La solution de carte à puce lancée par Thales - par le truchement de sa filiale DIS, Digital Identity and Security, anciennement Gemalto - est la première du genre en Europe, selon la société, à recevoir une certification de sécurité de très haut niveau - EAL6+ (*) dans le cadre des Commons Criteria (**) - et à intégrer une cryptographie post-quantique.

Thales indique qu’il s’agit pour l’entreprise d’anticiper les risques de cybersécurité émergents à l’ère de l’arrivée prochaine et inéluctable des processeurs quantique. Le produit certifié intègre divers mécanismes de protection contre les menaces de cybersécurité dans un format de carte à puce, une approche jugée adaptée aux applications nécessitant une protection de l’identité pérenne, telles que les cartes d’identité électroniques, cartes de santé et permis de conduire.

Prête pour un déploiement à grande échelle, cette solution procure notamment aux gouvernements et institutions une base sécurisée pour les solutions d’identité de nouvelle génération. Car avec l’évolution de l’informatique quantique, de nombreux algorithmes cryptographiques actuels ne seront plus sûrs, les ordinateurs quantiques étant capables de résoudre des problèmes mathématiques complexes beaucoup plus rapidement que les ordinateurs classiques.

Thales indique ainsi que selon un récent rapport Gartner, « d’ici 2029, les avancées en informatique quantique rendront l’usage de la cryptographie asymétrique classique non sécurisé » (***).

La carte à puce développée par Thales DIS, baptisée MultiApp 5.2 Premium PQC, a été officiellement certifiée l’Anssi (Agence nationale de la sécurité des systèmes d’information) utilise une signature numérique cryptographique avancée conçue pour résister aux attaques les plus sérieuses.

Le produit certifié intègre également les nouveaux algorithmes de signature numérique standardisés par le NIST (National Institute of Standards and Technology, États-Unis). Ces algorithmes cryptographiques permettent de vérifier qu’une donnée ou un message numérique provient bien de l’expéditeur et n’a pas été altéré. Pour l’utilisateur final, cependant, rien ne change, les citoyens continueront à utiliser leur carte normalement.

Le travail conjoint entre Thales, le Centre d’Evaluation de la Sécurité des Technologies de l’Information du CEA-Leti et de l’ANSSI pour cette carte, montre selon ces trois protagonistes que l’Europe est prête à devenir un leader en sécurité post-quantique autorisant organisations et gouvernements à déployer des solutions anticipant les risques futurs.

(*) Le niveau d’assurance EAL (Evaluation Assurance Level) mesure la robustesse de la sécurité des systèmes informatiques. Il va de EAL1 (testé de manière basique) à EAL7 (niveau le plus élevé, vérifié formellement). Une certification EAL6+ signifie que le produit a été testé et prouvé capable d’offrir une sécurité très élevée contre des attaques sophistiquées, adaptée à des applications critiques comme les gouvernements, la finance ou la défense.

(**) Les Common Criteria sont une norme internationale confirmant que le produit répond à des exigences strictes en matière de sécurité.

(***) Gartner, Postquantum Cryptography: The Time to Prepare Is Now!, Mark Horvath et al., 1er juillet 2024