Finances
Les cartes à puce servent de cartes de crédit ou de guichet automatique, de cartes de carburant, de cartes SIM de téléphone mobile, de cartes d’autorisation pour la télévision payante, de cartes de prépaiement pour les services publics domestiques, de badges d’identification et d’accès de haute sécurité, et de cartes de paiement pour les transports publics et les téléphones publics.
Les cartes à puce peuvent également être utilisées comme portefeuilles électroniques. La puce de la carte à puce peut être « chargée » de fonds pour payer les parcmètres, les distributeurs automatiques ou les commerçants. Des protocoles cryptographiques protègent l’échange d’argent entre la carte à puce et la machine. Aucune connexion à une banque n’est nécessaire. Le détenteur de la carte peut l’utiliser même s’il n’en est pas le propriétaire. Les exemples sont Proton, Geldkarte, Chipknip et Moneo. La Geldkarte allemande est également utilisée pour valider l’âge des clients dans les distributeurs automatiques de cigarettes.
Ce sont les cartes de paiement les plus connues (carte plastique classique) :
- Visa : Visa sans contact, Quick VSDC, « qVSDC », Visa Wave, MSD, payWave
- Mastercard : PayPass Magstripe, PayPass MChip
- American Express : ExpressPay
- Discover : Zip
- Unionpay : QuickPass
Les retraits ont commencé en 2005 aux États-Unis. L’Asie et l’Europe ont suivi en 2006. Les transactions sans contact (sans NIP) couvrent une plage de paiement de ~5 à 50 dollars. Il existe une mise en œuvre de la norme ISO/IEC 14443 PayPass. Certaines implémentations PayPass, mais pas toutes, sont conformes à EMV.
Les cartes non EMV fonctionnent comme des cartes à bande magnétique. Cela est courant aux États-Unis (PayPass Magstripe et Visa MSD). Les cartes ne détiennent ni ne maintiennent le solde du compte. Tout paiement passe sans code PIN, généralement en mode hors ligne. La sécurité d’une telle transaction n’est pas plus grande que celle d’une transaction par carte à bande magnétique.
Les cartes EMV peuvent avoir des interfaces avec ou sans contact. Elles fonctionnent comme s’il s’agissait d’une carte EMV normale avec une interface avec contact. Via l’interface sans contact, elles fonctionnent un peu différemment, dans la mesure où les commandes de la carte ont permis d’activer des fonctionnalités améliorées, telles qu’une puissance plus faible et des temps de transaction plus courts. Les normes EMV prévoient des dispositions pour les communications avec et sans contact. Généralement, les cartes de paiement modernes sont basées sur une technologie de carte hybride et prennent en charge les modes de communication avec et sans contact.
SIMEdit
Les modules d’identité d’abonné utilisés dans les systèmes de téléphonie mobile sont des cartes à puce de taille réduite, utilisant des technologies par ailleurs identiques.
IdentificationEdit
Les cartes à puce peuvent authentifier l’identité. Elles utilisent parfois une infrastructure à clé publique (ICP). La carte stocke un certificat numérique crypté émis par le fournisseur de l’ICP, ainsi que d’autres informations pertinentes. Parmi les exemples, citons la Common Access Card (CAC) du ministère américain de la défense (DoD) et d’autres cartes utilisées par d’autres gouvernements pour leurs citoyens. Si elles incluent des données d’identification biométriques, les cartes peuvent fournir une authentification supérieure à deux ou trois facteurs.
Les cartes intelligentes n’améliorent pas toujours la vie privée, car le sujet peut y porter des informations compromettantes. Les cartes à puce sans contact qui peuvent être lues à l’intérieur d’un portefeuille ou même d’un vêtement simplifient l’authentification ; cependant, les criminels peuvent accéder aux données de ces cartes.
Les cartes à puce cryptographiques sont souvent utilisées pour l’authentification unique. La plupart des cartes à puce avancées comprennent du matériel cryptographique spécialisé qui utilise des algorithmes tels que le RSA et l’algorithme de signature numérique (DSA). Les cartes à puce cryptographiques actuelles génèrent des paires de clés à bord, afin d’éviter le risque d’avoir plus d’une copie de la clé (puisque, par conception, il n’y a généralement pas de moyen d’extraire les clés privées d’une carte à puce). Ces cartes à puce sont principalement utilisées pour les signatures numériques et l’identification sécurisée.
La façon la plus courante d’accéder aux fonctions cryptographiques des cartes à puce sur un ordinateur est d’utiliser une bibliothèque PKCS#11 fournie par un fournisseur. Sur Microsoft Windows, l’API Cryptographic Service Provider (CSP) est également prise en charge.
Les algorithmes cryptographiques les plus utilisés dans les cartes à puce (à l’exclusion de l’algorithme GSM dit « crypto ») sont Triple DES et RSA. Le jeu de clés est généralement chargé (DES) ou généré (RSA) sur la carte au stade de la personnalisation.
Certaines de ces cartes à puce sont également faites pour prendre en charge la norme du National Institute of Standards and Technology (NIST) pour la vérification d’identité personnelle, FIPS 201.
La Turquie a mis en œuvre le premier système de permis de conduire à carte à puce en 1987. La Turquie avait un niveau élevé d’accidents de la route et a décidé de développer et d’utiliser des tachygraphes numériques sur les véhicules lourds, au lieu des dispositifs mécaniques existants, afin de réduire les infractions à la vitesse. Depuis 1987, les permis de conduire professionnels en Turquie sont délivrés sous forme de cartes à puce. Un conducteur professionnel est tenu d’insérer son permis de conduire dans un tachygraphe numérique avant de commencer à conduire. Le tachygraphe enregistre les infractions à la vitesse pour chaque conducteur et fournit un rapport imprimé. Les heures de conduite de chaque conducteur sont également contrôlées et rapportées. En 1990, l’Union européenne a réalisé une étude de faisabilité par l’intermédiaire de BEVAC Consulting Engineers, intitulée « Feasibility study with respect to a European electronic drivers license (based on a smart-card) on behalf of Directorate General VII ». Dans cette étude, le chapitre sept décrit l’expérience de la Turquie.
La province argentine de Mendoza a commencé à utiliser des permis de conduire à carte à puce en 1995. Mendoza avait également un niveau élevé d’accidents de la route, d’infractions au code de la route et un mauvais bilan en matière de recouvrement des amendes. Les permis de conduire à puce contiennent des données actualisées sur les infractions au code de la route et les amendes non payées. Ils contiennent également des informations personnelles, le type et le numéro du permis, ainsi qu’une photographie. Des informations médicales d’urgence telles que le groupe sanguin, les allergies et les données biométriques (empreintes digitales) peuvent être stockées sur la puce si le titulaire le souhaite. Le gouvernement argentin prévoit que ce système permettra de collecter plus de 10 millions de dollars par an en amendes.
En 1999, le Gujarat a été le premier État indien à introduire un système de permis à carte à puce. En 2005, il a délivré 5 millions de permis de conduire à carte à puce à sa population.
En 2002, le gouvernement estonien a commencé à émettre des cartes à puce nommées ID Kaart comme identification primaire pour les citoyens afin de remplacer le passeport habituel dans le cadre d’un usage domestique et européen.En 2010, environ 1 million de cartes à puce ont été émises (la population totale est d’environ 1,3 million) et elles sont largement utilisées pour les opérations bancaires par Internet, l’achat de billets de transport public, l’autorisation sur divers sites Web, etc.
Début 2009, toute la population de la Belgique a reçu des cartes d’identité électroniques qui sont utilisées pour l’identification. Ces cartes contiennent deux certificats : un pour l’authentification et un pour la signature. Cette signature a force de loi. De plus en plus de services en Belgique utilisent l’eID pour l’autorisation.
L’Espagne a commencé à émettre des cartes d’identité nationales (DNI) sous forme de cartes à puce en 2006 et a progressivement remplacé toutes les anciennes par des cartes à puce. L’idée était que beaucoup ou la plupart des actes bureaucratiques puissent être effectués en ligne, mais ce fut un échec car l’administration ne s’est pas adaptée et exige encore majoritairement des documents papier et une présence personnelle.
Le 14 août 2012, les cartes d’identité au Pakistan ont été remplacées. La carte à puce est un document d’identité de troisième génération basé sur une puce et produit selon les normes et exigences internationales. La carte possède plus de 36 caractéristiques de sécurité physique et dispose des derniers codes de cryptage. Cette carte à puce a remplacé la NICOP (la carte d’identité des Pakistanais de l’étranger).
Les cartes à puce peuvent identifier les intervenants d’urgence et leurs compétences. Les cartes de ce type permettent aux premiers intervenants d’éviter la paperasserie organisationnelle et de consacrer plus de temps à la résolution de l’urgence. En 2004, The Smart Card Alliance a exprimé les besoins suivants : « renforcer la sécurité, accroître l’efficacité du gouvernement, réduire la fraude d’identité et protéger la vie privée en établissant une norme obligatoire à l’échelle du gouvernement pour des formes d’identification sûres et fiables ». Le personnel d’intervention d’urgence peut porter ces cartes pour être identifié de manière positive dans les situations d’urgence. WidePoint Corporation, fournisseur de cartes à puce à la FEMA, produit des cartes qui contiennent des informations personnelles supplémentaires, telles que des dossiers médicaux et des ensembles de compétences.
En 2007, l’Open Mobile Alliance (OMA) a proposé une nouvelle norme définissant la V1.0 du Smart Card Web Server (SCWS), un serveur HTTP intégré dans une carte SIM destinée à un utilisateur de smartphone. L’association commerciale à but non lucratif SIMalliance a encouragé le développement et l’adoption du SCWS. SIMalliance affirme que SCWS offre aux utilisateurs finaux une interface familière, indépendante du système d’exploitation et basée sur un navigateur pour accéder à des données SIM personnelles et sécurisées. Au milieu de l’année 2010, SIMalliance n’avait pas signalé d’acceptation généralisée de SCWS par l’industrie. L’OMA a maintenu la norme, approuvant la V1.1 de la norme en mai 2009, et la V1.2 est attendue a été approuvée en octobre 2012.
Les cartes à puce sont également utilisées pour identifier les comptes utilisateurs sur les machines d’arcade.
Transport en communModifier
Les cartes à puce, utilisées comme titres de transport, et la billetterie intégrée sont utilisées par de nombreux opérateurs de transport en commun. Les utilisateurs de ces cartes peuvent également effectuer de petits achats avec ces cartes. Certains opérateurs offrent des points pour l’utilisation, échangés chez les détaillants ou contre d’autres avantages. Citons par exemple le CEPAS de Singapour, le Touch n Go de Malaisie, la carte Presto de l’Ontario, la carte Octopus de Hong Kong, la carte Oyster de Londres, la carte Leap d’Irlande, le MoBIB de Bruxelles, la carte OPUS du Québec, la carte Clipper de San Francisco, l’AT Hop d’Auckland, la carte Go de Brisbane, la SmartRider de Perth, la carte Opal de Sydney et le myki de Victoria. Toutefois, ces cartes présentent un risque pour la vie privée car elles permettent à l’opérateur de transport en commun (et au gouvernement) de suivre les déplacements d’une personne. En Finlande, par exemple, le médiateur chargé de la protection des données a interdit à l’opérateur de transport Helsinki Metropolitan Area Council (YTV) de collecter de telles informations, malgré l’argument de YTV selon lequel le propriétaire de la carte a le droit d’obtenir une liste des voyages payés avec la carte. Auparavant, de telles informations avaient été utilisées dans le cadre de l’enquête sur l’attentat de Myyrmanni.
Le ministère britannique des transports a mandaté des cartes à puce pour gérer les droits de voyage des résidents âgés et handicapés. Ces dispositifs permettent aux résidents d’utiliser les cartes pour autre chose que des abonnements de bus. Ils peuvent également être utilisés pour le taxi et d’autres transports concessionnaires. Le programme « Smartcare go » de l’Ecebs en est un exemple. Les systèmes britanniques utilisent la spécification ITSO Ltd. D’autres systèmes existent au Royaume-Uni, comme les cartes de transport pour une période donnée, les carnets de tickets ou les cartes journalières et les valeurs stockées qui peuvent être utilisées pour payer les trajets. D’autres concessions pour les écoliers, les étudiants et les demandeurs d’emploi sont également soutenues. Celles-ci sont pour la plupart basées sur la spécification ITSO Ltd.
De nombreux schémas de transport intelligents incluent l’utilisation de billets intelligents à bas prix pour les trajets simples, les cartes journalières et les cartes visiteurs. Le métro SPT de Glasgow en est un exemple. Ces billets intelligents sont fabriqués en papier ou en PET, qui est plus fin qu’une carte à puce en PVC, par exemple le support intelligent Confidex. Les billets intelligents peuvent être fournis préimprimés et surimprimés ou imprimés à la demande.
En Suède, à partir de 2018-2019, les cartes à puce ont commencé à être éliminées progressivement et remplacées par des applications pour téléphone intelligent. Les applications téléphoniques ont un coût moindre, du moins pour les opérateurs de transport en commun qui n’ont pas besoin d’équipement électronique (les usagers le fournissent). Les usagers peuvent acheter des billets n’importe où et n’ont pas besoin de charger de l’argent sur des cartes à puce. Les cartes à puce sont toujours utilisées dans un avenir prévisible (à partir de 2019).
Jeux vidéoEdit
Dans les salles de jeux japonaises, les cartes à puce sans contact (généralement appelées « cartes IC ») sont utilisées par les fabricants de jeux comme méthode permettant aux joueurs d’accéder aux fonctionnalités du jeu (à la fois en ligne comme Konami E-Amusement et SEGA ALL.Net et hors ligne) et comme support de mémoire pour sauvegarder la progression du jeu. Selon un scénario au cas par cas, les machines peuvent utiliser une carte spécifique au jeu ou une carte « universelle » utilisable sur plusieurs machines du même fabricant/éditeur. Parmi les plus utilisées, il y a Banapassport de Bandai Namco, e-Amusement Pass de Konami, Aime de SEGA et Nesica de Taito.
En 2018, dans le but de rendre les cartes IC de jeux d’arcade plus conviviales, Konami, Bandai Namco et SEGA se sont mis d’accord sur un système unifié de cartes nommé Amusement IC. Grâce à cet accord, les trois sociétés utilisent désormais un lecteur de carte unifié dans leurs armoires d’arcade, afin que les joueurs puissent utiliser leur carte, qu’il s’agisse d’un Banapassport, d’un e-Amusement Pass ou d’un Aime, avec le matériel et les services d’identification des trois fabricants. Un logo commun pour les cartes IC Amusement a été créé, et celui-ci est désormais affiché sur les cartes compatibles des trois sociétés. En janvier 2019, Taito a annoncé que sa carte Nesica rejoignait également l’accord Amusement IC avec les trois autres sociétés.
Sécurité informatiqueEdit
Les cartes à puce peuvent être utilisées comme jeton de sécurité.
Le navigateur web Firefox de Mozilla peut utiliser des cartes à puce pour stocker des certificats à utiliser dans la navigation web sécurisée.
Certains systèmes de chiffrement de disque, tels que VeraCrypt et BitLocker de Microsoft, peuvent utiliser des cartes à puce pour conserver en toute sécurité les clés de chiffrement, mais aussi pour ajouter une autre couche de chiffrement aux parties critiques du disque sécurisé.
GnuPG, la suite de chiffrement bien connue, prend également en charge le stockage des clés dans une carte à puce.
Les cartes à puce sont également utilisées pour l’authentification unique afin de se connecter aux ordinateurs.
Édition des écoles
Les cartes à puce sont fournies aux étudiants dans certaines écoles et certains collèges. Les utilisations comprennent :
- Le suivi de l’assiduité des élèves
- Comme porte-monnaie électronique, pour payer des articles à la cantine, aux distributeurs automatiques, à la blanchisserie, etc.
- Le suivi et la surveillance des choix alimentaires à la cantine, pour aider l’élève à maintenir un régime alimentaire sain
- Le suivi des emprunts à la bibliothèque de l’école
- Le contrôle d’accès pour l’admission aux bâtiments à accès restreint, aux dortoirs et à d’autres installations. Cette exigence peut être appliquée en tout temps (comme pour un laboratoire contenant des équipements de valeur), ou seulement pendant les périodes après les heures de travail (comme pour un bâtiment académique qui est ouvert pendant les heures de cours, mais restreint au personnel autorisé la nuit), selon les besoins de sécurité.
- Accès aux services de transport
SantéEdit
Les cartes de santé intelligentes peuvent améliorer la sécurité et la confidentialité des informations sur les patients, fournir un support sécurisé pour les dossiers médicaux portables, réduire la fraude dans les soins de santé, prendre en charge de nouveaux processus pour les dossiers médicaux portables, fournir un accès sécurisé aux informations médicales d’urgence, permettre la conformité avec les initiatives gouvernementales (par ex, le don d’organes) et les mandats, et fournir la plate-forme pour mettre en œuvre d’autres applications selon les besoins de l’organisation de soins de santé.
Autres utilisationsModifier
Les cartes intelligentes sont largement utilisées pour chiffrer les flux de télévision numérique. VideoGuard est un exemple spécifique de la façon dont la sécurité des cartes à puce a fonctionné.
Systèmes à usages multiplesEdit
Le gouvernement malaisien promeut MyKad comme un système unique pour toutes les applications de cartes à puce. MyKad a commencé par des cartes d’identité portées par tous les citoyens et les non-ressortissants résidents. Les applications disponibles comprennent désormais l’identité, les documents de voyage, le permis de conduire, les informations de santé, un porte-monnaie électronique, une carte bancaire ATM, le paiement des péages et des transports en commun, et une infrastructure de cryptage à clé publique. Les informations personnelles contenues dans la carte MYKAD peuvent être lues à l’aide de commandes APDU spéciales.