En préambule, il convient de saluer le travail substantiel mené par les équipes de l’ANS, et notamment Florian Catteau, Adeline Lembre et Joachim Metzger.

Parmi les moyens d’identification électronique (MIE) potentiellement conformes figure la carte DESFire. L’hypothèse avait été émise que cette carte pourrait ne pas permettre d’atteindre le niveau eIDAS « substantiel ». L’ANS a toutefois choisi de la rendre conforme sous réserve d’un ensemble de restrictions détaillées dans un guide en cours de publication. Cette décision s’appuie notamment sur la certification Common Criteria (CC) de la carte DESFire EV3. Il est important de préciser qu’une certification CC, bien que gage de sécurité, ne garantit pas à elle seule la conformité aux exigences eIDAS pour un niveau élémentaire ou substantiel.

A quoi ça sert et comment ça marche ?

Dans l’attente du guide d’utilisation, les retours d’expérience de l’établissement pilote Hospiconnect Alpha apportent des enseignements. L’usage d’une carte DESFire impose le recours à un module de sécurité matériel (HSM pour Hardware Security Module) pour stocker la clé maître. Concrètement, le HSM génère une clé d’accès à la carte en combinant le numéro de série de la carte, le code PIN utilisateur et la clé maître. Lors de l’authentification, le code PIN et le numéro de série sont envoyés au HSM qui dérive la clé d’accès, permettant ainsi d’ouvrir le conteneur sécurisé de l’utilisateur.

Deux problèmes

Le premier tient à l’absence de mécanisme natif de blocage sur la carte DESFire : il est possible de tester des clés sans limitation, ce qui constitue une fragilité au regard des exigences eIDAS. Le second problème, qui n’est pas un défaut de conformité mais une contrainte opérationnelle, est que la génération de la clé par le serveur ou le HSM rend l’authentification impossible en cas d’indisponibilité du réseau ou du service central. Par ailleurs, le coût d’au moins deux HSM par établissement (entre 5 000 € et 10 000 € chacun) peut peser dans les arbitrages.

Cas d’usage sur le terrain

Les cas présentés illustrent ces enjeux. Dans le cas 1.1 (Cf Replay Webinaire du 24 mars 26), la carte DESFire est utilisée comme MIE local avec une carte CPS/eCPS pour l’accès au système PSC. Cela nécessite souvent deux lecteurs distincts sur chaque poste (un sans contact pour la DESFire, un contact pour la CPS), car les lecteurs doubles peuvent générer des conflits de cartes et des verrouillages imprévus. De plus, la CPS reste fréquemment insérée, ce qui biaise la traçabilité des sessions.

Dans le cas 2.1 (Cf Replay Webinaire du 24 mars 26), la carte DESFire sert de MIE local tandis que l’accès à PSC passe par un fournisseur d’identité tiers (FI Tiers). L’identité locale est alors appairée à une identité nationale, avec une vérification annuelle (tous les trois mois dans le pilote). Cette vérification exige l’usage de la CPS/eCPS, donc à nouveau un lecteur contact sur tous les postes. Or, avec une réauthentification espacée, le risque est élevé que l’utilisateur n’ait pas sa CPS sur lui, ne se souvienne pas de son code PIN, ou que celle-ci soit expirée. Cela peut générer des difficultés majeures pour les supports utilisateurs.