Passer au contenu

Standards : ST Microelectronics refuse de rallier le nouveau profil de protection SSVG de l’industrie de la carte à puce

Remplaçant le PP/9806 aujourd’hui dépassé, il a été élaboré par les principaux industriels du marché. A l’exception de ST Microelectronics qui, lui, résiste.

Tout le monde est d’accord : le profil de protection PP/9806 pour cartes à puce est périmé. Rédigé au milieu des années quatre-vingt-dix, il est même qualifié de “préhistorique” par l’un de ses auteurs, ST Microelectronics. Dont acte : début 2000, les industriels de la carte à puce créent le groupe de travail SSVG (Semiconductor & Card Vendors Group). Il fédère en son sein Infineon, Philips Semi-Conductor, Hitachi et Atmel et ST Microelectronics ?” soit 98 % du marché ! Mais, les travaux à peine engagés, ST Microelectronics décide subitement, pour des raisons inexpliquées, de claquer la porte.Aujourd’hui finalisé, le profil de protection du SSVG améliore grandement les caractéristiques du PP/9806. Son niveau de sécurité est nettement plus granulaire. C’est le cas pour la prévention d’attaques dirigées contre la consommation électrique du circuit intégré et contre les fonctions de génération de nombres aléatoires. Surtout, il instaure une approche modulaire, qui sépare l’évaluation des fonctions propres à un circuit intégré de celles du système d’exploitation et des applications de la carte à puce elle-même. Le potentiel de réutilisation des résultats d’évaluation obtenus qui en découle représente donc un gain de temps important. D’ores et déjà, le groupe de travail Smart Card Security User Group, qui réunit les réseaux de paiement mondiaux ?” Visa, Mastercard, etc.?”, apporte sa bénédiction au SSVG. Il est sur le point de l’incorporer à son propre profil de protection, défini pour l’évaluation d’applications financières pour cartes à puce. Campant sur ses positions, ST Microelectronics incrimine aujourd’hui l’absence, dans le profil de protection SSVG, d’une évaluation de l’environnement même de production et de développement. Ce que dément Joerg Schepers, directeur sécurité pour Infineon : “Les étapes et l’infrastructure de développement sont couverts par le profil de protection SSVG. Le plus important est l’évaluation même du produit, qui n’est, en outre, pas concerné par ces contraintes.” Des sources bien informées soulignent aussi que ST Microelectronics a fait l’objet de pressions politiques de la part de la direction centrale de sécurité des systèmes d’information. Pas question, pour l’organisme certificateur français, de rallier une initiative dans laquelle son homologue allemand, le BSI, joue un rôle moteur. Pourtant, l’industrie européenne de la carte à puce ?” qui ne consomme encore qu’une infime partie des volumes mondiaux de microprocesseurs ?” ne peut guère s’offrir le luxe dune dissension.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


La rédaction