Le GIE cartes bancaires a commencé fin 1999 à diffuser de nouvelles cartes soit disant plus sûres, mais tant que les anciennes cartes
n'ont pas été remplacés, le problème découvert par Serge Humpich peut être découvert par des ingénieurs informaticiens.
Aucune information sur la sécurité de ces nouvelles cartes n'est divulguée, on peut alors sérieusement douter
d'une amélioration sensible de la sécurité de cette nouvelle version des cartes bancaires.
En effet, les responsables du GIE cartes bancaires prétendent que les cartes utilisées actuellement sont inviolables alors
que les experts prouvaient le contraire concernant les mêmes cartes en... 1988 et réitéraient en 1990.
Quelle crédibilité a le GIE ? aucune, les cartes bancaires françaises à puce resteront une véritable passoire tant que les décideurs
à ce niveau n'ont aucune compétence technique et ont recours à la langue de bois.
Rien n'a changé aujourd'hui, on se bouche les yeux, on n'écoute pas ces experts externes : ils n'ont pas écouter Serge Humpich,
ni les experts.
Pourtant la technologie des puces disponible en 1990 (640 bits) permettait d'améliorer significativement
la sécurité du système en changeant seulement le protocole d'authentification. [par exemple mais il y a mieux : stockage sur la puce lors de l'opération de personnalisation d'une valeur signée à l'aide de la clé secrète sur 640 bits,
transformation de cette valeur à l'aide de la clé publique qui donne un chiffre de 640 bits décomposés en 320 bits d'information sur la carte (numéro, nom du porteur, date d'expiration) et 320 bits
devant correspondre à un masque public pour prouver qu'il s'agit bien d'une carte bancaire]
On l'aura compris, pour les banquiers, les vertus de l'utilisation de carte bancaire à puce n'est pas d'être sûre
mais de paraître moderne (et sure pour ceux à qui l'on aura bourré le crane) : aucune des fonctionnalités de sécurité
de la carte à puce n'a malheureusement été utilisée (les principales fonctions de sécurité sont de pouvoir conserver des
informations secrètes, utiliser la possibilité de faire des traitements est encore mieux).
Le principe d'utiliser des cartes à puce est bon, mais il faut exploiter ses possibilités, avoir recours à des experts réputés
et avoir de la transparence pour que la sécurité du système puisse être vérifié par des tiers totalement indépendants telle que la
communauté scientifique, pour cela, il n'y a qu'une solution : publier l'algorithme, voire même les clés publiques (des nombres mal choisis
peuvent avoir des particularités rendant l'algorithme facilement cassable).
De plus, le déploiement du système d'authentification carte bancaire est très lourd à cause de parties en électronique qui ne peuvent évoluer
à moins de remplacer tout le système, ce qui est cher. Il vaut mieux que les parties qui évoluent soient sous forme de logiciels upgradables.
Alors avant d'imposer le remplacement de milliers de terminaux de paiement aux frais des commerçants, la reprogrammation d'automates,
ou de pousser les consommateurs à s'équiper de lecteurs de cartes à puce chez eux pour effectuer des achats sur Internet
(solutions soit disant "sûres" pour le paiement en ligne,
méfions nous des solutions imposées par les monopoles),
un audit complet et indépendant de la sécurité du système des cartes bancaires doit être fait.
Des solutions ouvertes, indépendantes et transparentes doivent être choisies.
Le système de porte-monnaie électronique sans intermédiaire doit dans tous les cas être préféré à un système
centralisé où les banques prennent de grasses commissions au passage.
En effet, il faut avoir en tête que ces investissements ne sont pas éternels, si on continue comme cela, il faudra tout changer tous les ans.
Pour les consommateurs, dont des opérations fantaisistes sont souvent imputées sur la seule foi des banques, il est primordial
de savoir ce qu'il en est réellement de la sécurité de la nouvelle version de ce moyen de paiement.
Il faut exiger une transparence complète à ce niveau.
Il faut éviter également les systèmes obèses et difficilement évolutifs tels que les terminaux de paiement électronique : il faut tout changer quand le protocole d'authentification évolue : c'est très lourd et le déploiement coûte très cher.
Voici une organisation cible permettant de garantir la sécurité des paiements, la transparence
vis à vis des utilisateurs et un contrôle démocratique.
Cela supprime l'abus de monopole des banques qui sont juges et parties.
Cette organisation est facile à mettre en place, il suffit presque d'appliquer la loi puisque le cartel des banques est en infraction avec la législation sur la certification.
Une loi organisant le secteur des cartes de paiements (cartes bancaires et pourquoi pas porte-monnaie électronique) comme cela s'est fait
pour le secteur des télécommunications (création de l'autorité de régulation des télécoms), le transport ferroviaire
et la distribution de l'électricité.
|
Porte monnaie électronique : toujours pas d'accord ! Article sur les conflits entre les 2 projets de porte-monnaie électronique Moneo et Modeus | |
|
Un exemple à suivre pour le cartel franco-français : les spécifications des futures cartes en service en France sont disponibles sur ce site, y compris les clés publiques RSA de 768 à 1024 bits. Voir aussi emvco.com | |
| Monétique et paiements sur Internet par Email |