Lors d’une démonstration commune au salon Cartes 2008 SFR, la DCSSI, Trusted Labs et Trusted Logic ont démontré la faisabilité industrielle de l’hébergement d’applications de type bancaire dans la carte SIM
Cette avancée technologique confirme la pertinence de la carte SIM en tant que support sécurisé pour l’hébergement en toute confiance de tout type d’applications et permet notamment d’envisager sereinement la poursuite des pilotes NFC sur le paiement mobile.
Les éléments clés de cette annonce sont les suivants
• Obtention pour une application sur une carte à puce d’un niveau d’assurance sécurité évalué selon les Critères Communs1 : EAL4 augmenté (EAL4+)
• Obtention de ce niveau d’assurance sur une carte à puce multi-applicative et évolutive
• En conformité avec les exigences de sécurité pour le paiement NFC
• Capacité à héberger tout type de services sur un même support quels que soient les besoins de sécurité de chacun de ces services
La démonstration exposée dans le cadre du salon Cartes 2008 présente une plate-forme Java Card™, la plate-forme jTOP® développée par Trusted Logic évaluée suivant les Critères Communs (CC) au niveau d’assurance EAL5+ avec une application de signature électronique évaluée au niveau d’assurance EAL4+.
La carte et l’application sont évaluées conformément au profil de protection par composition proposé dans le cadre du groupe de travail « Payez Mobile » en réponse aux exigences de sécurité émises par les banques et les autorités de certification compétentes.
Le principe de composition, adopté par le profil de protection, permet de préserver la validité des certificats obtenus lors du chargement de nouvelles applications certifiées.
Il permet également d’héberger des applications non certifiées, comme les applications liées à la billettique transport ou à des programmes de fidélité.
Celles-ci sont validées par un laboratoire tiers indépendant et téléchargées sur une plate-forme Java Card™ certifiée, sans remettre en cause les certifications obtenues.