DESS Génie Informatique de Lille
La carte à puce
DESS GI 1999/2000
Jérôme Baumgarten - Nicolas Descamps
mars 2000

Page 2
i
Ce document, réalisé dans le cadre du DESS
G
énie
I
nformatique
de l'
U
niversité des
S
ciences et
T
echnologies de
L
ille, dresse un
aperçu du monde de la carte à puce. Nous avons décidé
d'aborder des thèmes aussi bien généraux que techniques. Ceci
afin de fournir une vision globale de cette technologie « jeune »
et prometteuse. Nous espérons que chaque lecteur y trouvera son
compte.

Page 3
ii
SOMMAIRE
Histoire de la carte à puce ________________________________________________________ 1
Le marché de la carte à puce ______________________________________________________ 1
Les tendances majeures du marché______________________________________________________2
L'Europe__________________________________________________________________________________ 2
L'Amérique du Nord et l'Amérique du Sud. ______________________________________________________ 3
L'Asie et le Pacifique ________________________________________________________________________ 3
L'Afrique _________________________________________________________________________________ 3
Quelques applications_________________________________________________________________4
La sécurisation des accès _____________________________________________________________________ 4
La téléphonie mobile ________________________________________________________________________ 4
Les cartes de paiement _______________________________________________________________________ 5
Un exemple de « Dossier Portable » : la carte Sésame Vitale _________________________________________ 5
La carte multiservices ________________________________________________________________________ 6
Les tendances du marché de la carte à puce_______________________________________________6
Qu'est-ce qu'une carte à puce ? ____________________________________________________ 7
La définition ISO ____________________________________________________________________7
Les composantes essentielles d'une carte à puce.___________________________________________7
La carte plastique ___________________________________________________________________________ 8
Le micromodule ____________________________________________________________________________ 8
Les familles de carte à puce _______________________________________________________ 8
Les cartes à mémoire simple : memory only cards _________________________________________8
Les cartes à mémoire avec logique câblée : memory card with logic___________________________9
Les cartes à microprocesseur CISC 8 bits : microprocessor cards ____________________________9
L'architecture d'une carte à microprocesseur_____________________________________________________ 10
Les cartes sans contact : contactless card________________________________________________10
L'architecture de la carte sans contact __________________________________________________________ 11
Un avantage : la vitesse de transfert ____________________________________________________________ 11
Le lecteur ________________________________________________________________________________ 11
Les cartes « Combi »_________________________________________________________________12
L'avenir, les cartes à microprocesseur RISC pour Java : JavaCard__________________________12
L'architecture de la JavaCard _________________________________________________________________ 12
Les spécifications JavaCard 2.1 _______________________________________________________________ 13
Récapitulatif _______________________________________________________________________13
Le système d'exploitation ________________________________________________________ 13
La mémoire ___________________________________________________________________ 13
Les mémoires non volatiles ___________________________________________________________14
La structure physique de la mémoire ___________________________________________________14
La structure logique de la mémoire ____________________________________________________15
Une arborescence de fichiers _________________________________________________________________ 15
CQL : Card Query Language _________________________________________________________________ 16
Le dialogue Carte / Terminal _____________________________________________________ 16
La connexion _______________________________________________________________________17

Page 4
iii
Le dialogue_________________________________________________________________________17
La session__________________________________________________________________________18
Le cycle de vie d'une carte à puce _________________________________________________ 19
Etape 1 : le développement de l'applicatif _______________________________________________19
Etape 2 : la conception de la puce ______________________________________________________19
Etape 3 : la fabrication de la puce ______________________________________________________19
Etape 4 : l'assemblage de la carte à puce ________________________________________________19
Etape 5 : l'initialisation ______________________________________________________________20
Etape 6 : la personnalisation __________________________________________________________20
Etape 7 : l'utilisation_________________________________________________________________20
Les standards__________________________________________________________________ 22
ISO 7816___________________________________________________________________________22
ISO 10536__________________________________________________________________________22
CEN ______________________________________________________________________________22
EMV ______________________________________________________________________________22
La sécurité ____________________________________________________________________ 23
Une sécurité physique________________________________________________________________23
La mémoire ________________________________________________________________________23
Le système d'exploitation_____________________________________________________________23
Carte à puce et cryptographie _________________________________________________________23
La biométrie _______________________________________________________________________24
L'affaire Serge Humpich _____________________________________________________________24
Terminologie __________________________________________________________________ 25
Bibliographie__________________________________________________________________ 26
Webographie __________________________________________________________________ 26

Page 5
iv
TABLE DES FIGURES
Figure 1 : historique de la carte à puce ______________________________________________________________ 1
Figure 2 : répartition géographique du marché de la carte à puce _________________________________________ 2
Figure 3 : diverses applications de la carte à puce _____________________________________________________ 4
Figure 4 : quelques applications d'une carte multiservices _______________________________________________ 6
Figure 5 : prévision du marché de la carte à puce______________________________________________________ 7
Figure 6 : les composants d'une carte à puce__________________________________________________________ 7
Figure 7 : vue en coupe d'une carte à puce ___________________________________________________________ 8
Figure 8 : micromodule à la norme AFNOR __________________________________________________________ 8
Figure 9 : micromodule à la norme ISO______________________________________________________________ 8
Figure 10 : schéma d'une carte à logique câblée _______________________________________________________ 9
Figure 11 : schéma d'une carte à microprocesseur ____________________________________________________ 10
Figure 12 : schéma d'une carte à microprocesseur évoluée______________________________________________ 10
Figure 13 : schéma d'une carte à puce sans contact ___________________________________________________ 11
Figure 14 : architecture de la JavaCard ____________________________________________________________ 12
Figure 15 : tableau récapitulatif des principales caractéristiques des cartes à puce __________________________ 13
Figure 16 : comparatif EEPROM / FLASH / FeRAM __________________________________________________ 14
Figure 17 : cartographie mémoire simplifiée d'une carte à microprocesseur 8 bits incluant 1024 mots de 32 bits (4096
octets) _______________________________________________________________________________________ 15
Figure 18 : exemple d'une arborescence de fichiers ___________________________________________________ 16
Figure 19 : protocole de communication Carte / Terminal ______________________________________________ 17
Figure 20 : échange d'ordres APDU _______________________________________________________________ 18
Figure 21 : processus de fabrication de la puce et du micromodule _______________________________________ 19
Figure 22 : assemblage de la carte à puce___________________________________________________________ 20
Figure 23 : le cycle de vie d'une carte à puce ________________________________________________________ 21

Page 6
Histoire de la carte à puce
DESS GI 1999/2000
1
mars 2000
Histoire de la carte à puce
Voici un bref historique du développement de la technologie des cartes à puce dans le monde.
1970
Jurgen Dethleff conçoit une carte avec un micro-
circuit. Le professeur Kinitaka Anmura dépose le
brevet au Japon.
1984
En septembre, le cadre de l'utilisation de la
carte à mémoire dépasse les frontières
françaises pour aborder la Norvège, l'Italie et
l'Allemagne.
1974
Roland Moreno brevette mondialement un
système de paiement bancaire électronique. La
carte bancaire est née.
1985
Production des premières cartes à base de
mémoire EEPROM.
Les deux grands réseaux internationaux,
Mastercard et Visa International, s'intéressent à
la carte à mémoire afin d'améliorer la sécurité
et réduire les coûts de transaction.
1975
Création des cartes Mastercard et Visa.
1986
Production en masse de cartes à puce pour les
industries Bancaire et Télécom.
1976
Avancées dans le domaine de la cryptographie
avec la signature électronique de Whitfield
Diffie.
1987
1988
1989
A l'instigation de la France, paraissent succes-
sivement les normes ISO portant sur la carte à
puce.
1977
Michel Ugon, ingénieur Bull, ajoute un
processeur et dépose les brevets. Les cartes
peuvent ainsi bénéficier des dernières avancées
dans le domaine de la cryptographie.
Apparition des DABs.
1988
Début des essais de la carte à puce aux Etats-
Unis.
1978
Le Conseil interministériel du 6 décembre
considère la carte à mémoire comme « une
innovation française digne d'intérêt ».
1990's
Les années 90 voient la carte à puce entrer en
Afrique du Sud, en Russie, au Japon et en
Espagne. C'est le vrai démarrage.
1979
Ray Bright propose le terme SmartCard pour
l'invention française de Roland Moreno.
1993
On estime à 240 millions le nombre de carte à
puce en circulation.
Emergence de l'utilisation d'algorithmes à clé
publique.
1981
Le GIE «
Cartes Bancaires
» effectue les
premiers essais de la carte bancaire.
1994
Mastercard, Visa et Europay s'accordent sur
des standards technologiques pour la carte à
puce.
1982
Les cartes à puce contenant un microprocesseur
et de la mémoire (technologie NMOS et
mémoire EPROM) sont fabriquées par Bull,
Philips et Flonic-Schlumberger.
1995
Plus de 580 millions de cartes à puce sont en
circulation dans plus de 55 pays.
1983
SGS-Thomson réalise la première carte à
mémoire EPROM et combinant circuits
logiques, ROM, RAM et EPROM. Cette carte
est utilisée par l'industrie bancaire et testée par
les PTT.
1996
Plus de 1 milliard de cartes à puce.
Figure 1 : historique de la carte à puce
Le marché de la carte à puce
La carte à puce se diffuse dans le monde entier, avec des rythmes de croissance très contrastés. L'Europe (notamment
la France et l'Allemagne) constitue le premier marché mondial. Néanmoins l'Asie est un marché de plus en plus actif,
avec un pays émergeant de première importance : la Chine. Sur le continent américain, les Amériques centrale et latine
sont les principaux pays utilisateurs de la téléphonie publique. Les Etats-Unis et le Canada restent des marchés à
développer, qui devraient s'ouvrir grâce à Internet et au commerce électronique.

Page 7
Le marché de la carte à puce
DESS GI 1999/2000
2
mars 2000
La carte téléphonique prépayée à puce, lancée par France Télécom au milieu des années 80, est devenue un standard
mondial. Plus de 90 % des grands opérateurs dans le monde l'ont retenue. Dans la téléphonie mobile, le standard GSM,
mis en place au début des années 90, a été un puissant vecteur d'internationalisation. Ce standard, initié dans 17 pays
européens, regroupe aujourd'hui 300 opérateurs à l'échelle mondiale. En 1998, 110 millions de cartes SIM ont été
produites. Dans le monde, les principales applications sont les télécommunications (téléphonie publique, téléphonie
mobile) et le paiement bancaire. Viennent ensuite, la télévision à péage, la fidélisation, la santé et les transports.
En 1996, plus de 1 milliard de cartes étaient en circulation dans le monde. En 2003, 6 milliards de cartes devraient être
diffusées. La couverture mondiale estimée se répartit de la façon suivante :
1997
2002
Europe
70 %
46 %
Amérique
11 %
22 %
Asie / Pacifique
14 %
28 %
Reste du monde
5 %
4 %
Figure 2 : répartition géographique du marché de la carte à puce
Source : Gemplus
Les tendances majeures du marché
L'Europe
La
France
, pays où est né le concept de la carte à puce, est naturellement le premier pays au monde qui a reconnu
l'invention de Roland Moreno, permettant ainsi l'émergence d'une véritable industrie du secteur de la micro-
électronique mondiale. Dans le domaine de la téléphonie publique, plus de 100 millions de télécartes sont, chaque
année, commercialisées par France Télécom. Dans le secteur bancaire, on recense aujourd'hui 30 millions de porteurs
de cartes et dans le secteur de la téléphonie mobile, plus de 20 millions d'abonnés. Le reste du monde a compris
également le potentiel de ce produit simple, sécuritaire et portable. Dès la fin des années 80, les applications de la carte
sont devenues internationales.
La première application, de grande ampleur en
Allemagne
, a concerné le secteur de la téléphonie publique.
Aujourd'hui, 80 millions de cartes téléphoniques sont chaque année commercialisées par l'opérateur Deutsche
Telekom. La deuxième application importante concerne le domaine de la santé. Entre 1992 et 1994, plus de 80 millions
de cartes d'assurance sociale ont été émises, soit une carte par citoyen. Cette carte automatise l'édition des données
administratives des patients par les professionnels de la santé. Enfin, en 1997, le secteur bancaire a lancé le système de
porte-monnaie électronique Geldkarte, distribué à 35 millions d'exemplaires.
En
Espagne,
le porte-monnaie électronique est l'application majeure dans le secteur bancaire. Le programme Visa
Cash a débuté en 1997 avec 4 millions de porteurs de cartes. Dans ce pays, les cartes téléphoniques à puce poursuivent
leur essor. En 1996, 18 millions de cartes ont été émises.
Au
Portugal
, le porte-monnaie électronique est un des plus utilisés en Europe. il a été lancé en 1995 et représente plus
de 3 millions de porteurs.
En
Italie
, le premier projet introduisant les cartes à puce a démarré en 1992. il concerne le secteur bancaire : 1 million
de cartes de paiement ont ainsi été émises en 1997 par Cariplo. Dans le domaine de la téléphonie mobile, ce pays
possède l'un des plus gros marchés au monde : en 1998, on recensait 18 millions d'abonnés.
La
Belgique
a introduit le porte-monnaie électronique Proton. Depuis 1995, 4 millions de cartes ont été émises au
niveau national. Dans le domaine social, les Mutualités belges ont lancé la carte à puce d'identification sociale : dix
millions de cartes ont vu le jour en 1998.
Les années 1990 consacrent l'entrée de la carte à puce au
Royaume-Uni
. Son utilisation concerne les secteurs de
l'énergie (gaz et électricité) et l'eau. Jusqu'alors la consommation de l'énergie se mesurait au moyen d'un compteur à
pièces, par habitant, appelé
slot-machine
. Mais ce système présentait des problèmes liés à la collecte des pièces et à la
fraude. La carte à puce a permis de dépasser ces contraintes, notamment par un contrôle plus fiable de la

Page 8
Le marché de la carte à puce
DESS GI 1999/2000
3
mars 2000
consommation. Dans le domaine bancaire, le porte-monnaie électronique Mondex a été lancé en 1995. Il représentait un
volume d'environ 60 000 cartes en 1998. Le Royaume-Uni est le premier pays européen qui, depuis 2 ans, a émis des
cartes à puce bancaire EMV. Il a adopté aussi le standard GSM. L'opérateur CellNet comptait 8 millions d'abonnés en
1998.
Depuis cinq ans, la
Hongrie
, la
République Tchèque
et la
CEI
ont introduit, avec un rythme de croissance plus lent,
l'utilisation de la carte à puce, principalement grâce au porte-monnaie électronique.
Dans le reste de l'Europe, la carte téléphonique à puce s'est majoritairement imposée, également suivi par la téléphonie
mobile et le porte-monnaie électronique.
L'Amérique du Nord et l'Amérique du Sud.
Les
Etats-Unis
sont le pays qui a montré la plus grande inertie par rapport au développement de la carte à puce. Ce
marché ne représente que 3 % du marché mondial. De plus, la diversité et le nombre important d'opérateurs privés
n'ont pas facilité la conception d'une carte téléphonique unique. Aucune n'est à puce. Ce sont, le plus souvent, des
cartes plastiques prépayées (
call card
) avec un numéro d'appel et un code confidentiel. Toutefois, la sécurisation du
commerce électronique, liée au développement d'Internet, est en passe d'ouvrir une brèche dans le système américain.
Le décollage des Etats-Unis ne se fera donc pas par le biais des cartes téléphoniques à puce comme dans les autres pays
du globe, mais par celui des réseaux d'échange de données. Néanmoins, des applications embryonnaires ont déjà vu le
jour dans le domaine du porte-monnaie électronique en environnement fermé. Dans le monde éducatif par exemple, la
Florida State University a mis en place une application multiservices. Dans le secteur du contrôle d'accès et de la
téléphonie mobile, plusieurs projets limités ont également vu le jour dans quelques régions des Etats-Unis.
Contrairement aux Etats-Unis, des opérateurs télécoms nationaux ont facilité le développement de la téléphonie
publique. Ainsi, le
Mexique
est le plus important émetteur de cartes téléphoniques à puce de la région : en 1998, 100
millions de cartes ont été commercialisées par Telmex.
En Amérique du Sud, des pays comme le
Venezuela
et l'
Argentine
sont devenus des marchés porteurs pour la carte
téléphonique.
L'Asie et le Pacifique
Les asiatiques ont été moins réticents que les américains du nord à l'introduction de la technologie carte à puce sur leur
territoire. On retrouve essentiellement le GSM et le porte-monnaie électronique Visa Cash développé par NETS.
L'Etat de
Singapour
a misé très tôt sur le développement d'infrastructures permettant l'utilisation à grande échelle de
la carte à puce. Ce pays connaît aujourd'hui la plus forte densité de cartes à puce par habitant. En 1998, la Standard
Chartered Bank a lancé la première carte bancaire multiservices basée sur le langage Java, permettant d'effectuer des
transactions électroniques sur Internet de façon sécurisée.
Le
Japon
, la
Thaïlande
, l'
Indonésie
, la
Malaisie
et l'
Australie
sont les principaux pays utilisateurs de cartes à puce.
Il faut aussi accorder une attention particulière à la
Chine
, qui depuis trois ans offre des perspectives gigantesques : 100
millions de cartes téléphoniques ont été produites en 1998. C'est le pays asiatique qui compte aujourd'hui le plus grand
nombre d'abonnés GSM : en 1998, 10 millions de cartes SIM ont été produites.
L'Afrique
L'Afrique s'intéresse à la carte à puce, essentiellement par le biais de la téléphonie publique. L'
Afrique du Sud
et le
Nigeria
sont les principaux utilisateurs de cartes à puce. D'autres pays ont mis en place des applications à petite
échelle : le
Maroc
possède le plus important réseau GSM d'Afrique du Nord avec 100 000 abonnés. La
Tunisie
a opté
aussi pour le GSM depuis 1998 avec plus de 50 000 abonnés et l'
Algérie
a développé, depuis 1996, un site pilote en
publiphonie.

Page 9
Le marché de la carte à puce
DESS GI 1999/2000
4
mars 2000
Quelques applications
Comme évoqué précédemment, la carte à puce intervient dans de nombreuses applications.
Figure 3 : diverses applications de la carte à puce
La sécurisation des accès
Les cartes sont souvent utilisées pour offrir à des lieux (sécurité physique) ou à des systèmes (sécurité logique) la
sécurité qui leur manque. Ces cartes de contrôle offrent aussi des possibilités d'identification du porteur par le système.
La carte est un support parfaitement adapté à ce type d'application car le secret qu'elle porte est parfaitement protégé
par sa sécurité intrinsèque.
La téléphonie mobile
Les cartes à puce ont fait leur apparition dans le monde des mobiles avec le standard numérique européen GSM. Le
sigle GSM, à l'origine, signifie Groupe Spécial Mobile et désigne le groupe de standardisation ETSI qui a élaboré le
standard du réseau de radiotéléphonie numérique européen à 900 Mhz. Ce groupe de standardisation a été initié en
1988 par France Télécom et il était constitué de 5 sous-groupes chargés respectivement des aspects services, des
interfaces radio, du réseau, des transferts de données et de la définition du SIM. Le SIM est la carte à puce qui contient
toutes les données d'abonnement et de service et qui est une partie de la station mobile.
La station mobile (Mobile Station ou MS) est le seul élément visible aux usagers GSM et elle comprend le téléphone
mobile et la carte SIM. Le téléphone mobile est responsable de la gestion de l'interface radio et il est interchangeable
d'un client à l'autre. La carte SIM contient les données spécifiques du client. Elle peut avoir soit le format ISO,
notamment ISO 7816, soit un format plus réduit nommé
plug-in
. L'interface entre la carte SIM et le terminal mobile est
définie précisément dans les spécifications de la norme GSM.
Les fonctionnalités principales de la carte SIM sont liées à la sécurisation de l'accès au service GSM : la présence de
cette clé est vérifiée à chaque transaction ou à chaque appel et, en cas de mauvaise réponse, l'utilisation du téléphone
est impossible. La carte SIM est engagée dans toutes les fonctionnalités de sécurisation du service :
*
l'authentification de l'usager pour interdire l'accès aux personnes non autorisées,
*
le codage des transmissions sur l'interface radio, notamment le codage des conversations des usagers afin
d'assurer la confidentialité des communications.
La carte SIM regroupe la majorité des fonctionnalités de sécurité du mobile : elle mémorise les clefs secrètes et de
codage et elle met en oeuvre les algorithmes d'authentification et de codage. La clé secrète est mémorisée sur la carte
SIM pendant la personnalisation de la carte. La carte SIM ne sert pas seulement à la sécurisation du service GSM mais
aussi à son administration. En effet, le client GSM est identifié par un numéro à 15 chiffres appelé International Mobile
Subscriber Identity (IMSI). Ce numéro, mémorisé par la carte SIM, contient trois parties :
*
le Mobile Country Code (MCC) à 3 chiffres qui identifie le pays d'origine de l'abonnement GSM,
*
le Mobile Network Code (MNC) à 2 chiffres qui, à l'intérieur d'un pays donné, identifie le réseau et par
conséquent l'opérateur à qui appartient l'abonnement,
*
et le Mobile Subscriber Identification Number (MSIN) de 10 chiffres.

Page 10
Le marché de la carte à puce
DESS GI 1999/2000
5
mars 2000
En outre, la carte SIM peut mémoriser beaucoup d'informations, comme le répertoire des numéros des correspondants
du client (Abbreviated Dialling Number ou ADN), des mini-messages de texte (Short Message Services ou SMS). Elle
contient aussi plusieurs informations de caractère plus technique pour garantir la sécurité des applications.
Les cartes de paiement
Une autre application très répandue des cartes à microprocesseur est le paiement électronique. Les cartes de paiement
peuvent être divisées en plusieurs catégories :
*
les cartes de pré-paiement : la carte peut être vendue pré chargée d'unités (c'est le cas par exemple de la carte
téléphonique de France Télécom). Il se peut aussi que la carte soit rechargée au cours de son cycle d'utilisation
(c'est le cas des PME),
*
les cartes de crédit et de débit : ces cartes sont communément nommées cartes bancaires. Avec les cartes de
crédit, les achats sont débités par mensualités avec un taux d'intérêt. Avec les cartes de débit, le compte
bancaire du titulaire est débité quelques jours après l'achat (un bon exemple de carte de débit est la carte bleue
ou CB du GIE « Cartes Bancaires »).
L'intérêt de la monnaie électronique est important. En effet, cette monnaie permet une baisse des liquidités. Ce qui
facilite les traitements, aussi bien pour les banques que pour les commerçants. En résumé, les avantages pour les divers
intervenants sont les suivants :
*
pour la banque : moins de fraude, baisse des liquidités, meilleur contrôle des crédits,
*
pour le commerçant : garantie de paiement par la banque, rapidité d'encaissement sans passer par sa propre
banque, absence de liquidité,
*
pour l'acheteur : facilité et rapidité de paiement, protection contre le vol (grâce aux divers codes).
De plus, la monnaie électronique, de par sa simplicité d'utilisation et sa sécurité, permet le développement rapide de la
vente par correspondance ainsi que du commerce électronique.
Un exemple de « Dossier Portable » : la carte Sésame Vitale
On peut parler de dossier portable pour un objet ou une personne. En effet, pour répondre à des soucis de qualité
croissants, pour faciliter les transactions et les déplacements des objets, la traçabilité de ceux-ci est de plus en plus
souvent assurée par des Tags (ou encore transpondeurs). En ce qui concerne les personnes, on peut citer les cartes
d'étudiants, les dossiers médicaux, les cartes d'assurance maladie comme la carte Sésame Vitale en France.
Intéressons nous plus particulièrement à la carte Sésame Vitale. C'est un défi technologique qui met en place un
système d'information intégré couvrant l'ensemble du système de soins français et ses acteurs. Il a pour objectifs
principaux :
*
de faciliter les relations entre les assurés sociaux, les professionnels de santé et les caisses d'Assurance
Maladie en intégrant un niveau élevé de sécurité,
*
d'offrir à l'assuré un service de qualité par la simplification des démarches administratives et l'accélération
des opérations de remboursement,
*
de participer à la maîtrise médicalisée des dépenses de santé en fiabilisant le recueil des données pour en
faciliter leur analyse.
Un GIP regroupe les professionnels de santé et un GIE les organismes sociaux. Le système repose sur des lecteurs de
carte à puce connectés aux ordinateurs des professionnels de santé équipés des logiciels pour traiter les données. Des
bornes de télé-mise à jour permettent :
*
de consulter le contenu de sa carte d'assuré,
*
d'enregistrer tout changement de situation administrative après envoi des justificatifs à la caisse,
*
d'avoir accès aux services télématiques des caisses d'Assurance Maladie.
Ces bornes sont implantées aux sièges des caisses, dans les centres de prestations, aux points d'accueil et dans les
établissements de soins.
Comment cela fonctionne-t-il ? Prenons un assuré social prénommé Pierre. Pierre donne sa carte Vitale à son médecin.
Celui-ci l'introduit dans le lecteur de carte connecté à son micro-ordinateur. Il connaît ainsi les droits de Pierre. Puis le
médecin, grâce à sa carte à puce de professionnel de santé, s'identifie, crée la feuille de soins électronique et signe ses

Page 11
Le marché de la carte à puce
DESS GI 1999/2000
6
mars 2000
actes. Il rédige parallèlement l'ordonnance permettant la délivrance des médicaments. Par télétransmission, il envoie à
l'organisme de Sécurité Sociale, dont dépend l'assuré, les informations concernant l'acte qu'il vient d'effectuer et qui
figurent sur la feuille de soins électronique. Pratiquement sans délai, en trois ou quatre jours, Pierre sera remboursé des
frais engagés auprès de son médecin.
La carte multiservices
Dans certains secteurs applicatifs (comme les banques ou les télécommunications), la concurrence devient très
importante. La différence ne se fait plus forcément sur les tarifs mais surtout sur les services offerts. Dans cette optique,
les cartes à puce vendues aux clients doivent offrir de plus en plus de possibilités. Une même carte doit donc offrir le
maximum de services. Par exemple, les nouvelles cartes GSM devront offrir des PME intégrés. La réalisation des
applications seules n'est pas un problème. Ce qui en est un est la présence de ces applications sur une même carte. Les
principaux problèmes de ces cartes multiservices sont :
*
le problème de la gestion du contrôle des accès aux données internes de la carte. Quand les applications sont
installées dans la carte par des prestataires différents, chaque application dispose de ses propres données, qui
ne doivent pas être connues par les autres applications (sauf en cas de partage explicite et contrôlé de ces
données),
*
le problème des accès concurrents et simultanés aux données partagées. Prenons l'exemple d'une carte
monétaire qui regrouperait un porte-monnaie électronique et une carte bancaire. Lorsque le montant du PME
est insuffisant pour effectuer un achat, celui-ci est crédité par une application de virement de compte bancaire.
Cela est actuellement impossible : dans les diverses propositions de cartes multi-applicatives, les services sont
cloisonnés, entre autres, pour des besoins de sécurité. Donc aucune coopération n'est prévue entre les
différents services installés sur la carte.
Figure 4 : quelques applications d'une carte multiservices
Les tendances du marché de la carte à puce
Les cartes à puce sont utilisées dans un nombre croissant de domaines qui va sans cesse croissant. Pour mieux analyser
et servir les besoins de leurs clients, les fabricants segmentent leur marché selon une typologie de marchés, mi-
sectorielle, mi-fonctionnelle généralement assez proche de celle qui suit :

Page 12
Qu'est-ce qu'une carte à puce ?
DESS GI 1999/2000
7
mars 2000
Marché (M d'unités)
1997
2003
Croissance CA
Télécartes
684
3270
30 %
GSM
69
760
49 %
Banque
49
690
55 %
Fidélité
22
320
56 %
Santé
16
210
54 %
TV à péage
12
150
52 %
Transport
8
240
77 %
Jeux
2
71
78 %
Contrôle d'accès
10
260
72 %
Identité
2
50
71 %
Tech. de l'information
1
120
142 %
Autres
24
170
38 %
TOTAL
900
6310
38 %
Figure 5 : prévision du marché de la carte à puce
Source : Gemplus
Il est à noter que les chiffres de l'année 1997 diffèrent de ceux émis par Vincent Cordonnier, à savoir 1 milliard de
cartes en 1996. Mais ce qu'il faut retenir de ce tableau est l'évolution générale des divers domaines présentés. La
première application en volume demeure donc aujourd'hui la carte téléphonique. Celles-ci ont encore un bel avenir
devant elles, mais en téléphonie, le segment de la téléphonie mobile connaît une croissance encore supérieure. La
banque représente le deuxième grand gisement de volume et devrait connaître des taux de croissance légèrement
supérieurs à ceux de la téléphonie. Puis vient au classement des volumes, le segment du commerce et des loisirs,
utilisateur de la carte à puce pour des applications de fidélisation de clientèle. Tous les autres segments du marché, de
taille plus modeste, devraient toutefois connaître des taux de croissance annuelle supérieurs à 50 %.
Qu'est-ce qu'une carte à puce ?
La définition ISO
Selon l'ISO, on peut définir la carte à puce comme suit :
une carte plastique de la taille d'une carte de crédit comportant un circuit électronique et
conforme à la norme ISO 7816.
Les composantes essentielles d'une carte à puce.
La carte à puce est composée de trois éléments :
*
une carte plastique,
*
une puce électronique,
*
un (micro)module.
La carte plastique à bords arrondis est au format d'une
carte de crédit traditionnelle (85,6 x 54 x 0,76 mm). Cette
carte possède en incrustation un circuit électronique
miniaturisé. Ce circuit intégré est toujours inférieur à 25
mm
2
et est réalisé en silicium pour les technologies
actuelles. Il se trouve logé sous les contacts d'un
(micro)module qui est parfaitement visible.
Figure 6 : les composants d'une carte à puce
La norme internationale 7816 de l'ISO définit les caractéristiques de la carte à puce.

Page 13
Les familles de carte à puce
DESS GI 1999/2000
8
mars 2000
La carte plastique
Deux principaux types de plastique sont utilisés :
*
le PVC non recyclable mais embossable,
*
l'ABS recyclable mais non embossable.
Le micromodule
Le micromodule est le très mince circuit imprimé logé
dans l'épaisseur de la carte qui accueille les contacts
(visibles) du connecteur sur une face et la puce (non
visible) sur l'autre. La puce est cachée sous les contacts du
micromodule.
Figure 7 : vue en coupe d'une carte à puce
Pour le micromodule, l'affectation des contacts (C1 à C8) varie selon le type de puces :
*
C1 : tension d'alimentation de la carte (Vcc = 5v),
*
C2 : signal de remise à zéro (Raz ou A ou Reset),
*
C3 : signal d'horloge H (Clock ou Clk),
*
C4 : non utilisé ou code fonction (télécarte),
*
C5 : masse électrique (Vss = 0v),
*
C6 : tension de programmation Vpp (écriture),
*
C7 : entrées-sorties (In/Out) série des données,
*
C8 : non utilisé ou contrôle fusible (télécarte).
Le dessin du micromodule constitue d'ailleurs un signe distinctif propre à chaque fabricant.
En fait, on rencontre également 2 types de positionnement des contacts. La norme ISO internationale a été précédée au
niveau français par la norme AFNOR et nombre de cartes bancaires suivent encore ce standard bien qu'il soit en voie
d'extinction.
-------------+-------------
| 8 | 4 |
| | |
+-------\ | /-------+
| 7 +----+----+ 3 |
| | | |
+--------| |--------+
| 6 | | 2 |
| + +----+ |
+-------/ | \-------+
| 5 | 1 |
| | |
-------------+-------------
Figure 8 : micromodule à la norme AFNOR
-------------+-------------
| 1 | 5 |
| | |
+-------\ | /-------+
| 2 +----+ + 6 |
| | | |
+--------| |--------+
| 3 | | 7 |
| +----+----+ |
+-------/ | \-------+
| 4 | 8 |
| | |
-------------+-------------
Figure 9 : micromodule à la norme ISO
Les familles de carte à puce
Toutes les cartes (à contact et sans contact) possèdent des caractéristiques communes :
*
leur dimension d'abord, qui permet de les reconnaître au premier coup d'oeil,
*
la présence d'une mémoire protégée permettant de stocker des données,
*
l'intégration de la mémoire et éventuellement d'un processeur dans un seul circuit électronique,
*
et enfin, l'inscription dans un endroit réservé de la mémoire d'un numéro de série unique et permanent.
Les cartes à mémoire simple : memory only cards

Page 14
Les familles de carte à puce
DESS GI 1999/2000
9
mars 2000
Technologies : EPROM OTP ineffaçable ou EEPROM effaçable et reprogrammable.
Ces cartes sont utilisés comme systèmes permettant de décrémenter des unités stockées au préalable (unités prépayées
pour cabines téléphoniques, parcmètres, ou distributeurs divers par exemple). Ces dispositifs emploient des mémoires
inscriptibles une fois, comportant des cellules élémentaires qui sont rendues inutilisables au fur et à mesure de la
consommation. Elles ne peuvent évidemment pas être reprogrammées par le porteur ou l'utilisateur.
La plus connue est la télécarte bâtie autour du circuit ST 1200 de SGS-Thomson, composant T1G dit de première
génération (1983) qui comporte une mémoire EPROM de 256 bits. Sont également des références courantes : la
GMP256 de Gemplus et la F256 de Schlumberger qui comportent une EPROM de 256 bits, dont une zone de 96 bits
protégée contre l'écriture par destruction d'un fusible à la fin de la personnalisation.
C'est la carte à jetons (token memory card) par excellence utilisée comme carte téléphonique prépayée depuis fin 1983.
Les cartes à mémoire avec logique câblée : memory card with logic
Technologies : EPROM OTP ineffaçable ou EEPROM effaçable et reprogrammable.
La carte comporte un dispositif « câblé » de protection des données procurant un certain niveau de sécurité. Ces cartes
peuvent également être chargées avec une valeur non monétaire (fonction porte-jetons ou porte-monnaie privatifs) ou
des unités de communication grâce à la présence d'une zone mémoire constituée de compteurs. C'est la nouvelle
génération de cartes dites T2G (télécartes de deuxième génération) apparues en 1994. Le SEPT, pour répondre à la
demande d'opérateurs de télécommunications, a ainsi conçu un circuit doté d'une plus grande capacité de comptage et
d'une sécurité améliorée.
Figure 10 : schéma d'une carte à logique câblée
Les cartes à microprocesseur CISC 8 bits : microprocessor cards
L'accès à la mémoire contenant les données est sécurisé par la présence d'un circuit « intelligent », un microprocesseur
8 bits doté de capacités de traitement de données et de calculs complexes (cryptographie). La carte est programmée par
un logiciel enregistré dans la mémoire de programme (qui contient le système d'exploitation et les applications) à
lecture seule ou ROM. Cette flexibilité logicielle apportée par le microprocesseur est un atout considérable. Une
mémoire temporaire de données ou RAM complète le dispositif. Le coeur du système est constitué par une mémoire
EEPROM permettant de gérer des données stockées à l'aide de protocoles sophistiqués rendus possibles par la présence
du microprocesseur.
En raison des contraintes de taille de la puce (25 mm
2
maximum), les capacités mémoires embarquées sont réduites :
*
la ROM (2 à 64 Koctets selon les besoins) contient le système d'exploitation (OS) qui permet de doter la carte
de fonctionnalités évoluées, en particulier dans le domaine de la sécurité,
*
la RAM couramment de 256 octets est uniquement utilisée par le microprocesseur et n'est pas accessible de
l'extérieur ; c'est une mémoire de travail volatile. Sa taille varie de 128 octets à 2 Koctets en fonction de la
taille disponible sur le module et du coût du composant.
*
la mémoire programmable EPROM ou EEPROM sert à stocker avec une capacité de 1 à 64 Koctets, les
données accessibles par les dispositifs extérieurs sous le contrôle du microprocesseur.
Les cartes à microprocesseur sont destinées aux marchés visés par la fraude. Le domaine bancaire et celui des
télécommunications en constituent naturellement deux débouchés privilégiés. Elles conviennent aux applications
ambitieuses nécessitant plusieurs zones de travail ayant des modes d'accès à définir : carte santé, contrôle d'accès
mono ou multiservices...
logique câblée
EEPROM

Page 15
Les familles de carte à puce
DESS GI 1999/2000
10
mars 2000
Le microprocesseur intégré permet d'exécuter une gamme d'instructions variées :
*
élémentaires : lecture, écriture ou effacement d'octets ou de mots (32 bits),
*
sécuritaires : présentation de codes ou de clés, génération de nombres aléatoires, calculs de certificats,
invalidation de fichiers ou de blocs.
L'architecture d'une carte à microprocesseur
Figure 11 : schéma d'une carte à microprocesseur
En ce qui concerne le port d'Entrées / Sorties, il s'agit d'un port de communication série bidirectionnel, qui peut
recevoir des commandes du monde extérieur, et envoyer les réponses en alternance. La vitesse de transmission
classique à 9600 bits/s est maintenant largement dépassée par des cartes pouvant communiquer à 115 Kbits/s.
Figure 12 : schéma d'une carte à microprocesseur évoluée
Le bloc de sécurité permet de résister aux attaques physiques. Les cartes à microprocesseur sont munies de détecteurs
physiques (lumière, tension, fréquences...) qui provoquent un blocage complet de la carte en cas de condition anormale
de fonctionnement. Ce bloc de sécurité participe (avec les tests d'accès logique à la carte et l'aspect monolithique du
microcontrôleur) à la sécurité inégalée des cartes à microprocesseur.
Les cartes sans contact : contactless card
Ces cartes à la différence des précédentes contiennent des circuits spécialisés utilisés également dans le domaine des
transpondeurs qui leur permettent de travailler sans contact mécanique et même sans application directe d'alimentation.
Une antenne bobinée dans la carte reçoit l'énergie radio-fréquence transmise par un lecteur de carte via la porteuse. La
carte possède, après l'antenne, un circuit d'accord et de redressement qui permet une alimentation continue (3 volts) à
partir de l'alternatif, pour piloter les quelques échanges de données.
ROM
MCU
RAM
I/O
TIMERS
EEPROM
CPU
RAM
ROM
EEPROM
8 BIT CPU
ACCESS CONTROL MATRIX
BUS
SERIAL I/O
MAP
SECURITY LOGIC
Operating Condition Detectors

Page 16
Les familles de carte à puce
DESS GI 1999/2000
11
mars 2000
L'architecture de la carte sans contact
Une carte à puce sans contact contient :
*
une partie classique mémoires (ROM, RAM,
EEPROM) et une unité centrale de traitement
(microprocesseur),
*
une interface radio-fréquence permettant la
récupération des données modulées dans la
porteuse et différents dispositifs gérant par
exemple les conflits entre cartes arrivant dans le
champ d'un lecteur.
Figure 13 : schéma d'une carte à puce sans contact
Un avantage : la vitesse de transfert
Un avantage particulier de cette technologie concerne la rapidité des transactions réalisées. On comparera les temps
indiqués ci-après, au temps nécessaire au traitement d'un ticket magnétique traditionnel dans un système de transport,
soit 1,5 seconde. Plusieurs standards sont en compétition dans cette technologie. Un double consensus émerge toutefois
sur la fréquence de porteuse utilisée :
*
13,56 MHz pour le péage,
*
125 KHz pour le contrôle d'accès.
La communication entre le lecteur et la carte s'opère respectivement jusqu'à des distances de 10 cm pour la première
fréquence et jusqu'à quelques mètres pour la deuxième. Une transaction typique sans contact consiste à :
*
identifier la carte pendant 3 ms,
*
lire 6 blocs de données en 6 x 2,5 = 15 ms,
*
écrire et vérifier 2 blocs de données 18 ms.
Le transfert intervient à 106 (voire plus) kilobits par seconde et se fait en moins de 100 ms. L'utilisation d'un code
correcteur d'erreur termine la communication et garantit l'intégrité des données.
Le lecteur
La technologie sans contact nécessite la mise en place, au niveau du lecteur, d'un dispositif chargé de la gestion des
collisions qui garantisse qu'une transaction démarrée avec une carte détectée dans le champ du lecteur se termine avec
celle-ci. Le module sélection, qui lui est associée, permet justement de sélectionner une carte parmi les
n
qui se
présentent et d'engager le dialogue avec elle.
Le lecteur contient une antenne (une boucle en fait) invisible permettant d'émettre les informations vers la carte et de
recevoir les informations de la carte. Du terminal vers la carte, c'est une modulation d'amplitude qui est utilisée, tandis
que c'est une modulation de charge dans le sens carte ! terminal.
La possibilité d'interférences éventuelles entre la carte et le terminal oblige à une plus grande sécurisation et un plus
grand contrôle (appelé contrôle d'intégrité) des échanges de données. une authentification mutuelle est d'ailleurs
automatiquement réalisée pour garantir la loyauté des échanges réalisés.

Page 17
Les familles de carte à puce
DESS GI 1999/2000
12
mars 2000
Les cartes « Combi »
Les experts du marché de la carte à puce prévoient que la nouvelle génération de cartes combicartes intégrera les deux
technologies permettant à chaque carte de travailler avec n'importe quel type de lecteur (à contact ou sans contact). Il
existe deux organisations possibles des combicartes :
*
cartes combinées dont la mémoire est partagée en deux compartiments dissociés : une partie réservée aux
applications à contact et l'autre aux applications sans contact,
*
cartes intégrées disposant d'une double interface gérée par le microprocesseur.
L'avenir, les cartes à microprocesseur RISC pour Java : JavaCard
Les cartes décrites précédemment évoluent dans un monde clos : celui des applications pour lesquelles elles sont
conçues, un monde où une application est installée définitivement sur la carte. La révolution apportée par le langage
Java consiste à ne pas affecter à une carte une tâche précise et immuable, avec en plus la possibilité de faire coexister
plusieurs applications. Les potentialités de cette nouvelle carte à puce sont tellement considérables que même les Etats-
Unis vont regarder avec intérêt cet objet portable dont l'absence d'ouverture freinait le développement. On peut
résumer les avantages de cette technologie émergente et prometteuse comme suit :
*
un langage universel,
*
un langage indépendant des couches de base :
*
Java est totalement indépendant de la plate-forme matérielle ; l'interpréteur assure une réelle
indépendance par rapport au matériel,
*
l'interpréteur, greffé sur l'OS, non standardisé, permet le jeu de la concurrence au niveau de cet OS,
*
la sécurité :
*
sécurité offerte de facto par le langage orienté objet de haut niveau (gestion simplifiée de la mémoire, pas
d'allocation explicite de zone mémoire),
*
garantie de pare-feu entre les applications,
*
séparation entre l'application et l'OS :
*
l'OS est garant des accès aux données sensibles (gestion des codes et des secrets),
*
l'application n'agit qu'au travers des API définies,
*
téléchargement sécurisé des applications grâce à des mécanismes de signature et de cryptage,
*
les cardlets (applets Java pour carte à puce) n'ont accès qu'à leur propre mémoire,
*
ouverture :
*
les applications peuvent être téléchargées ou supprimées dynamiquement,
*
ouverture aux développeurs Java,
*
flexibilité :
*
applications évolutives et modifiables : mise à jour possible après la mise en service de la carte
*
carte réellement multi-applications
L'architecture de la JavaCard
APP
LIC
ATI
ONS
JavaCard API
Machine Virtuelle Java (JVM)
Mémoire
non
volatile
Système d'exploitation
ROM
Hardware
Figure 14 : architecture de la JavaCard

Page 18
Le système d'exploitation
DESS GI 1999/2000
13
mars 2000
Les spécifications JavaCard 2.1
Les spécifications de la version Java pour les cartes à puce ont été définies par Sun en trois étapes. La version la plus
élaborée, sortie début 1999, se nomme JavaCard 2.1. Celles-ci imposent une capacité mémoire minimum de 24 Koctets
de ROM pour contenir la machine virtuelle Java et les interfaces de programmation (API), 16 Koctets de mémoire
EEPROM ou FLASH où télécharger les cardlets et 512 octets de RAM, ce qui constitue un environnement très réduit à
l'échelle du monde Java. Les contraintes imposées limitent le nombre et la complexité des cardlets qui peuvent être
chargées.
Récapitulatif
Le tableau récapitulatif suivant reprend les principales caractéristiques des cartes actuellement disponibles sur le
marché :
Carte à mémoire
Carte à
microprocesseur
Carte Java
Carte sans contact Carte Combi
Capacité Mémoire
en Kilobits
0,256 à 2
8 à 512
32 à 256
2 à 8
8 à 16
Présence d'un
Microprocesseur
non
CISC 8 bits
RISC 16/32 bits
CISC 8 bits
CISC 8 bits
Cryptographie
embarquée
seulement T2G
DES et RSA
toutes les
possibilités selon
microprocesseur
triple DES
triple DES
Taille de la puce
en mm
2
1 à 2
10 à 20
25
25
25
Prix indicatif ( )
0,5
5
15
6
20
Figure 15 : tableau récapitulatif des principales caractéristiques des cartes à puce
Le système d'exploitation
Le système d'exploitation COS (Chip or Card Operating System) ou masque est doté des fonctionnalités qui permettent
la mise en oeuvre des opérations suivantes :
*
gestion des Entrées / Sorties,
*
organisation de la réponse au Reset,
*
organisation de la mémoire en zones de travail avec gestion des codes confidentiels,
*
gestion des autorisations d'accès (codes confidentiels) en lecture et en écriture au niveau de chaque zone,
*
chargements éventuels de sous-programmes spécifiques lors de la personnalisation ou pendant la durée
d'utilisation de la carte.
La mémoire
La mémoire de stockage des données contient plusieurs systèmes de protection :
*
zones protégées en écriture et lecture par un code secret émetteur après personnalisation,
*
zones protégées en écriture et lecture par un ou plusieurs codes secrets porteurs (ou applications) souvent
appelés PIN,
*
blocage après présentation de codes erronés avec possibilité de réhabilitation par l'émetteur (possibilités de
codes de substitution),
*
mise en oeuvre d'algorithmes cryptographiques pour la sécurité des transferts de données.

Page 19
La mémoire
DESS GI 1999/2000
14
mars 2000
Les mémoires non volatiles
Le type et la quantité de mémoire non volatile disponible pour les données et les programmes de la carte, sont en pleine
évolution. Ainsi, l'EEPROM, qui était utilisée dans la plupart des cartes, est progressivement remplacée par de la
mémoire FLASH. Une autre technologie, la FeRAM pour RAM Ferro électrique, est en train d'apparaître. Les
avantages et les inconvénients de ces trois techniques sont explicités dans le tableau suivant :
EEPROM
FLASH
FeRAM
Temps d'accès en lecture
150 ns
150 ns
100 ns
Temps d'écriture
5 ms
10
µ
s
400 ns
Temps d'effacement
5 ms
100 ms
sans
Granularité de l'écriture
1 à 4 octets
64 / 128 octets
sans
Nombre de cycles garantis
10
5
(écriture)
10
5
(écriture)
10
10
(lecture / écriture)
Taille d'un point mémoire
> 30
µ
m
2
< 10
µ
m
2
< 10
µ
m
2
Figure 16 : comparatif EEPROM / FLASH / FeRAM
Le principal défaut de la mémoire EEPROM est la taille du point mémoire. En effet, sur une même surface, on met
trois fois plus de mémoire FLASH ou de FeRAM que d'EEPROM. A l'inverse, la principale qualité de la mémoire
FLASH est donc d'occuper moins de place que la mémoire EEPROM. Ceci a permis de doubler la taille de la mémoire
non volatile, et donner plus de place pour étendre la RAM. Cependant la mémoire FLASH pose des problèmes de
granularité d'accès en écriture. Ainsi, pour écrire 1 octet en mémoire FLASH, il faut effacer, puis réécrire tout le banc
mémoire contenant l'octet (à savoir 64 ou 128 octets suivant les types d'architectures).
Les nouvelles mémoires à base de composants Ferro électriques marquent, elles aussi, une avancée non négligeable. En
effet, en plus d'une taille de point mémoire sensiblement identique à celle de la mémoire FLASH, ces mémoires offrent
une granularité d'accès excellente (identique à l'EEPROM). Elles offrent aussi une rapidité d'écriture sensiblement
équivalente à la RAM classique (elle ne nécessite pas d'effacement avant l'écriture de nouveaux mots). Le principal
défaut de ce type de mémoire est que la lecture d'une zone provoque l'effacement de celle-ci (ce qui impose une
réécriture immédiate après la lecture). Cette technique est un bon compromis pour augmenter la taille des mémoires des
cartes, avec moins de contraintes que les mémoires FLASH. Cependant, cette mémoire ne peut pas être utilisée comme
mémoire de programme, car l'exécution du code stocké dans cette mémoire entraîne son effacement.
La structure physique de la mémoire
Intéressons nous maintenant à un exemple de configuration d'une mémoire EEPROM, place forte et centre névralgique
des données contenues dans une carte à microprocesseur. Sachant que celle-ci se présente comme un ensemble ordonné
de cellules ou de mots (ici de 32 bits) contenant l'information, l'accès à cette information est possible grâce à
l'étiquetage des cellules par une adresse (numéro d'ordre) représentée à l'aide d'un nombre codé en hexadécimal. Cette
association d'un champ d'adresses et d'un contenu mémoire constitue la cartographie mémoire de la carte.

Page 20
La mémoire
DESS GI 1999/2000
15
mars 2000
Numéro d'identification carte
ZONE FABRICANT
Clé de fabrication
Référence Emetteur
Champs secret Emetteur
ZONE REFERENCES
EMETTEUR
Code Emetteur
Code Porteur 1
ZONE
Code Porteur 2
CODES
Code Porteur...
PORTEURS
Code de substitution
(APPLICATIONS)
Paramètres associés aux codes
Stockages d'indicateurs de contrôle
ZONE CONTROLE
Zone de travail 1
Zone de travail 2
ZONE DE TRAVAIL
DES APPLICATIONS
Zone de travail...
Table d'allocation des Zones de travail
STOCKAGE
DE PARAMETRES
SUR LES ZONES
Zone des Verrous
ETAT CARTE
Figure 17 : cartographie mémoire simplifiée d'une carte à microprocesseur 8 bits incluant 1024 mots de 32 bits
(4096 octets)
On distingue, dans cette cartographie, les zones typiques presque toujours présentes : zone réservée au fabricant, zone
de l'émetteur, zone de stockage des différents codes associés aux applications (cas du multi-applicatif), zone de travail
réservée à chaque application, zone de verrous qui permet, en la scrutant, de connaître l'état de la carte.
La structure logique de la mémoire
La mémoire d'une carte à puce pouvant être lue et écrite à volonté, on peut se demander comment structurer cet espace
mémoire et l'utiliser.
Une approche simpliste est de considérer la mémoire de la carte comme un seul fichier, ou un espace mémoire d'un
bloc, que le programmeur de l'application emploiera comme bon lui semble. Dans le cas de carte sans processeur, c'est
d'ailleurs la seule façon de faire.
Si deux applications veulent partager une même carte, elles sont donc condamnées à utiliser des parties différentes de la
mémoire. De plus il n'est pas possible d'empêcher une application de corrompre les données d'une autre application.
Pour cette raison, il est préférable d'utiliser la carte à microprocesseur.
Dans le cas des cartes à microprocesseur, opérant avec un OS, on peut envisager des structures de données plus
complexes.
Une arborescence de fichiers

Page 21
Le dialogue Carte / Terminal
DESS GI 1999/2000
16
mars 2000
On peut en général voir la structure de ces cartes d'une
façon similaire à un système de fichiers DOS, divisée en
fichiers et répertoires. La norme ISO 7816-4 définit entre
autres une structure de ce genre, mais de façon assez
souple. Une terminologie spécifique est utilisée :
*
EF : Elementary File ­ fichier de données,
*
DF : Dedicated File ­ répertoire,
*
MF : Master File ­ répertoire de base.
Figure 18 : exemple d'une arborescence de fichiers
Au sein des fichiers, les données peuvent être organisées en enregistrements de tailles fixes ou variables. Dans de
nombreux cas, tel que le multimédia, l'information véhiculée n'est pas interprétable directement par la carte à puce. Ces
données doivent être gérées et transmises. Afin de faciliter cela, il est utile de définir un système permettant la gestion
uniforme de ces données. Le système dominant actuellement le marché est ASN.1 dans le cadre de la réglementation
« Open Systems Interconnection ». Cette approche permet, entre autres, de mélanger plusieurs types de données au sein
d'un même fichier, qui peut ensuite être relu, même s'il contient des parties incompréhensibles. Les échanges de
données complexes sont ainsi facilités.
CQL : Card Query Language
La carte CQL, qui est basée sur des travaux menée à RD2P adopte les concepts de SBBD et utilise des commandes
SQL. Cette carte a été améliorée et industrialisée par la société Gemplus en 1993.
Cette carte peut être vue comme un serveur individuel portable de données, dont la première caractéristique est de
contenir plusieurs tables SQL et un moteur de SGBD résidant en ROM. Les requêtes possibles sont : SELECT,
CREATE TABLE, DROP TABLE, INSERT, DELETE, UPDATE, DECLARE CURSOR, FETCH. Il est aussi possible
de définir différentes vues sur une table (CREATE VIEW, DROP VIEW). Enfin on dispose de tables systèmes.
De plus, la carte CQL est un serveur de données très sécurisé. En effet, en plus de la sécurité intrinsèque des cartes à
microprocesseur, la carte CQL dispose d'une schéma de sécurité très évolué, avec 3 niveaux utilisateur (l'émetteur, les
gestionnaires d'applications et les utilisateurs). Ainsi, un type utilisateur créant un objet en est l'unique propriétaire et
lui seul peut effectuer des traitements sur cet objet. La carte CQL est également munie de fonctions de contrôle d'accès
et de maintien de l'atomicité :
*
contrôle d'accès : les accès des utilisateurs à la carte peuvent être sécurisés sur deux niveaux différents. On
peut soit simplement demander un mot de passe, soit utiliser une double authentification qui repose sur un
algorithme de cryptographie à clé secrète (exemple DES),
*
le maintien de l'atomicité : pour la première fois dans une carte à microprocesseur, il est possible de rendre
indivisibles des actions exécutées dans le cadre d'une transaction. Ceci a nécessité l'implantation de trois
ordres à l'intérieur de la carte (BEGIN TRANSACTION, COMMIT, ROLLBACK). De par la taille du buffer
utilisé, la taille maximale de la transaction CQL est de cinq modifications (insert, erase ou update). Ces ordres
implantent un protocole de validation à une phase.
Une nouvelle évolution de la carte CQL est en cours de développement. Le but de ces nouveaux travaux est de faire
effectuer automatiquement des traitements à la carte, sans que le porteur ne le décide explicitement (par réaction à une
donnée modifiée par exemple).
Le dialogue Carte / Terminal
Lors de sa phase d'utilisation, une carte à microprocesseur subit des cycles de trois étapes :
*
l'insertion de la carte,
*
l'exécution de commandes,
*
la déconnexion.
Ces trois étapes constituent une
connexion
.

Page 22
Le dialogue Carte / Terminal
DESS GI 1999/2000
17
mars 2000
Lorsque la carte est insérée, elle se trouve de nouveau alimentée en énergie et est réinitialisée. La seconde phase
consiste en la réception d'une commande sur le port d'entrée / sortie et à l'exécution de celle-ci. Cette phase peut être
renouvelée autant de fois que nécessaire pour la bonne fin de l'application. La troisième phase correspond à une
coupure franche de l'alimentation électrique de la carte. Elle se retrouve alors dans l'impossibilité de faire quoi que ce
soit. Seules les deux premières phases de la connexion permettent d'agir sur le contenu de la carte.
Figure 19 : protocole de communication Carte / Terminal
La connexion
La connexion d'une carte dans le terminal représente toutes les actions effectuées entre le moment où la carte est
insérée dans le terminal et le moment où elle en est retirée.
Lorsque la carte est connectée dans un terminal, elle effectue une suite d'actions pour tester son état, puis elle émet une
suite d'octets appelée « Réponse à la remise à zéro » (aussi appelée ATR pour Answer To Reset). Cette réponse est
normalisée. L'ATR est composée de 33 octets maximum, qui sont répartis en cinq champs. Le premier spécifie les
conventions de codage des octets de données et le second indique le protocole de communication utilisé par la carte
ainsi que la taille de l'ATR.
La fin de la connexion Carte / Terminal est marquée par le retrait de la carte du lecteur (appelé arrachement). Dans un
usage normal, le porteur est informé par l'interface du lecteur que la connexion est terminée et qu'il peut retirer sa
carte. Il arrive également que la carte soit complètement « avalée » par le lecteur et restituée par ce dernier au terme de
la connexion. Dans les deux cas, l'arrachement de la carte ne doit pas poser de problème. Cependant, un arrachement
intempestif par erreur (distraction, impatience) ou volontaire (tentative de fraude) représente une situation
suffisamment fréquente pour être prise en compte en tant qu'événement habituel.
Le dialogue
La communication entre la carte et le terminal s'effectue selon des protocoles de communication normalisés. Comme
nous l'avons vu précédemment, le choix de ce protocole se fait dans l'ATR et est donc défini par la carte. Les différents
protocoles varient peu sur leur principe de fonctionnement. Ces protocoles définissent les ordres que l'on peut envoyer
à la carte (ordres entrants), ainsi que les ordres qui demandent des données de la carte (ordres sortants). Toutes les
communications entre la carte et le lecteur se terminent par l'envoi de deux mots d'état, soit pour signaler que l'ordre a
bien été exécuté (ordre entrant), soit pour dire que toutes les données ont été transmises (ordre sortant). La demande
provient toujours du lecteur : la carte ne peut pas émettre de requête, elle peut juste répondre à un ordre du lecteur. Elle
est donc considérée comme passive. Le format des ordres est normalisé ; les commandes sont appelées commandes
APDU.

Page 23
Le dialogue Carte / Terminal
DESS GI 1999/2000
18
mars 2000
Figure 20 : échange d'ordres APDU
Le fonctionnement des ordres entrants et sortants est le suivant :
*
les ordres entrants : lors d'un ordre entrant, la carte commence par accuser réception de l'ordre reçu, puis elle
se met en attente des données. Une fois les données reçues, la carte commence l'exécution de l'ordre. A la fin
du travail, la carte envoie les deux mots d'état (notés SW1 et SW2 pour Status Word) au terminal (si tout s'est
bien déroulé, ces mots valent 90 00),
*
les ordres sortants : lors d'un ordre sortant, la carte accuse réception de l'ordre reçu, puis elle commence
aussitôt l'exécution de la méthode correspondante (l'exécution commence dès que la routine d'E/S de
communication est achevée). A la fin de cette exécution, la carte envoie le résultat de son travail au terminal.
Après cela, elle envoie ses mots d'état.
Ces protocoles sont donc relativement limités, et montrent que la carte à microprocesseur a été conçue comme un
serveur de données. Cependant, ces protocoles de communication ne doivent être vus que comme la couche de
transport des requêtes du terminal vers la carte. Si l'on se réfère à un réseau développé, les protocoles de
communication Carte / Terminal sont au même niveau que le protocole TCP / IP pour les communications sur le réseau
Internet.
La session
La notion de session représente l'ensemble des ordres APDU nécessaires au traitement d'un service rendu par la carte.
Jusqu'à il y a peu de temps, les cartes étaient monoservices. La session était donc synonyme de durée de connexion.
Comme maintenant les nouvelles cartes peuvent rendre plusieurs services sur une même connexion, une connexion
peut être constituée de plusieurs sessions, elles-mêmes constituées de plusieurs ordres APDU. Actuellement, les cartes
les plus évoluées ne peuvent participer qu'à une seule session active à la fois.

Page 24
Le cycle de vie d'une carte à puce
DESS GI 1999/2000
19
mars 2000
Le cycle de vie d'une carte à puce
Sept étapes jalonnent la vie d'une carte à puce avant son utilisation par le porteur.
Etape 1 : le développement de l'applicatif
La première phase consiste au développement de l'applicatif de la carte à puce et à la spécification des informations
nécessaires à la pré-personnalisation.
Etape 2 : la conception de la puce
La puce est conçue lors de cette seconde phase, ainsi que les logiciels dédiés à celle-ci. Le concepteur fournit des
informations et des logiciels aux développeurs chargés de la précédente phase. A partir du schéma de conception de la
puce, des logiciels dédiés et de l'applicatif, le concepteur réalise la « database construction » qui va servir à la
fabrication du photomasque de la puce.
Etape 3 : la fabrication de la puce
Cette phase consiste en la fabrication de la puce, du micromodule et de leur assemblage.
Figure 21 : processus de fabrication de la puce et du micromodule
Etape 4 : l'assemblage de la carte à puce
Lors de cette quatrième phase, l'assemblage de la carte plastique et du micromodule est réalisé. La pré-personnalisation
de la carte est aussi effectuée. Le fabricant inscrit, dans la mémoire encore vierge, des informations définitives : numéro
de série et références de l'émetteur (
issuer
), entité juridique propriétaire de l'application, ainsi q'un code fabriquant
(Manufacturer Secret Code) pour préserver la carte en cas de vol. Ce code de protection permet de bloquer l'accès à la
carte qui devient muette.

Page 25
Le cycle de vie d'une carte à puce
DESS GI 1999/2000
20
mars 2000
Figure 22 : assemblage de la carte à puce
Etape 5 : l'initialisation
Elle correspond à l'écriture dans la mémoire de données spécifiques propres à l'application dans laquelle la carte va
s'insérer. A ce stade, la mémoire va être organisée et répartie entre les différents besoins. Les codes secrets sont créés
(le code émetteur qui remplace le code fabricant et les codes porteurs qui doivent disposer chacun d'une zone qui leur
est réservée). Les zones de travail sont également définies et repérées par des indicateurs représentatifs de leur mode de
fonctionnement : lecture seule, lecture / écriture...
Etape 6 : la personnalisation
Cette étape est dédiée à l'adaptation au porteur final de la carte (
cardholder
). La personnalisation peut s'envisager sous
deux aspects :
*
électronique
: écriture par exemple du nom du porteur (carte bancaire), du numéro d'abonné, du numéro de
compte, de la photo numérisée ou de toute autre information pertinente,
*
graphique
: impression ou embossage (gravure en relief) sur le recto et / ou le verso de la carte de tout logo,
signe (ou information) ou photographie permettant une identification visuelle rapide, voire d'un hologramme.
Etape 7 : l'utilisation
Cette dernière étape correspond à son utilisation par le porteur. A partir de l'entrée en possession du porteur, la
mémoire est accessible selon les règles définies lors des étapes précédentes, avec présentation implicite (par
vérification automatique d'une séquence inscrite dans la carte par le terminal) ou explicite (frappe sur un clavier) du ou
des codes. Lorsque la carte a épuisé ses droits ou atteint sa date limite d'utilisation, elle est, soit détruite (selon la
recommandation des organismes bancaires) soit collectionnée avec passion (télécartes par exemple).

Page 26
Le cycle de vie d'une carte à puce
DESS GI 1999/2000
21
mars 2000
Figure 23 : le cycle de vie d'une carte à puce

Page 27
Les standards
DESS GI 1999/2000
22
mars 2000
Les standards
Les cartes sont très standardisées car elles doivent être utilisables avec la gamme la plus large possible de lecteurs dans
le monde entier. C'est la raison pour laquelle les caractéristiques des cartes à puce ont été fixées par des règles
reconnues universellement qui appartiennent à une famille de standards et protocoles internationaux dénommés ISO
7816
ISO 7816
Les standards internationaux qui fixent les caractéristiques de fonctionnement des cartes à puce sont les suivants :
*
ISO 7816-1 : caractéristiques physiques des cartes. Dimension de la carte et contraintes physiques
supportables par la carte. La première définition a été adoptée en 1987 et révisée en 1998.
*
ISO 7816-2 : dimensions, fonctions et placements des contacts du micromodule sur la puce de la carte. Ces
paramètres concernent l'alimentation en énergie, le contact de masse, l'horloge, la remise à zéro, le port
d'entrées / sorties et la tension de programmation obsolète sur la plupart des cartes. Définie en 1998 et révisée
en 1998.
*
ISO 7816-3 : signaux électriques et protocoles de transmission utilisés dans les échanges entre la carte et le
terminal. ISO 7816-3 a été défini en 1989. Deux protocoles de communication sont définis dans ce standard et
peuvent être utilisés. Le protocole T=0 est orienté vers la transmission half-duplex (à l'alternat) de caractères
en mode asynchrone, et le protocole T=1 (défini en 1992) correspond à la transmission half-duplex de blocs de
caractères également en asynchrone. L'amendement 2, de 1994, apporte des changements dans la sélection du
type de protocole de communication entre la carte et le terminal (cf Le dialogue Carte / Terminal). En 1998,
l'amendement 3 introduit l'alimentation de 3 volts.
*
ISO 7816-4 : jeu de commandes standardisées utilisées pour les échanges de données avec la carte. Ce
standard, de 1995, définit également le système hiérarchique de fichiers qui peut exister à l'intérieur de la
carte.
*
ISO 7816-5 : système de repérage ordonné et d'enregistrement pour les applications à carte. Défini en 1994.
*
ISO 7816-6 : défini en 1995, ce standard spécifie les données pour les applications communicantes.
*
ISO 7816-7 : défini en 1998 suite aux travaux du laboratoire RD2P de l'Université des Sciences et
Technologies de Lille, ce standard précise les commandes du langage de requête CQL.
*
ISO 7816-8 : sécurité dans les applications inter-industries.
*
ISO 7816-9 : commandes évoluées dans les applications inter-industries.
*
ISO 7816-10 : cartes synchrones.
ISO 10536
Les standards ISO 10536 concernent les cartes à puce sans contact.
*
ISO 10536-1 : défini en 1992, il spécifie les caractéristiques physiques de la carte.
*
ISO 10536-2 : défini en 1995, il spécifie les dimensions et les placements des éléments de communication
radio.
*
ISO 10536-3 : défini en 1996, il spécifie les signaux électriques et les protocoles de communication.
CEN
Le standard CEN (TC224, WG10) intervient dans le domaine financier et plus particulièrement les applications du
porte-monnaie électronique multiservices. Il définit les données et les instructions de la carte, ainsi que les transactions
et les applications utilisant ce PME.
EMV
En ce qui concerne la carte bancaire, les institutions financières internationales Visa, Mastercard et Europay définirent
entre 1993 et 1996 les standards EMV. Ces standards couvrent le protocole, les données, les instructions et les

Page 28
La sécurité
DESS GI 1999/2000
23
mars 2000
transactions des cartes bancaires à puce. Ces standards ajoutent aux mécanismes de protection des données stockées de
nouveaux éléments de sécurité.
La sécurité
La sécurité est la principale qualité de la carte à puce. En effet, elle offre un très haut niveau de sécurité. C'est d'ailleurs
pour cette raison qu'elle a été choisie pour les transactions bancaires notamment en France. Cette sécurité accrue est
rendue possible grâce à un ensemble de techniques variées.
Une sécurité physique
Les cartes à puce disposent d'un bloc de sécurité qui vérifie que celle-ci est utilisée dans des conditions normales. Ce
bloc intègre des systèmes de détection du voltage, de température, de luminosité... Par exemple, à une époque il était
possible de baisser le voltage d'alimentation de la puce à 3,5 volts, ce qui autorisait un nombre infini d'essais du code
au lieu des trois habituels. Bien évidemment, cette faille a depuis été corrigé par l'apport d'un capteur.
La mémoire
La politique de sécurité des données stockées en mémoire différencient trois granularités :
*
l'information en lecture seule,
*
l'information en lecture / écriture,
*
l'information en écriture seule.
Ces protections sont gérées par le masque (ou système d'exploitation).
Le système d'exploitation
Le contrôle d'accès à la mémoire est assuré grâce à l'utilisation de clés de fabrication, de personnalisation... Il réalise
aussi l'identification du porteur de la carte grâce au PIN composé de quatre chiffres.
Carte à puce et cryptographie
Rappelons que la cryptographie est l'art de chiffrer et déchiffrer les messages échangés entre un émetteur et un
récepteur. Un système cryptographique basé sur les cartes à puce se présente de façon classique. Il utilise un algorithme
de cryptage associé à une clé pour convertir un message initial en message codé, qui ne peut être décodé que par un
algorithme de décodage associé à une clé de décryptage. Il existe deux schémas classiques de chiffrement :
*
symétrique
(comme le DES) qui utilise la même clé pour le chiffrement et le déchiffrement. Exemple :
l'algorithme DES sépare le message original en blocs de 64 bits et encrypte chaque bloc à l'aide d'une clé de
56 bits pour générer des blocs de texte cryptés sur 64 bits. Les nouvelles cartes Visa utilisent ce système. Dans
cette hypothèse, la clé est commune et doit être partagée par l'émetteur et le récepteur. Le partage d'un secret
rend celui-ci vulnérable vis-à-vis d'une interception. Ces algorithmes portent aussi le nom d'
algorithmes à clé
privée
.
*
asymétrique
qui requiert une paire de clés (générée par une procédure mathématique comme dans
l'algorithme RSA). Parce que les méthodes asymétriques ne requièrent pas de partage de clé, elles sont
devenues les méthodes de prédilection. L'une des clés est utilisée pour le chiffrement et l'autre servira au
déchiffrement. Ainsi, avec une paire de clés, l'une peut être rendue publique et l'autre gardée secrète, ce qui
est idéal pour les cartes à puce. D'où leur nom d'
algorithmes à clé publique
. Les opérations de chiffrement
requièrent des modules capables d'effectuer des multiplications et des exponentiations. La plupart des cartes à
puce qui implantent des algorithmes à clés publiques incorporent un cryptoprocesseur dédié à cette tâche.
*
une troisième approche complétant les deux précédentes concerne les
protocoles dits à apport nul de
connaissance
. Cette méthode permet d'authentifier et de signer des messages sans communiquer
d'informations sur le secret utilisé. Le protocole repose, comme le RSA, sur la difficulté à factoriser les grands
nombres.

Page 29
La sécurité
DESS GI 1999/2000
24
mars 2000
En définitive, le choix d'un algorithme cryptographique dans un système basé sur les cartes à puce dépend surtout du
coût des ressources nécessaires à son implantation : capacité mémoire admissible, présence ou non d'un
cryptoprocesseur. Dans ce domaine, le RSA se révèle beaucoup plus gourmand en ressources que la solution DES. De
nouveaux algorithmes à clé publique sont d'ailleurs testés avec succès : c'est le cas des algorithmes dits « courbes
elliptiques » qui permettraient de s'affranchir du cryptoprocesseur.
Le rôle de la cryptographie dans une application utilisant la carte à puce est d'assurer la sécurité des transactions :
*
authentification de la carte (exemple carte SIM),
*
authentification du porteur (code PIN),
*
génération et vérification des signatures électroniques : pour le transfert de fichiers, les certificats...
La biométrie
La biométrie est un axe de recherche très prometteur pour l'identification. On peut citer par exemple : les empreintes
digitales, la voix, la rétine et même l'ADN. Ces éléments permettent une identification plus sûre qu'un nombre à quatre
chiffres. On peut penser que d'ici quelques années on verra apparaître des cartes à puce disposant d'un système de
reconnaissance des empreintes.
L'affaire Serge Humpich
Depuis quelques temps, la carte à puce défraye la chronique. Serge Humpich, un informaticien de 36 ans, a réussi à
découvrir la clé de cryptage des cartes bancaires. Ceci ne diminue en rien la sécurité des cartes à puce. La cause de
cette faiblesse est la clé de cryptage utilisée ; c'est un problème de cryptographie. En effet, celle-ci est de 320 bits, ce
qui est de nos jours insuffisant pour s'assurer un niveau de sécurité parfait. En réponse aux accusations sur la sécurité
de la carte à puce, Roland Moreno a décidé de réagir en offrant un millions de francs à la personne qui réussirait à lire
le contenu de la mémoire d'une carte à puce.

Page 30
Terminologie
DESS GI 1999/2000
25
mars 2000
Terminologie
ADN
Abbreviated Dialling Number
AFNOR
Association Française de NORmalisation
APDU
Application Protocol Data Unit
API
Application Programming Interface
ASN.1
ATR
Answer To Reset
Cardlet
Applet Java pour JavaCard
CNET
Centre National d'Etudes des Télécommunications
CPU
CQL
Card Query Language
DAB
Distributeur Automatique Bancaire
DES
Data Encryption Standard
EEPROM
Electrically Erasable Programmable Read-Only Memory
embossage
Procédé d'écriture sur une carte plastique faisant apparaître les caractères en relief
EMV
Europay - Mastercard - Visa
EPROM
ETSI
European Telecommunications Standards Institute
FeRAM
Ferroelectric RAM
GIE
Groupement d'Intérêt Economique
GIP
Groupement d'Intérêt Public
GSM
Global System for Mobile Communications
IMSI
International Mobile Subscriber Identity
ISO
International Standards Organization
MAP
MCC
Mobile Country Code
MCU
MNC
Mobile Network Code
MS
Mobile Station
MSIN
Mobile Subscriber Identification Number
NMOS
PIN
Personal Identification number
PME
Porte Monnaie Electronique
PTT
RAM
Random Access Memory
ROM
Read Only Memory
RSA
Rivest-Shamir-Adleman
SEPT
Service d'Etudes commun à la Poste et aux Télécommunications. Dénomination actuelle CNET
SIM
Subscriber Identity Module
SMS
Short Message Services
SW
Status Word

Page 31
Bibliographie
DESS GI 1999/2000
26
mars 2000
Bibliographie
Smart Card Innovation
Robyn Lindley
La carte à puce
Collection Que sais-je ? N° 3492
Presses Universitaires de France
Webographie
JavaCard Technology
http://jsp.java.sun.com/products/javacard/
OpenCard
http://www.opencard.org/
Contactless Integrated Circuit(s) Cards
http://www.geocities.com/mhegenbarth/wg8.html
Smart Card Industry Association (SCIA)
http://www.scia.org/
L'affaire Serge Humpich
http://parodie.com/humpich/home.htm
http://x40.deja.com/getdoc.xp?AN=583760249&CONTEXT=952387710.1005649947&hitnum=3
http://x24.deja.com/getdoc.xp?AN=593176441&CONTEXT=952386802.929955898&hitnum=5
Thèse de Doctorat des
C
artes
O
rientées
S
ervices
T
ransactionnels et des
S
ystèmes
T
ransactionnels
I
ntégrant des
C
artes
http://www.lifl.fr/~lecomte/These/these.html
ELEA Cardware
http://www.eleacard.com/fr_acc.htm
Une fausse carte bancaire pour les nuls !
http://parodie.com/kartblou/
La carte à puce
http://www.univ-tours.fr/smart.html
ePanorama - Card Technology Technology Page
http://www.us-epanorama.net/smartcards.html
Les cartes à puces
http://ns1.tele.ucl.ac.be/ELEC2920/1997/cartepuce/print.html
Les Smart Cards
http://www.ge.ch/obstech/smartcards.htm
Bull
http://www.cp8.bull.fr/sct/fr/world/index.html
The Smart Card Cyber Show
http://www.cardshow.com/bienvenue.html
Gemplus
http://www.gemplus.fr/basics/index.htm
Phrack Magazine : Electronic Telephone Cards: How to make your own!
http://www.phrack.com/search.phtml?view&article=p48-10