure d'avoir des antennes de taille adaptée avec l'alimentation qui convient.

Ces valeurs étaient considérées comme toujours valides en Cette dernière contre-mesure n'était pas disponible sur les cartes en L'objectif est ici de rendre indisponible la carte en brouillant l'environnement électromagnétique afin de perturber les communications. Ces attaques sont théoriquement possibles mais nécessitent des équipements peu discrets, en particulier, si l'équipement ne peut être placé à proximité moins d'un mètre de l'endroit à brouiller. Par ailleurs, cette attaque est assez rapidement identifiable.

Considérons la situation suivante: Cet émulateur est relié à un dispositif de communication en liaison avec celui d'un complice. Ce complice dispose quant à lui d'un matériel d'activation voir paragraphes précédents. Ce matériel d'activation est utilisé pour activer la carte sans contact d'une victime situé a proximité. Ainsi, lorsque vous payez, c'est en fait la carte de la victime qui réalise la transaction. Les mêmes remarques et contre-mesures que celle faites pour l'attaque en activation s'appliquent ici à part que l'attaquant n'a pas besoin d'être un commerçant.

On notera au passage que cette technique d'attaque est encore plus facile à réaliser si vous considérez les paiements par smartphones: Votre émulateur de carte peut être remplacé par un smartphone NFC le relai peut être un logiciel malveillant situé dans le téléphone de la victime. Plus besoin de matériel d'activation. Ce point est un peu plus détaillé dans le cas du paiement HCE. Faut-il développer une carte spécifique ou tenter d'utiliser une carte généraliste déjà largement émise?

Les cartes généralistes visent un large marché et disposent pour ce faire de possibilités variées, que ce soit en terme de gestion mémoire, de cryptographie et de fonctionnalités. Ces cartes ont été les premières à être proposées lorsque le marché était naissant. On a pu leur reprocher d'être mal adaptées à des besoins spécifiques par définition et d'être liées à un industriel donné au début, Bull-CP8, puis Philips-TRT, Schlumberger et Gemplus ce qui n'est pas sécurisant pour les émetteurs.

La carte M4 reste la plus emblématique de cette catégorie. Certaines applications déployées en utilisaient toujours les descendantes de la carte M4. L'intérêt de cette spécification est qu'elle est proposée par les principaux masqueurs du marché ce qui évite aux émetteurs d'être liés à un seul fournisseur. Les cartes applicatives sont maîtrisées par les émetteurs ou leurs représentants. Parfois, il s'agit de cartes proposées par des fournisseurs masqueurs mais sur la base de spécifications ouvertes et libres de droits.

Certains émetteurs ont ressenti le besoin de disposer de leurs propres cartes plutôt que d'utiliser les modèles généralistes proposés par les fabricants. On peut y voir plusieurs raisons:. On peut citer l'exemple du porte-monnaie électronique pour lequel la gestion du solde peut se faire simplement avec quelques fonctions dédiées alors qu'elle nécessite des acrobaties du coté applicatif lorsque l'on utilise des cartes généralistes. Il y a parfois des raisons de performances.

Une raison de sécurité d'approvisionnement: En , elles dépendaient à la fois d'un seul fournisseur pour le masque Bull-CP8 et d'un seul fournisseur pour le composant Motorola. Ainsi, la carte M4 a été également émise par TRT-Bull sous deux références, une reposant sur un composant Motorola à base de , l'autre sur un composant ST à base de Mais les banques restaient tributaires d'un accord qu'elles ne maitrisaient qu'incomplètement.

C'est une des raisons qui ont vue l'apparition du masque bancaire M4B0 devenu B4B0' , très proche du M4 mais propriété des banques. Ce masque a évolué et a été produit jusqu'en par tous les fabricants importants de l'époque. Une raison de sécurité applicative: C'est particulièrement le cas des cartes de télévision à péage. Ce besoin particulier peu nécessiter des développements très spécifiques que les émetteurs ne sont pas prêts à partager avec d'autres.

Ces cartes applicatives ne peuvent être conçues que dans un contexte où l'on est certain de disposer d'un marché suffisant pour amortir leur coût de réalisation. Le juste milieu entre carte applicative et carte généraliste consiste probablement à créer des cartes généralistes intégrant certaines fonctions applicatives parmi les plus utilisées et de permettre l'ajout de certaines fonctionnalités lorsque le besoin s'en fait sentir.

Encore du vocabulaire diront certains. Ce phénomène n'est d'ailleurs pas propre à ce domaine. Pour ceux qui trouveraient vain cette catégorisation, disons tout de suite qu'un grand nombre de projets initiés dans les années ont échoué par ignorance des conséquences qu'entraîne chacun de ces concepts.

Pour illustrer le propos, revenons sur la carte bancaire des années Dans ces années, il était possible d'acheter des jetons de téléphones qui étaient stockés dans la carte bancaire.

Or, les cartes bancaires étaient émises par les banques qui en gardaient la propriété. Une première difficulté organisationnelle consistait donc à cloisonner les secrets de France-Télécom vis-à-vis des banques et ceci, depuis la fabrication jusqu'à la fin de vie de la carte.

Ce n'est déjà pas simple mais ce n'est pas le pire. Les cartes bancaires avaient une durée de validité. En fin de vie, la politique de sécurité de l'époque précisait qu'elles devaient théoriquement être remise à la banque émettrice pour destruction.

Comment gérer cette contradiction? Facile, il suffisait que la banque rembourse les jetons non consommés au porteur et se fasse ensuite rembourser par France-Télécom.

Ceci pose deux problèmes:. Enfin, il restait un dernier problème propre à la technologie de l'époque: A chaque fois qu'un porteur achetait jetons de téléphones destinés à être inscrits dans sa carte bancaire, il consommait de la mémoire qui n'était plus disponible pour les services bancaires.

Le risque était alors de saturer la carte à cause du service de téléphonie. Or, en cas de saturation d'une carte peu importe la raison , les banques devaient fournir une nouvelle carte au porteur sans que celui-ci ait à payer pour cela le porteur n'achète pas une carte bancaire mais l'accès à un service de paiement par carte: Bref, on l'aura compris, la vie commune dans une même carte n'était pas qu'une partie de bonheur.

Les problèmes de propriété du support, de gestion de la vie de la carte entre plusieurs prestataires, de politiques de sécurité incompatibles, etc, ont fait que cette tentative d'émission d'une carte multi-prestataires n'a pas survécu très longtemps.

Malheureusement, cette leçon n'a pas été bien comprise ni même bien identifiée à l'époque et même parfois, jusque dans les années Plusieur projets de cartes multi-services qui ont été imaginés et pour lesquels il y a eu parfois des investissements ne serait-ce qu'en étude ont finis par échouer parce que l'on n'avait pas identifié que derrières certains services se cachaient des prestataires différents ayant des objectifs différents.

Le cas le plus comique que j'ai connu au milieu des années est un projet qui avait bien identifié que la carte devrait être multi-prestataires c'est normal, j'étais alors payé pour spécifier ce projet mais au final, les prestataires ne purent se mettre d'accord sur la position de leurs logos sur le support plastique chartes graphiques incompatibles!.

On mesurera encore la difficulté associée au lancement de cartes multi-prestataires en observant le projet d'offre de service lancé par les opérateurs de téléphonie mobile au milieu des années pour valoriser les cartes USIM des téléphones. L'offre de service est d'héberger toutes sortes de services comme le paiement, la signature électronique, la gestion d'identité sur le support de la carte SIM tout en garantissant le cloisonnement entre tous les prestataires, y compris l'émetteur l'opérateur de téléphonie.

Plusieurs années de discussions et spécifications ont été nécessaires pour arriver à un accord entre les différentes parties en particulier, entre les opérateurs de téléphonie mobile et les banques avant que les premiers projets aboutissent En conclusion, si vous devez lancer ou analyser un projet mettant en oeuvre des cartes ou plus généralement, des éléments sécurisés, identifiez bien l'ensemble des points évoqués précédemment et récapitulés ci-après:.

C'est la monétique qui a initialement permis au marché de la CAM de se développer. Ce développement a démarré en France avec la Télécarte et la carte bancaire. Les utilisations en crédit sont proches à la différence près que le paiement se fait sur une ligne de crédit préétablie et qu'il déclenche une opération de remboursement selon des modalités prédéfinies.

A noter qu'en France, dans le domaine des cartes bancaires, il existe une ambiguïté entre certaines cartes de débit et les cartes de crédit. Certaines cartes de débit proposent en effet un débit différé quelques semaines parfois ce qui est en pratique assimilable à un paiement à crédit gratuit le compte n'est pas débité immédiatement.

Dans le cas présent, la CAM peut servir de simple système d'identification ou peut contenir la preuve qu'un prépaiement d'un certain montant a effectivement eu lieu. Les architectures monétiques mettant en oeuvre ces différentes utilisations peuvent être centralisées ou réparties , en ligne ou hors ligne. Les quelques exemples qui suivent illustrent ces concepts: La carte bancaire CB offre entre autres parfois un service de paiement. Le système a été conçu pour être majoritairement utilisé hors ligne ce qui justifie l'existence d'une intelligence locale au niveau de la carte afin d'améliorer la sécurisation des transactions.

La Télécarte a été une carte en prépaiement, utilisée en mode hors ligne, mémorisant des droits d'accès à usage dédié la téléphonie et s'inscrivant dans une architecture répartie les droits d'accès sont contenus dans les cartes.

Les cartes d'accès conditionnels aux émissions de télévision par satellites sont des cartes en prépaiement mémorisant des droits d'accès à usage dédié des émissions de télévision et s'inscrivant dans une architecture répartie en mode hors ligne.

Ce cas curieux mais pas unique était donc une carte de paiement a usage dédié en postpaiement utilisée en mode en ligne dans une architecture centralisée. Cette catégorisation permet d'intuiter une règle sur ce que l'on doit attendre d'une CAM dans ces applications: C'est dans ce ou ces cas que l'apport de la CAM devient décisif pour limiter la fraude.

Est-ce à dire qu'avec la connectivité croissante à faible coût qui se développe depuis le milieu des années , l'intérêt de la CAM pourrait diminuer? Si nous considérons le cas des portefeuilles électroniques proposés par certaines plateformes de vente sur Internet Amazon, FNAC Pour déclencher une opération de paiement, on peut envisager l'utilisation d'un authentifiant mot de passe avec blocage du compte après quelques tentatives de présentations erronées.

Le niveau de sécurité pour l'authentification est proche de celui que l'on peut avoir avec une CAM surtout si l'on prend soin de chiffrer la communication entre le terminal d'entrée de l'authentifiant ordinateur personnel, ordiphone et le serveur ce qui est normalement le cas. Toutefois, la situation n'est pas aussi rose: Sinon, on prend le risque de se faire voler son authentifiant. Mais surtout, les serveurs mémorisant les portes-monnaie deviennent des cibles très attrayantes pour les attaquants de tout poil.

Et les attaques sur des systèmes centralisés ont généralement des effets systémiques voir les conséquences des attaques concernant les services Play Station Network et Qriocity. Au début des années , certains prévoyaient la fin des cartes bancaires physiques au profit des portes-feuilles électroniques stockés dans l'Internet. Gageons que dans quelques temps, on redécouvrira les vertus d'une certaines décentralisation de la sécurité à travers des éléments sécurisés.

Il ne s'agira peut-être plus de cartes au sens habituel du terme mais ils devraient continuer à être présent sous une forme ou une autre dans nos équipements informatiques. Ce chapitre est un résidu de ce que j'avais écris en sur les applications monétiques de la CAM. Il me semble être toujours d'actualité même si certains exemples ont peut-être vieilli. Il existe un organisme financier qui peut être le commerçant lui-même drainant le montant des prépaiements. Lors de l'achat d'une prestation chez un commerçant, la carte est utilisée comme moyen d'identification et d'accès à l'organisme financier pour vérifier qu'il existe un compte chargé d'un montant suffisant pour le paiement de la prestation.

S'il existe, il est alors débité du montant correspondant. Cette technique est généralement utilisée dans des environnements limités mono-prestataire.

Citons par exemple le paiement dans un restaurant d'entreprise ou dans un organisme de vente par correspondance Sa principale caractéristique est de nécessiter l'utilisation de terminaux de paiements en lignes directement raccordés au serveur monétique qui mémorise les comptes des clients.

La montée en puissance du paiement sur Internet et l'interconnexion globale entre acheteurs et commerçants a re donné une jeunesse à cette approche qui n'était pas très utilisée lorsque les communications longue distance étaient coûteuses.

On peut considérer par exemple que Paypal et ses concurrents entrent dans cette catégorie. Dans ce cas, la carte contient la preuve qu'un prépaiement a effectivement eu lieu et c'est elle qui est débitée du montant de la prestation achetée. Alors que dans les autres techniques, la carte se comportait obligatoirement comme un système d'identification, elle peut ici être complètement anonyme.

La Télécarte de France Télécom en est un bon exemple. Cette technique peut s'avérer extrêmement simple à gérer dans un environnement mono-service.

En effet, dans ce cas, une fois l'argent du prépaiement encaissé, il n'est plus nécessaire de suivre les opérations effectuées avec le support de paiement. En multi-services, il peut être nécessaire de réintroduire un système monétique capable de faire la compensation entre les différents services utilisateurs de la carte si ceux-ci sont financièrement indépendants. C'est le cas en particulier pour des portes-monnaie électronique comme Monéo.

Ce paragraphe traite des différentes façons d'enregistrer la preuve d'un prépaiement dans une CAM et la façon de la débiter. On aura compris qu'il s'agit donc de techniques utilisées dans le cas du prépaiement non centralisé. Lorsque l'on achète un carnet de tickets de métro ou un carnet de timbres , on a échangé une certaine somme d'argent monétaire en une somme d'argent correspondant au coût d'une prestation unitaire pour un service donné les transports urbains ou la poste par exemple.

Au fur et à mesure que l'on utilise ces services, on utilise un ou plusieurs de ces tickets qui vont être marqués comme consommés un trou ou une impression sur les tickets, un coup de tampon encreur sur les timbres. Il n'est en théorie pas possible d'utiliser un même ticket pour payer deux fois la même prestation. A chaque bit est associé un droit d'accès à un service ou une fraction de ce droit. Lorsque l'on achète une prestation de service, un ou plusieurs bits sont mis à 0 selon le montant de l'achat.

Lorsque tous les bits sont à 0, la zone porte-jetons est entièrement dépensée. La Télécarte de France Télécom fonctionnait selon ce principe. Le coût d'achat de la carte correspondait au coût d'un certain nombre de taxes téléphoniques, les taxes non encore consommées étant représentées par un 1 dans la carte. Pour être pleinement efficace, la technique du porte-jeton doit être utilisée lorsque le coût des prestations est un multiple entier de la valeur du jeton et que la plage de variation de ce coût est limitée.

En multi-services avec des coûts de prestation très différents, il est préférable de disposer de plusieurs porte-jetons mais l'avance de trésorerie à consentir par le porteur de la carte est plus importante et l'utilisation de la carte est souvent moins souple.

Cette technique n'est pas adaptée au paiement de prestations d'un coût continûment variable dans la mesure où il est nécessaire que tous les montants soient un multiple de la valeur du jeton. Si le jeton a une valeur trop faible par rapport au coût moyen de la prestation, la consommation de la carte devient excessive. Alors qu'en porte-jetons, la valeur totale du prépaiement contenue dans la carte se fait en additionnant tous les jetons et en multipliant le résultat par la valeur du jeton, on utilise dans le PME un codage plus efficace le binaire par exemple.

Ainsi, pour coder centimes avec comme unité de base le centime, il sera nécessaire de disposer de jetons dans le cas du porte-jetons soit bits alors que 8 bits seront nécessaires en binaire. L'inconvénient de cet avantage concerne le paiement de prestation d'un coût fixe pour lequel le porte-jetons peut devenir plus efficace. Plusieurs techniques d'utilisation de la mémoire de la carte peuvent être envisagées. Celle qui est décrite ci-dessous a été mise en oeuvre dans le cadre d'une application réalisée par SUPELEC en concernant un système d'accès et de paiement pour un restaurant d'entreprise.

Cette application est à ma connaissance une des première ayant proposé un porte-monnaie sécurisé. D'autres méthodes plus ou moins efficaces ont été imaginées avec différents types de cartes.

Pour des applications de grande envergure, il est plus intéressant de créer ou d'utiliser une carte gérant par elle même les fonctions de porte-monnaie. C'est ce qui a été fait pour Monéo et d'autres avant. Les applications les plus typiques ont été:. La justification de l'utilisation de cartes à puces, par rapport à d'autres technologies piste par exemple venait de la capacité à pouvoir réaliser des opérations localement hors ligne avec un niveau de sécurité acceptable à une époque ou les systèmes étaient faiblement interconnectés.

Pour les restaurants d'entreprise ou les cantines scolaires, cette caractéristique s'est au final avérée peu déterminante. Après le lancement de quelques expérimentations, on s'est aperçu qu'en pratique, les systèmes fonctionnaient en ligne et qu'il n'était pas utile d'investir dans une carte à puce coûteuse là ou une carte à piste permettant d'identifier les utilisateurs souvent dans un environnement fermé s'avérait suffisante.

Les seuls cas où une carte à puce pouvaient se justifier était celui des restaurants répartis pour lesquels un consommateur inscrit dans un de ces restaurants pouvaient de temps en temps aller dans un autre.

La carte implémentait alors un porte-monnaie électronique sécurisé utilisable dans les divers restaurants, ceux-ci réalisant après coup une compensation. Une des premières études complète sur l'utilisation de telles cartes fut faite par la société Avant-Garde Informatique pour le compte de la ville de Rennes en Cette étude prenait en compte la quasi totalité des services proposés Crèches, cantines scolaires, accès aux différentes activités sportives avec leur particularités, parking et parcmètres, bibliothèque, services sociaux, transports avec possibilité de sans contact , etc avec leurs particularités en terme de paiement et de flux financiers forfait, jetons, porte-monnaie, autres Maquette de la carte pour une exposition.

Si le projet ne fut au final pas lancé, les résultats de l'étude furent utilisée dans le cadre d'autres projets. L'objectif était de tester trois sortes de puces car on ne savait pas exactement qu'elle était celle qui conviendrait et se comporterait le mieux. Ces expériences furent menées par les banquiers en Les réactions de la clientèle varient nécessairement selon les services offerts par les cartes. Une des contraintes était d'offrir une interbancarité sans concurrence de sorte que la carte baptisée IPSO n'offrait qu'un service minimum.

En fait, ces expérimentations avaient pour objet de démontrer, non seulement la faisabilité, mais surtout la bonne fiabilité des cartes. Sur ce point, il fut possible d'affirmer que la fiabilité du système carte à mémoire était au moins aussi bonne que celle des systèmes utilisant des cartes à piste magnétique dans les mêmes conditions d'usage.

Ceci fut attesté par plusieurs centaines de milliers de transactions effectuées avec un pourcentage d'incidents dus au micro-circuit très faible.

Ce pourcentage était comparable pour les trois constructeurs ce qui renforce encore le caractère de fiabilité puisque les composants font appel à des techniques différentes et que le procédé d'encartage diffère d'un constructeur à l'autre. L'expérience permit également de démontrer la coexistence pacifique entre la puce et la piste.

C'est pourquoi la mixité fut retenue pour la suite des opérations. Au final, c'est la carte Bull qui fut retenue pour la généralisation dans le domaine bancaire. Rétrospectivement, cela paraît logique même si la logique n'a sans doute pas été la seule responsable de ce choix: Les cartes en logique câblées étaient limitées dans leur évolution sauf à les rendre aussi complexes qu'une carte à micro-processeur La carte bi-chip de Philips posait un problème de sécurité puisqu'il était possible d'analyser ce qui passait entre les deux composants Les cartes bancaires M4B0 et B4B0' La carte bancaire à puce est le premier exemple d'utilisation d'une CAM dans le cadre d'une application de grande envergure.

Pour être précis, ces cartes ont commencé à être émises à partir de en Bretagne. Cliquez sur l'image ci-dessous pour voir les articles de presse de l'époque.

La machine de banque et sa petite soeur grand public avec restitution vocale, développées entre et Cette carte utilisa le masque M4 de Bull. B0 B0 pour Banque génération zéro d'après Roland Moréno est la façon dont le GIE-CB a spécifié la syntaxe et la sémantique des informations clés, données, codes contenues dans la carte M4.

Voici en guise d'interlude ce que j'en disais en dans une revue interne de Supélec A noter une erreur dans cet article. Plus tard, la carte M4 fut remplacée par le masque propriétaire B4, offrant une compatibilité ascendante avec le masque M4 mais bénéficiant de fonctionnalités nouvelles gestion des clés, effacement