Un responsable du cartel des banques déclarait ainsi que cela est rapporté dans un article de la dépêche du midi qu'il espérait une chute de la fraude aux yescards à la fin de ce mois, du fait que la plupart des cartes bancaires émises depuis novembre 1999 comportent "une clé allongée" de 768 bits.
Nous allons étudier si cette estimation de la chute de la fraude aux Yescards est probable ou pas.
D'abord, il faut remarquer que les prévisions publiques du cartel se sont toujours révélées erronées.
Ensuite, les responsables du cartel remarquent eux-mêmes que les attaques à la Yescard "se démocratisent" et on peut noter que
le "kit" de fabrication de Yescard mentionné dans cet article est toujours actuellement diffusé publiquement sur Internet.
Le premier problème technique est que les cartes émises depuis novembre 1999 comportent aussi une valeur d'authentification de 320 bits qui a été cassée.
Il faudrait donc, au moins pour que la fraude à la Yescard se termine que les terminaux de paiement ne lisent pas la valeur d'authentification de 320 bits.
Le deuxième problème technique, les cartes émises depuis novembre 1999 restent clonables sans avoir besoin du code secret à 4 chiffres.
L'opération de clonage du carte bancaire à puce peut être rapide mais elle requiert de disposer d'une vraie carte source (notamment suite à une perte, un vol, subtilisation momentanée, ou interception des échanges),
ce qui limite dans une certaine mesure la fraude vu que ce type de fraude requiert l'association d'une criminalité traditionnelle à des compétences en informatique et est plus risquée.
En effet, la plupart des Yescard actuellement en circulation peuvent être fabriquées sans avoir besoin de modèle.
Ce qui est vraiment déterminant pour réduire les attaques à la Yescard c'est donc de savoir
si les banques ont répudié la clé de 320 bits afin que les terminaux de paiement n'en tiennent plus compte,
la proportion de vraies cartes comportant la seule VA 320 bits importe peu.
A ce niveau là, les responsables du GIE n'ont nullement annoncé la répudiation d'une telle clé (pourtant nous l'avons réclamé à de multiples reprises),
les banques continuent donc leur attitude passive, comptant sur le renouvellement naturel des cartes et des terminaux de paiement.
Elles refusent de payer pour accélerer la migration, encore moins de voir une baisse du nombre de transactions (et donc des commissions).
Vu le silence des banques à ce sujet, on peut penser que la date du 1er mars 2002 tient toujours
prise par le comité de direction du cartel des banques du 03/03/2000.
A compter du 1er mars 2002, un droit à impayer serait instaurer par les banques dans le cas de fraudes
à la Yescard utilisant une Valeur d'authentification forgée de 320 bits.
Cela ne signifie donc pas que tous les terminaux de paiement n'accepteront plus la clé courte à cette date.
D'ailleurs, les banques notaient ainsi le 16 octobre 2001 sur leur site web : "Paiement par carte bancaire à J-80 de l'euro Les commerces de proximité s'équipent lentement".
La meilleure preuve se trouve sur les facturettes : cela devrait faire au moins un an que
le numéro à 16 chiffres complet aurait dû être éradiqué selon les banques, si le terminal de paiement affiche toujours le numéro au complet,
on peut douter qu'il ait le dernier patch sécuritaire.
Cependant, outre l'intérêt discutable d'une telle mesure.
Il suffit toujours de se baisser pour trouver par terre et par hasard des facturettes avec de tels numéros.
Par exemple sur une facturette émise le 27/10/2001 par une crêrie des Hauts de Seine, il y a le numéro à 16 chiffres complet et la date d'expiration
(on en fait la collection, il y en a même avec le nom du porteur,
cela fait au moins quelques facturettes de moins qui ne tomberont pas dans les mains des petits escrocs).
Tout cela nous amène à avoir des doutes sur une baisse sensible à court terme des
exploitations lucratives de Yescards.
Mais encore une fois : ne piratez pas, ne fraudez pas, c'est risqué, c'est compliqué, cela requiert du matériel informatique coûteux,
cela ne rapporte pas beaucoup
et la répression policière est sans pitié, certains se sont déjà fait pincer.
