Portabilité des MNBC hors ligne : Évaluation de la matrice de risque
01 Résumé Exécutif
Alors que les banques centrales entrent dans des phases de mise en œuvre concrète des monnaies numériques de banque centrale (MNBC), la portabilité hors ligne s'impose comme une exigence essentielle pour l'inclusion financière et la résilience opérationnelle. Cette note présente une matrice de risque de sécurité complète évaluant les compromis entre les environnements de confiance matériels, la prévention du double-dépense et la confidentialité lors des paiements de détail hors ligne.
Nous concluons que les systèmes MNBC hors ligne doivent s'appuyer sur du matériel inviolable (Secure Elements) combiné à des limites de montant strictes et des mécanismes de détection cryptographiques. Nous décrivons les éléments clés de ce cadre d'évaluation des risques.
02 Énoncé du Problème
L'exécution de règlements numériques sans connexion en temps réel à un registre centralisé réintroduit le problème fondamental du double-dépense. En ligne, le registre valide chaque transaction. Hors ligne, le système doit s'appuyer sur un composant matériel de confiance local pour garantir que l'utilisateur ne dépense pas deux fois le même solde.
Si l'appareil physique hébergeant la MNBC (téléphone portable, carte à puce) est corrompu, des attaquants pourraient extraire les clés privées et créer de la fausse monnaie numérique. Ce risque de contrefaçon matérielle représente une menace sévère pour le bilan des banques centrales et la stabilité monétaire.
03 Contexte Politique
La Banque centrale européenne (BCE) et d'autres autorités monétaires ont désigné le paiement hors ligne comme une fonctionnalité majeure pour la MNBC de détail. L'objectif est de répliquer les caractéristiques de l'argent fiduciaire : règlement immédiat, confidentialité et disponibilité en cas de panne de réseau électrique ou de télécommunications.
Cependant, la mise en œuvre de la portabilité hors ligne nécessite de concilier les exigences de lutte contre le blanchiment (LCB-FT) avec la demande de confidentialité des transactions. Trouver le juste équilibre technique reste un défi politique complexe.
04 Analyse & Impact Opérationnel
Notre matrice de risque catégorise les architectures MNBC hors ligne selon trois niveaux de dépendance matérielle. Le niveau le plus sûr utilise un élément sécurisé physique (Secure Element - SE) intégré aux téléphones ou aux cartes à puce. Le SE agit comme une enclave inviolable qui gère la signature des transactions et empêche toute modification frauduleuse du solde.
Toutefois, les attaques physiques par canal auxiliaire et l'extraction de clés en laboratoire restent des menaces réelles. Pour atténuer l'impact d'une compromission matérielle, les banques centrales doivent imposer des limites opérationnelles strictes, notamment sur le montant maximum stockable hors ligne et sur la fréquence de synchronisation en ligne obligatoire.
De plus, des protocoles cryptographiques avancés (signatures aveugles et preuves à divulgation nulle de connaissance) peuvent être déployés pour préserver la confidentialité des transactions hors ligne, tout en permettant la détection a posteriori du double-dépense lors de la reconnexion.
05 Recommandations Politiques
Sur la base de notre analyse de la sécurité matérielle et de l'économie monétaire, nous recommandons aux banques centrales et aux fournisseurs de technologies les normes suivantes :
Normes clés pour les architectures MNBC hors ligne :
- Limiter le solde maximum du portefeuille hors ligne à 150 EUR (ou équivalent) pour réduire l'impact systémique d'une faille matérielle.
- Exiger l'utilisation d'éléments sécurisés certifiés EAL6+ pour tous les terminaux participant à l'écosystème MNBC hors ligne.
- Implémenter des algorithmes de détection du double-dépense qui identifient les fraudeurs lors de la synchronisation et déclenchent la suspension automatique du compte.
06 Références & Citations
- BCE (2024). Rapport de progrès sur la phase d'investigation de l'euro numérique - Focus sur la fonctionnalité hors ligne.
- CPMI (2023). Central bank digital currencies for cross-border payments: security and interoperability principles.
- DCM Core Technical Report (2025). Hardware-Enforced Trust and Cryptographic Bounds in Offline Digital Cash Architectures.