- une deuxième zone, contenant des codes confidentiels et des clés
secrètes n'est ouverte qu'au microprocesseur lui-même, qui interdit à
l'extérieur toute possibilité d'en prendre connaissance ;
- enfin, la zone destinée à l'écriture des transactions n'est accessible
que sur présentation d'un code client (qui peut être choisi par le
titulaire lui-même), dont l'exactitude est vérifiée par le microprocesseur.
Ce dernier bloque la carte après trois erreurs successives. Elle ne
peut être alors débloquée que sur présentation simultanée des codes
de l'émetteur et du client.
Le microprocesseur peut également effectuer des traitements,
permettant à la carte les contrôles d'accès ou le chiffrement des
données.
La caractéristique essentielle de la carte à mémoire est que ces
niveaux de sécurité sont réunis dans un seul outil : la carte portée par
un individu, celle-ci n'étant plus liée à un équipement ou un terminal.
Chaque contrôle de sécurité s'effectue à l'intérieur de la carte et il n'y
a aucune circulation d'informations fixes et confidentielles sur les lignes,
le microprocesseur procédant par comparaison avec ce qui est inscrit
dans la zone secrète de la mémoire.
Ces éléments de sécurité existent déjà aujourd'hui dans nombre
de systèmes informatiques et notamment, dans les systèmes très
protégés de transmission bancaire mais ils ne sont pas concentrés
dans un seul outil.
Les domaines d'application sont extrêmement nombreux : paiement
électronique, sécurité des systèmes d'information, contrôle d'accès
physique, dossier portable. De cette carte multifonctionnelle est née la
carte d'entreprise qui permet d'effectuer les opérations les plus diverses
avec une sécurité totale.
Dès 1980, la Commission s'était intéressée à cette innovation ;
elle avait visité les laboratoires d'essais de la société Bull (1). Depuis
lors, elle suit différentes expériences (2) ; tout particulièrement, celle
menée par l'université Paris VII où huit mille étudiants ont été dotés,
depuis la rentrée 1983, d'une carte à mémoire dans son application
dossier portable. Chaque étudiant porte sur lui le fichier des informations
qui le concernent et qui ne sont lisibles qu'avec son accord. Cette
expérience constitue la première utilisation de grande envergure dans
le secteur public. Elle présente l'avantage d'une amélioration considérable de la gestion pédagogique des étudiants. La Commission aura à
prendre position.
(1)
(2)
CNIL, 1er rapport d'activité, op. cit., p.176 sqq.
CNIL, 4 e rapport d'activité, op. cit., p. 188.
151