Un certificat de carte à puce fait partie du fonctionnement interne d’une carte à puce. Ces certificats contiennent des informations spécifiques relatives au propriétaire de la carte à puce. Les certificats courants contiennent des informations d’accès, une identification personnelle ou des signatures numériques. Un certificat de carte à puce permet aux utilisateurs de carte de transmettre rapidement des informations de connexion ou d’accès à un lecteur de carte à puce sans avoir à saisir manuellement les données. Puisqu’il permet un accès rapide aux informations privées, le certificat de carte à puce est une cible courante des groupes de surveillance de la vie privée.
Les cartes à puce permettent le transfert rapide d’informations entre une carte spéciale et un lecteur. Une carte à puce a une puce intégrée à l’intérieur, souvent sous un carré de feuille d’or, qui contient ses informations. Ces cartes sont disponibles en deux variétés de base, contact et sans contact. Avec une carte à puce à contact, la carte est glissée directement dans le lecteur. Une carte à puce sans contact doit simplement être à proximité du lecteur pour que les informations soient transférées.
Le certificat de carte à puce ne contient qu’une partie des informations à l’intérieur de la puce. Les cartes à puce ont généralement deux ou trois emplacements où elles stockent des informations. Les certificats sont des zones accessibles en écriture où sont stockées des informations sur le titulaire de la carte. Les puces ont également une zone en lecture seule qui contient des informations spécifiques concernant la puce, les informations de programmation et les clés de sécurité. Certaines cartes à puce ont également une bande magnétique semblable à une carte de crédit, qui contient généralement une série d’informations, à la fois sur le propriétaire et sur la carte.
Quel que soit son contenu réel, un certificat de carte à puce contient des informations personnelles sur son propriétaire. Ces informations peuvent être quelque chose d’aussi simple qu’un numéro de carte de bibliothèque ou une liste de signets de navigateur, ou quelque chose d’aussi important que des scans rétiniens ou des empreintes digitales. Lorsque la carte à puce rencontre un emplacement où ces éléments sont nécessaires, elle vérifie sa clé de sécurité interne par rapport à celle du terminal qui lit la carte. Si le contrôle réussit, les informations sont transférées.
Les groupes de protection de la vie privée s’opposent souvent aux cartes à puce en raison des types d’informations qui peuvent être stockées dans leurs certificats. Une grande partie de l’argument se concentre sur la diffusion d’informations personnelles dans des endroits qui ne l’exigent pas. Par exemple, une bibliothèque n’a pas besoin des empreintes digitales d’un utilisateur pour consulter un livre de bibliothèque, mais si cette information est disponible, il y aura accès.
Une autre partie de l’argument concerne la sécurité de la carte elle-même. Bien qu’il existe des garanties pour empêcher la lecture d’une carte à puce en dehors d’une zone désignée, il est possible de les contourner. En accédant à ces informations par des moyens illicites, les données des utilisateurs peuvent être volées ou modifiées pour donner un accès supplémentaire. Enfin, la carte entière pourrait être volée et des informations importantes de l’utilisateur pourraient être compromises avant que la carte ne soit désactivée.