Le développement extrêmement rapide de l’économie numérique fait monter les inquiétudes sur les données personnelles et sur la souveraineté nationale. Pourtant indispensable, la question d’une maîtrise publique de la production de composants garantissant développement des territoires et protection des données est la grande absente du débat public.
*Stéphanie Gwizdak est ingénieure dans le domaine de la sécurité numérique.
Article paru dans le numéro 32 de progressistes (avril-mai-juin 2021)
Les données sont l’or noir du XXIe siècle, ce n’est un secret pour personne. Or, si besoin en était, le flop monumental de l’application StopCovid est là pour nous le rappeler : la défiance quant à la protection de nos informations personnelles est plus que partagée. En France, elle concerne 62 % de la population1.
À l’heure de la 5G, de la construction de villes « intelligentes », d’un monde avec 5 milliards de personnes détentrices d’objets connectés, alors que les GAFAM se disputent notre temps libre et de sommeil dans le cadre de l’économie de l’attention2, la maîtrise de nos données est devenue un enjeu majeur, que ce soit pour tirer parti de nos goûts et de nos couleurs, des activités du cybercrime3 ou du développement de la médecine connectée.
LA SÉCURITÉ NUMÉRIQUE POUR RÉTABLIR LA CONFIANCE
En termes applicatifs, la sécurité numérique concerne aujourd’hui principalement les domaines bancaires et du paiement, le transport, la communication (téléphonie, modules machine to machine [M2M]4, l’Internet des objets) ainsi que les applications gouvernementales (documents d’identité, santé, vote électro nique). Elle pose une double question : comment s’assurer de l’identité d’une personne ou d’une autorité en son absence physique et comment protéger les données échangées – dont on aura garanti l’intégrité – lors de transactions numériques, contre une utilisation différente de celle pour lesquelles elles ont été échangées ?
Comment s’assurer de l’identité d’une personne ou d’une autorité en son absence physique et comment protéger les données échangées lors de transactions numériques.
Les leviers pour (r)établir la confiance sont divers. Si législation et réglementations s’y sont penchées, en bout de chaîne c’est bien sur la maîtrise technique que repose l’édifice. Celle-ci met en jeu deux éléments : un objet – contenant un élément sécurisé, permettant l’authentification des parties en présence, le chiffrement et la signature du message – et un canal de communication.
Nous nous proposons de brosser un panorama de l’industrie de l’objet sécurisé, et en particulier de la carte à puce.
UN ÉLÉMENT CLÉ DU PUZZLE
Les entreprises de la sécurité numérique ont développé leur expertise, entre autres, via la sécurisation de systèmes embarqués et le développement de logiciels et d’une cryptographie ad hoc. Le besoin de mobilité des solutions en question, « toujours avec l’utilisateur », a en effet rapidement pointé la nécessité de développer de petits objets portables qui contiendraient l’élément permettant la sécurisation des échanges. En France, cette expertise s’est développée dans le domaine universitaire et autour du Centre national d’études de télécommunications, CNET (France Télécom) ; puis à partir d’une entreprise largement liée au secteur public, Bull. Là est née la carte à microcontrôleur sécurisé, dont le brevet fut déposé en 19775. La carte à puce a depuis fait les beaux jours de quantité d’entreprises d’envergure variable.
Si législation et réglementations s’y sont penchées, en bout de chaîne c’est bien sur la maîtrise technique que repose l’édifice. Cette maîtrise se doit de comprendre l’intégralité verticale de la filière, du semi-conducteur aux logiciels.
Aujourd’hui, au terme d’un processus de concentration dont les brevets furent l’enjeu principal, la plupart des experts, ingénieurs et techniciens français travaillent soit pour Idemia, fusion d’Oberthur et de Morpho, branche spécialisée de Safran détenue depuis 2017 par des fonds états-uniens, soit pour Thales – dont l’actionnaire principal est l’État français – qui a racheté Gemalto, leader sur le secteur, en 2019. L’activité historique et encore poids lourd de Gemalto était la production de cartes à puce. L’objectif de Thales, lui, est clair : devenir fabless (se passer d’unités de production) et se concentrer sur l’aspect logiciel de la question. La sécurité des cartes à puce, comme de tout objet connecté sécurisé, n’est pas uniquement une affaire de logiciel. Elle repose sur deux composantes intimement mêlées : sécurité logique et sécurité physique. Celle-ci est assurée à deux niveaux et par deux types d’acteurs : le fondeur et l’assembleur.
Dans le processus de fabrication d’une carte à puce sont impliqués, d’un côté, des fabricants de composants électroniques, des fondeurs capables de produire des composants à crypto processeurs ; de l’autre, les fournisseurs de cartes, dont les plus gros se chargent du développement de logiciels, de la fabrication du corps de cartes, voire des développements de machines-outils spécifiques, et assemblent tous les éléments, d’où leur nom d’assembleurs. On comprend dès lors l’importance que revêt la maîtrise de la production.
Maîtriser le processus de production est essentiel pour la sécurité des utilisateurs afin que le fabriquant, de téléphone notamment, ne rajoute pas de porte dérobée pour, par exemple, capter les données utilisateurs.
Dans son numéro 30, Progressistes consacrait deux articles à la 5G, dans lesquels était souligné la nécessité de la maîtrise publique de son développement sur notre territoire et rappelé que cette maîtrise se doit de comprendre l’intégralité verticale de la filière, du semi-conducteur aux logiciels.
La Chine, qui l’a bien compris, dispose de deux équipementiers, Huawei et ZTE, alors que la fabrication des puces Kirin de Huawei, jusque-là produites par le taïwanais TSMC, a été rapatriée début 2020. Cette question vaut pour tous les secteurs d’activité ayant recours aux objets sécurisés.
L’ÉVOLUTION EN FRANCE
Notre pays connaît un préoccupant appauvrissement industriel dans le domaine, résultat d’un intense dépeçage des capacités d’assemblage françaises. Par exemple, des sept sites industriels dédiés à l’étape d’assemblage que comptait Thales – à périmètre équivalent – en France en 2005, le territoire n’en compte plus que trois.
Thales, en juin 2020, avec la bénédiction de son actionnaire principal, entame un processus dont l’objectif final est la fermeture du dernier site d’assemblage de cartes SIM en Europe
Ironie du sort ou exigence capitaliste, alors que dès 2019 le gouvernement français s’inquiétait des problèmes de sécurité liés au déploiement de la 5G, Thales, en juin 2020, avec la bénédiction de son actionnaire principal, entame un processus dont l’objectif final est la fermeture du dernier site d’assemblage de cartes SIM en Europe, situé à Pont-Audemer, en Normandie. Insuffisants, les 36 millions d’euros de bénéfices annuels du site ! On ira produire en Chine, puis on se séparera de cette activité, au prétexte du transfert des volumes SIM vers la e-SIM, directement soudée au terminal téléphonique. Corps et âme.
Une activité stratégique et un savoir-faire qu’il faut préserver
Comme le rappelle la CGT FAPT, cette évolution pose plus d’une question. Aujourd’hui, la SIM, quelle que soit sa forme, carte SIM, e-Sim, M2M, est le point d’entrée du réseau. En maîtriser le processus de production est essentiel pour la sécurité des utilisateurs afin que le fabricant, de téléphone notamment, ne rajoute pas de porte dérobée pour par exemple capter les données utilisateurs. Or, si la carte SIM est un élément essentiel à la sécurité, car conçue et programmée a priori, la e-SIM est, elle, programmée à distance a posteriori. Apple ou Google, via son OS Android, pourront donc devenir votre point d’entrée au réseau avec les dangers que l’on vient de rappeler. Déjà aux États-Unis Google fournit des services de ce type. Apple, lui, équipe tous ses terminaux avec une e-SIM intégrée.
Sachant par ailleurs que demain nos véhicules, compteurs électriques, matériels médicaux, robots d’usines, etc., seront tous équipés de cartes M2M6, on mesure les enjeux de souveraineté associés.
Une capacité de production de cryptoprocesseurs qui ne tient plus qu’à un acteur
Qu’en est-il du côté composants, premier maillon de la chaîne de la sécurité numérique ? Sur les vingt principaux fabricants, trois seulement sont européens, dont un seul a une jambe en France, STMicroeletronics. Le seul à avoir une activité de production sur place. Fin 2018, l’Europe disposait d’une capacité de production d’à peine 1,4 million de tranches7 par mois, soit seulement 6 % de la capacité de production mondiale installée. Et son positionnement sur les technologies les plus avancées était très faible : Taïwan, la Corée du Sud, le Japon, les États-Unis et la Chine sont loin devant8.
Hormis le site de STMicroelectronics, on notera qu’en France seuls deux « petits » sites de production microélectronique existent. Encore produisent-ils des composants sans capa cité cryptographique : IPdia et Tronics Microsystems. Le premier a été racheté en 2016 par le japonais Murata, le second par l’états-unien TDK.
POUR UNE PRODUCTION EUROPÉENNE
Alors qu’en mars 2020 un rapport de la fondation Concorde sur la 5G invitait à créer une certification européenne et à renforcer les moyens de l’ENISA9 afin d’intervenir sur les questions de cybersécurité, on peut s’étonner de l’absence de considération de l’aspect composants, qui devient pourtant un enjeu stratégique de souveraineté et de sécurité nationale.
On peut s’étonner de l’absence de considération de l’aspect composants, qui devient pourtant un enjeu stratégique de souveraineté et de sécurité nationale.
Recréer une industrie du composant en capacité de fournir le marché européen nécessite cependant des moyens colossaux. Une usine de semiconducteurs représente en effet un coût de 14 milliards de dollars10 et nécessite des débouchés variés pour les amortir (électro ménager…). Il s’agit d’un projet industriel et scientifique am bitieux à taille définitivement européenne. À l’heure où, dans un autre domaine, l’informatique quantique se dessine et cherche son ordinateur, il serait sans doute plus qu’opportun d’investir largement dans le hardware et, au vu des enjeux, d’en obtenir la maîtrise publique
Fin 2018, l’Europe disposait d’une capacité de production d’à peine 1,4 million de tranches par mois, soit seulement 6 % de la capacité de production mondiale installée.
Les férus d’histoire de la technique se souviendront peut-être avec nostalgie du projet plan Calcul puis d’Unidata, avortés de façon unilatérale par la France soucieuse de préserver quelques intérêts privés.
Références
- Baromètre de l’innovation Odoxa- Microsoft-L’Usine digitale, juill. 2019.
- El enemigo conoce el sistema, Marta Peirano, ed. Debate, 2019.
- On estime le revenu du cybercrime à 1,5 mille milliards de dollars (2018), environ 3 fois plus que le commerce de la drogue, selon une étude de Mike McGuire, chercheur en criminologie de l’université de Surrey, Royaume-Uni (commanditée par la firme Bromium).
- La puce M2M est une cousine de la puce SIM, pour une conversation objet-objet.
- Brevet déposé par l’ingénieur Michel Ugon, salarié de Bull-CP8.
- Soit entre 10 et 30 milliards d’objets connectés d’ici à 2030, selon les estimations ; ViPress.net, févr. 2018.
- Fine tranche de semi-conducteur utilisée pour la fabrication des circuits intégrés à partir notamment de l’introduction d’impureté/d’ions pour moduler les propriétés électriques ou structurelles du cristal.
- IC Insights.
- Agence européenne pour la sécurité des réseaux et de l’information.
- Pascale Diaz, directrice de NXP Toulouse, 2020.