La désignation d’un organisme d’enregistrement sur le plan mondial pour les protocoles d’identification de cartes intelligentes conformes à la norme ISO/IEC 24727 favorisera l’amélioration de l’interopérabilité et de la sécurité de cette technologie – désormais indispensable pour identifier les personnes et s’assurer que des services comme les soins de santé, les services bancaires ou de transport soient dispensés à qui de droit. Gouvernements et organismes du secteur privé et du secteur public utilisent également ces cartes intelligentes pour procéder à l’identification des personnes dans des zones sensibles (sécurité d’accès, contrôles à la frontière).

Il existe à présent un registre central dans lequel tout protocole d’identification pourra être enregistré publiquement. Dorénavant, tout protocole spécifique peut être explicitement référencé par un identificateur d’objet (OID) unique ISO/IEC.

Avant la publication de la norme ISO/IEC 24727 et la création de ce nouvel organisme d’enregistrement, bon nombre des protocoles d’identification de cartes intelligentes étaient propriétaires, non publiquement documentés, ou ne s’appuyaient pas sur un document de référence définitif disponible publiquement. Or, même d’infimes différences de protocoles peuvent poser des problèmes d’interopérabilité considérables.

Cela fait longtemps que développeurs et utilisateurs de la technologie des cartes intelligentes attendent cette nouvelle approche, dont ils saluent l’adoption.

Conçue pour donner davantage d’extensibilité, d’efficacité et d’interopérabilité aux systèmes de cartes intelligentes, cette technologie présente également des avantages pour la communauté internationale dans son ensemble.

Les gouvernements et autres organismes importants en particulier cherchent des solutions pour que les systèmes de cartes intelligentes locaux, nationaux et internationaux puissent inter-opérer dans un contexte de mondialisation croissante.

En outre, comme les nouveaux protocoles d’identification peuvent désormais être enregistrés en temps réel, l’autorité d’enregistrement accélère la mise sur le marché des dernières technologies les plus innovantes.

«Aujourd’hui, des centaines de protocoles d’identification de cartes intelligentes sont utilisés dans le monde et déclinés en plusieurs milliers de variantes,» explique Graeme Freedman, un expert international majeur dans le domaine des technologies de cartes intelligentes et des technologies associées, et rédacteur ISO de la norme.

«Pour la première fois, la norme ISO/IEC 24727 fournit un langage normalisé, mais flexible, pour décrire explicitement ces protocoles d’identification. L’interopérabilité est d’autant plus renforcée que le nouvel organisme d’enregistrement fournit une méthodologie pour communiquer rapidement les informations relatives aux protocoles existants ou nouveaux sur son site Web.

Les utilisateurs finals peuvent même enregistrer les protocoles particuliers qu’ils utilisent de façon à ce que des tiers puissent déterminer sur quels protocoles se baser pour les identifier. La méthodologie garantit à coup sûr interopérabilité et intégrité, deux éléments essentiels dans notre société planétaire.

Ces dernières années, le manque de normalisation et même l’incertitude quant à la façon dont fonctionnent vraiment les protocoles propriétaires ont eu pour effet d’accroître le risque d’attaques systématiques réussies. Devoir évaluer et accréditer les multiples protocoles propriétaires constitue un gaspillage d’argent et de ressources et peut ne pas être à la portée de nombreux projets, ou même des organismes de certification. Des protocoles d’identification défaillants peuvent exposer des services mondiaux fondamentaux à d’importantes perturbations; une simple recherche sur la Toile montre qu’un certain nombre d’entre eux ont été récemment attaqués.

La méthodologie de documentation des protocoles d’identification par le biais d’un organisme d’enregistrement permet aux spécialistes les plus compétents dans le domaine d’évaluer ouvertement ces protocoles et, s’ils présentent des failles, celles-ci peuvent être signalées publiquement sur Internet. Les utilisateurs finals peuvent donc évaluer les risques et les mesures de prévention sur la base de toutes les informations qui leur sont nécessaires.»

Il ne s’agit pas de dire que les protocoles propriétaires n’ont plus leur place. L’organisme d’enregistrement fournit également les informations commerciales, concernant l’octroi de licence et les brevets pour chaque protocole d’identification, donnant ainsi la possibilité à d’éventuels utilisateurs de contacter le propriétaire pour obtenir une licence. Les protocoles d’identification qui n’induisent aucun coût pour l’octroi de licence, c’est-à-dire ceux qui ont été mis au point pour les normes ISO/IEC comme ceux que l’on doit au soutien d’entreprises et d’organisations industrielles, sont également disponibles auprès de l’organisme d’enregistrement.

«Pour les développeurs, explique Graeme Freedman, il y a un certain flou autour des questions de propriété intellectuelle quand il s’agit d’utiliser ou d’élaborer de meilleurs protocoles, car personne ne sait s’ils sont déjà utilisés, s’ils appartiennent à des entreprises ou s’ils sont du domaine public. C’est pour résoudre ce problème crucial que le composant registre a été mis au point dans la norme.»

ISO/IEC 24727-6:2010, Cartes d’identification – Interfaces programmables de cartes à puce - Partie 6: Procédures de l'autorité d'enregistrement des protocoles d'authentification pour l'interopérabilité, a été développée par le sous-comité SC17, Identification des cartes et des personnes, du comité technique mixte ISO/IEC JTC 1, Technologies de l’information. Elle est disponible auprès des instituts nationaux membres de l'ISO (voir la liste complète avec les coordonnées) et peut aussi être obtenue directement auprès du Secrétariat central de l'ISO au prix de 106 francs suisses, par l'intermédiaire de l'ISO Store ou en contactant le département Marketing, communication et information (voir colonne de droite).