A première vue, l'architecture d'une carte à puce paraît extrêmement simple : le microcontrôleur comprend un coeur de CPU optimisé, différents types de mémoires et, parfois, un accélérateur cryptographique matériel. Mais derrière cette apparente simplicité se cache un univers de contraintes et de compromis. Car le monde de la carte est essentiellement réglementé par la norme ISO 7816, qui définit des règles du jeu draconiennes : les fabricants ont ainsi l'obligation de faire tenir leur puce sur une surface limitée à 25 millimètres carrés.

Ils doivent en outre respecter des normes strictes en matière de fonctionnement, dans des conditions de température et de champs magnétiques imposées. Et, bien sûr, ne pas oublier de répondre aux exigences de leurs clients. C'est-à-dire fournir des cartes toujours plus puissantes, avec toujours davantage de mémoire, et en incorporant toujours plus de fonctions (accélération cryptographique de nouveaux algorithmes, nouvelles interfaces pour la puce... ). Seule la taille demeure, elle, limitée.

En dépit de ces contraintes sévères, l'industrie de la carte est aujourd'hui en mesure de livrer des puces particulièrement performantes. Les processeurs atteignent des fréquences de 30 MHz, avec une architecture à 32 bits. Les mémoires, elles, vont jusqu'à 512 Ko, et 1 Go cette année. « Et il s'agit là de l'espace disponible pour le client : ce sont des mémoires réinscriptibles, capables de supporter un million de réécritures et d'assurer dix ans de mémorisation de l'information », précise Xavier Chanay, vice-président marketing produit et développement chez le fabricant Axalto.

Avec l'accroissement des performances, l'autre grande révolution des puces actuelles concerne leur ouverture sur les standards. Les systèmes d'exploitation demeurent souvent propriétaires. Mais la tendance est à l'ajout d'une machine virtuelle, qui servira à faire exécuter le chargement d'applications par le processeur de la carte, ou la mise à jour de ces mêmes programmes. Le standard dominant dans ce domaine est Java (les applications s'appellent alors des cardlets). Cependant, les premières cartes embarquant une machine virtuelle .Net font déjà leur apparition.

Qu'elles soient Java ou .Net, ces cartes visent à offrir à l'entreprise utilisatrice, l'intégrateur ou le fournisseur de solutions la plus grande liberté dans le développement et le suivi de sa solution. Un système d'exploitation propriétaire gère le bas niveau : le système de fichiers, la mémoire physique, les entrées/sorties, la sécurité, etc. « Au-dessus, les API Java aident le développeur à s'affranchir totalement du matériel et à créer des applications qui fonctionneront sur toutes les cartes », poursuit Xavier Chanay.

Au-delà des performances du processeur et des applications qu'elles peuvent embarquer, les cartes à puce sont réputées pour leur sécurité. Et dans ce domaine aussi, les fabricants tirent leur épingle du jeu malgré les contraintes de taille qui leur sont imposées. « Nous enterrons la puce dans la carte afin qu'elle ne puisse pas être lue. Nous lui ajoutons ensuite toute une série de capteurs [température, lumière et fréquence de fonctionnement, NDLR] pour rendre plus difficile son observation en fonctionnement », explique Xavier Chanay. Ainsi une puce refusera-t-elle de fonctionner si elle détecte qu'elle n'est plus noyée dans le plastique de la carte.

Mais les attaques contre les puces ne sont pas que physiques : l'écoute passive de leur dégagement magnétique en fonctionnement peut aussi révéler leur contenu. Pour contrer cela, les fabricants génèrent du bruit aléatoire. Et tous ces dispositifs doivent, bien sûr, cohabiter dans l'espace réduit alloué à la puce.