Retour page d'accueil site sur l'affaire des cartes bancaires
07/06/2000 Spécifications EMV
Nous nous sommes procurés le guide CB de migration à EMV édition avril 2000.
Il confirme que les cartes actuellement en circulation (B0') seront émises jusqu'en juillet 2002 et acceptées jusqu'au 1er juillet 2004 ,
cela laisse le temps aux pirates d'exploiter les failles trouvées par Serge Humpich
et celles des nouvelles cartes émises depuis novembre 1999.
Pire, le protocole EMV (Eurocard Mastercard Visa), qui sera utilisé à partir de 2001 (sur des cartes mixtes B0' / EMV) censé apporter plus de sécurité n'est
qu'une vaste esbrouffe puisqu'il n'exploitera pas toutes les possibilités de sécurité des cartes à puce :
en effet, il n'y a aura pas forcément adjonction d'un processeur chargé de faire des calculs RSA sur les cartes à puce émises.
Donc certains terminaux de paiements électroniques se contenteront de faire une lecture des informations de la puce sans lui demander
de faire des traitements, elles utiliseront la méthode d'"authentification statique offline",
c'est à dire en clair, qu'il sera possible de cloner une carte existante à partir d'une simple lecture.
Enfin l'algorithme RSA utilisé comporte des clés de taille relativement faibles (768 à 1024 bits) qui rendent les cartes sensibles
à l'attaque par factorisation de nombre premiers.
On ne peut que s'étonner que les banques mettent en place des technologies déjà obsolètes.
Mais elles n'avait déjà pas écouté les chercheurs en cryptographie et concepteurs du système d'authentification de
carte bancaire actuellement en circulation. qui avaient prévenus les banques à plusieurs reprises en proposant des systèmes alternatifs plus sûrs.
Nous reviendrons prochainement sur ce sujet du futur système EMV (Eurocard Mastercard Visa).
Retour page d'accueil site sur l'affaire des cartes bancaires