L’´ emission Rayonn´ ee des Cartes ` a Puce: une Vue d’Ensemble Jean-Jacques Quisquater, Michael Neve, Eric Peeters, Fran¸ cois-Xavier Standaert. R´ esum´ e Depuis bientˆ ot dix ans, la recherche cryptographique s’int´ eresse aux attaques par canal cach´ e. Il a notemment ´ et´ e d´ emontr´ e que le com- portement de tout dispositif peut ˆ etre d´ eduit de param` etres secondaires comme sa consommation ou son temps d’execution. Les ´ emissions ´ electro- magn´ etiques rayonn´ ees par une carte `a puce ou un microprocesseur peuvent ainsi r´ eveler des secrets manipul´ es en cours de fonctionnement. L’objet de cet article est de montrer la port´ ee de ces attaques et d’exposer les contre-mesures pour les pr´ evenir. 1 Introduction L’histoire des attaques par mesure des fuites involontaires de cryptosyst` emes est loin d’ˆ etre un ph´ enom` ene nouveau. A la fin du XIX` eme si` ecle d´ ej`a, on avait d´ ecouvert que certains probl` emes de couplage ´ electrique (crosstalk) pouvaient permettre d’espionner les lignes t´ el´ ephoniques. Plus r´ ecemment (ann´ ees 50), le mot de code TEMPEST fut associ´ e`a toute la m´ ethodologie des r´ eception, ampli- fication et traitement de radiations ´ electromagn´ etiques. Les exemples d’utilisa- tion de tels proc´ ed´ es ne manquent pas. Certains d’entre eux sont d´ ecrits dans [3]. Avec l’av` enement de la cryptographie moderne (1980), les algorithmes furent impl´ ement´ e dans des cartes `a puce, consid´ er´ ees alors comme inviolables. On supposait `a l’´ epoque que “casser” de tels syst` emes ´ etait impossible, vu le temps de calcul prohibitif d’une attaque exhaustive. Ce raisonnement fur largement remis en cause d` e les premi` eres publications relatives aux attaques par canaux cach´ e (1996). L’objectif de ce type d’attaque est de d´ eduire des informations sur les donn´ ees manipul´ ees par un dispositif `a partir de mesures physiques. Des analyses par mesure du temps de calcul (Timing Attack [5]), par mesure de la consommation (Simple/Differential Power Analysis [6]) et plus r´ ecemment des analyses par mesure du rayonnement ´ electromagn´ etique (Simple/Differential ElectroMagnetic Analysis [1,2,4]) furent ainsi appliqu´ ees `a la carte `a puce, avec un succ` e surprenant, grandement facilit´ e par la technologie CMOS (Complemen- tary Metal-Oxide-Semiconductor) en vogue `a l’´ epoque. Ces attaques visent en g´ en´ eral un ou plusieurs bits d’un r´ esultat interm´ ediaire lors de l’ex´ ecution d’un algorithme crypptographique. Le but est d’essayer d’´ etablir une corr´ elation entre leurs transitions pr´ evues de mani` ere th´ eorique (en fonction d’une cl´ e pr´ edite) et les traces de courant et/ou de rayonnement ´ electromagn´ etique. Dans le cas o` u la cl´ e pr´ edite est effectivement la bonne, la corr´ elation entre la pr´ ediction et la