|
 |
|
|
|
Voici la retranscription des échanges sur l'affaire :
Jean-Luc Delarue : A vos côtés, enfin Serge Humpich.
Bonsoir, Serge, bienvenue.
Serge Humpich : bonsoir
Jean-Luc Delarue : Vous êtes le seul homme au monde à avoir fabriqué une fausse carte bancaire avec laquelle vous auriez pu vider tous les distributeurs de France si vous l'aviez souhaité. Qu'avez-vous acheté avec cette fausse carte que vous avez réussi à fabriquer ?
Serge Humpich : Fausse carte à puce, hein.
Jean-Luc Delarue : A puce oui, attention.
Serge Humpich : J'ai tout simplement pris des contacts avec le GIE cartes bancaires et ils avaient tellement de mal à croire que ce que j'avais fait était possible que je leur ai fait cette petite démonstration. Ce sont les seuls achats que j'ai jamais fait avec. Des petits achats que je leur ai immédiatement remis avec les facturettes et on ne me reproche pas ce petit larcin qui n'en ai pas un.
Jean-Luc Delarue : C'était quoi, une grosse voiture ?
Serge Humpich : Non, des tickets de métro, le plus petit achat possible dans notre société.
Jean-Luc Delarue : Avec une carte à puce.
Serge Humpich : Avec une carte à puce, avec des numéros très particulier, 0 1 2 3 4 5 6 7 8 9 comme numéro de carte bancaire. Des numéros inexistants et remarquables, dans des endroits publics, des stations de métro, des stations différentes, à des heures de pointe, pour bien montrer que l'ensemble de leur système était subitement devenu obsolète.
Jean-Luc Delarue : Donc vous souhaitiez travailler avec eux, c'était le sens de votre démarche lorsque vous êtes parti à votre rencontre et au lieu de cela, comme vous aviez prouvé comment cela fonctionnait, ils ont porté plainte contre vous et vous vous êtes retrouvé mis en examen, vous attendez votre procès, on développera tout à l'heure, Serge.
DOCUMENT SUR LES CONTREFACTEURS DE MP3 SUR INTERNET, DE VIGNETTES AUTO, DE CODES BARRE DANS LES SUPERMARCHES.
Puis l'un d'eux déclare rêver de pouvoir frauder les banques et les assurances.
Jean-Luc Delarue : Serge Humpich, comment vous réagissez en écoutant nos invités, vous avez eu le sourire en écoutant Matthieu parler, en tout cas la dernière partie de la conversation.
Serge Humpich : Oui, sur les 3, je trouve qu'il y avait 2 remarques à faire.
La première c'est que l'on pourrait faire un mix entre les 2 personnes qui sont là (les contrefacteurs) pour trouver un danger bien plus important pour monsieur (représentant des producteurs de musique).
C'est à dire que l'on pourrait à la fois compresser de la musique sur des formats MP3, c'est à dire diviser leur taille par 20 et en plus on pourrait graver des CD avec ces MP3 dessus.
Imaginez donc 20 album un CD, vous en faites 20, vous avez tout de suite 400 CD audio sur quelques galettes.
Les DVD vont bientôt pouvoir être gravés.
Imaginez plusieurs milliers de CD audio : on peut graver sur un DVD des CD audios et les écouter sur son PC.
Imaginez plusieurs milliers de CD audios gravés sur un DVD copié en un quart d'heure, cela va faire mal sur le marché : ce n'est plus la peine d'avoir une discothèque etc.
En un quart d'heure vous avez tout. Vous n'aimez pas tout dedans, ce n'est pas grave
Jean-Luc Delarue : Vous sauriez le faire, vous çà ?
Serge Humpich : Alors cela, c'est ma deuxième remarque. Je vais répondre indirectement. Je pense que tous ces 3 font essentiellement preuve d'astuce, ils sont essentiellement utilisateurs de technologies récentes, par conséquence leur nombre peut vraiment se répandre, il n'y a pas vraiment d'obstacle à cela. Donc moi aussi.
Jean-Luc Delarue : Vous êtes actuellement mis en examen Serge pour avoir contrefait une carte bancaire, vous êtes placé sous contrôle judiciaire en attendant votre procès qui aura lieu très prochainement, le 21 janvier prochain. Vous nous aviez dit avant cette émission que vous étiez le recordman du monde de cassage de clé informatique alors qu'est ce qu'une clé informatique et qu'est ce qui vous permet de dire cela ?
Serge Humpich : La clé informatique, c'est équivalent de la clé d'un code secret tout simplement, c'est un mot de passe en quelque sorte.
Jean-Luc Delarue : 4 chiffres pour une carte bancaire en l'occurrence.
Serge Humpich : Voila, dans mon cas il y en avait quand même dans les 96.
Jean-Luc Delarue : Donc vous avez réussi à lui casser des codes avec 96 chiffres .
Serge Humpich : Oui, j'ai appris par la suite qu'il c'était le record du monde effectivement.
Jean-Luc Delarue : Comment vous est venu l'idée, comment vous avez réussi d'abord à trouver la faille des systèmes bancaires pour reproduire les cartes à puce.
Serge Humpich : Il faut déjà comprendre pourquoi j'ai commencé. Simplement en observant comment c'était fait et avec une certaine connaissance de l'industrie, j'ai vu que c'était faisable. Quand vous comprenez que vous êtes capable de le faire, c'est difficile de ne pas essayer de le faire.
Jean-Luc Delarue : Comment vous avez compris que vous étiez capable de le faire ?
Serge Humpich : L'observation du système. La génération d'électronique, la manière dont cela semblait être conçu. J'ai particulièrement vu que beaucoup d'efforts avaient avoir été faits vers la puce et que peut d'efforts avaient été fait dans la protection du terminal de paiement en lui même qui semblait être un gros point faible sur l'ensemble du système.
Le terminal de paiement étant par vocation technique, ne pas être connecté en permanence à un central, par conséquent, toute l'information devait s'y trouver nécessairement et qu'avec mes moyens particuliers, moins de 5000 francs de budget au total, je serais capable d'extraire tout ce qui me faudrait pour travailler.
Petit à petit, les choses se sont mis en place parce que j'avais l'oeil, et j'ai donc une première fois trouvé un moyen de me procurer un terminal de paiement, c'est un restaurant qui faisait faillite.
Cela s'est étalé pendant 4 ans de recherche mais parfois pendant 6 mois je ne faisais rien.
Jean-Luc Delarue : Vous avez passé combien de temps devant votre écran pour trouver la solution ?
Serge Humpich : Je vais répondre mieux : il y a des parties très électronique au fer à souder, un temps majoritaire de réflexion, vous n'avez besoin de rien, et puis devant mon écran, pas mal. Cela doit tourner en tout je ne sais pas, 2 mois, quelque chose comme cela.
Jean-Luc Delarue : Un fer à souder pour la puce ?
Serge Humpich : Non, pour faire des montages électroniques de manière à analyser le terminal de paiement, de manière à le rendre esclave d'un système électronique que moi j'avais fait afin de pouvoir déduire des choses, le tester, l'évaluer.
Jean-Luc Delarue : Comment vous avez réussi à trouver la faiblesse du système ?
Serge Humpich : Je crois que je l'ai vu d'emblée, je vais reprendre un peu ce je vous le disais, dans l'ensemble de sa conception. La faiblesse du système, y en a t'il ?
J'en ai trouvé certaines : hein, je sais comment, avec une carte que je trouve dans la rue, débiter de l'argent avec sans connaître le code, je sais très bien comment, il y a des faiblesses.
Mais, hein, l'ensemble du système, ce n'est pas vraiment une faiblesse, je l'ai entièrement rendu obsolète.
Jean-Luc Delarue : Il y a quelques petits talons d'achille dans lequel on peut s'engouffrer quoi.
Serge Humpich : Il y en avait, il y en avait, très étonnant d'ailleurs pour un moyen de paiement de cette importance.
Jean-Luc Delarue : Excusez-moi, je vous ai coupé, vous dites, vous l'avez rendu entièrement obsolète ? Caduque quoi, il faut passer à autre chose.
Serge Humpich : Oui, c'est à dire, il faut entièrement refaire la chose aujourd'hui, à divers niveaux, parce que j'ai passé diverses étapes importantes, en particulier, le terminal de paiement, il va falloir revoir son électronique, donc il faut les changer, il ne faut pas rêver.
Suite à mon affaire, ils ont commencé.
Il va falloir revoir l'algorithme qui se trouve dans la puce. Parce que le principe de mettre une puce sur une carte reste un bon principe, ce qu'ils ont mis dedans vraiment, cela fait très longtemps qu'ils auraient dû le faire évoluer. Et également, je crois que l'on a évolué aussi sur les niveaux de cryptage que avant on considérait comme sûr et qu'aujourd'hui évidemment, ils ne le sont plus.
Jean-Luc Delarue : Si vous êtes aujourd'hui mis en examen, placé sous contrôle judiciaire, laissé en liberté, c'est aussi parce que c'est vous qui avez été vers le groupement des cartes bancaires pour leur montrer votre découverte. Attention, là vous êtes faible, là vous êtes faible, et donc, vous êtes en danger, quelle a été la réaction du groupement ?
Serge Humpich : Eh bien, nous sommes allé voir pour faire une transaction industrielle tout à fait normale, ils nous ont reçu et ils ne nous ont pas cru, cela leur paraissait tout à fait impossible.
Jean-Luc Delarue : Vous étiez prêt à livrer les chemins par lesquels vous étiez passé en échange de quoi vous demandiez un petit peu d'argent.
Serge Humpich : Nous allions discuté tout simplement. Ils auraient pu nous dire : "nous ne sommes pas intéressé, n'en parlez pas non plus pour des raisons de sécurité", au contraire, ils nous ont reçu, etc, ils nous ont demandé, à voir.
C'est pour cela que je suis allé faire une démonstration. C'est à dire que j'ai acheté ces fameux tickets de métro.
Jean-Luc Delarue : Quelques carnets de tickets de métro dans différentes stations pour montrer que cela fonctionnait dans divers endroits.
Serge Humpich : Et là, je leur ai donné les tickets avec les facturettes et c'était clair, leur système était "out", c'était perdu. On sait maintenant qu'il y a eu une panique gigantesque chez eux. Ils ont vraiment remué ciel et terre. Donc nous étions en contact avec eux, des contacts industriels, cela a été au point de rédiger un contrat de cession de savoir faire et de confidentialité, qui existe, qui est dans le dossier, aujourd'hui. De même, ils ont amené leur juriste, nous avons amené nos juristes, enfin j'ai envoyé mes avocats, même si moi je n'y allais pas personnellement. Et le contrat était discuté par les juristes de part et d'autres.
Jean-Luc Delarue : Est ce que vous auriez pu vider des distributeurs de billets dans toute la France, sans que personne ne s'en apperçoive ?
Serge Humpich : Oui, certains.
Jean-Luc Delarue : Vous avez essayé ?
Serge Humpich : Non non.
Jean-Luc Delarue : Comment vous avez fini par être arrêté ?
Serge Humpich : Ils m'ont recherché, ils ont mis de très gros moyens pour me retrouver.
Jean-Luc Delarue : Parce que c'était plutôt vos avocats qui étaient chargés de la transaction, il y avait des intermédiaires.
Serge Humpich : Oui, ils ont mis de très gros moyens pour me retrouver. Ils ont réussi à me retrouvé car j'avais déposé quelque chose à l'institut de la propriété intellectuelle, ce qui était un premier point qui les aidait à me retrouver. Et puis il y avait les numéros de téléphone etc, beaucoup de filatures, beaucoup de moyens, ils m'ont suivi pendant très longtemps.
Jean-Luc Delarue : La police ou des enquêteurs privés ?
Serge Humpich : La police, je sais que je me garais tous les matins entre 2 et 4 minutes sur le parking.
Une responsable de banque intervient pour dire que la plupart des pertes des banques relatives aux cartes bancaires viennent de l'insolvabilité des porteurs.
La fraude correspondant à la carte à puce est principalement imputable au vol ou à la perte. La part correspondant à la contrefaçon de la puce n'est que de 1 million de francs.
Jean-Luc Delarue : Autant que l'on sache, les banques ont intérêt à se protéger, quand même, Serge, j'imagine qu'elles ne nous disent pas toute la vérité.
Serge Humpich : Aujourd'hui, une chose est certaine, c'est que la carte n'étant pas modifiable, pour des raisons de sécurité, moi j'ai toujours la même dans la poche, cela implique qu'ils n'ont pas changé leur système, ça je suis absolument affirmatif et n'importe quel technicien qui regardera pourra le confirmer certainement.
Un ancien directeur du GIE cartes bancaires intervient pour dire que la fraude a diminué à 0.012% depuis l'introduction de la puce sur les cartes bancaires.
Jean-Luc Delarue : Comment cela se fait
Serge Humpich : Je suis probablement le premier qui passe, aux dires de la police, c'est pour cela. Et cela montre qu'ils ont besoin d'une bonne protection par microprocesseur. Il faudrait qu'ils essaient de garder cela.
Jean-Luc Delarue : C'est le service que vous leur proposez en fait, si j'ai bien compris ?
Serge Humpich : Oui bien sûr.
ancien directeur du GIE cartes bancaires : Je serais très intéressé de voir qu'elle était l'approche de Monsieur sur le sujet, parce qu'il a dû shunter un paramètre du système de sécurité des cartes bancaires, mais il n'y a pas un paramètre dans un système quel qu'il soit, en tout cas dans le système de cartes bancaires, il y en a un certain nombre, ce serait intéressant de voir de quelle manière vous pouvez approcher le problème.
Jean-Luc Delarue : Est ce que vous pouvez répondre dans les grandes lignes en faisant en sorte que tout le monde vous comprenne.
Serge Humpich : Dans les grandes lignes, si vous avez plein de barrières à passer, si vous montrez que vous arrivez au bout, c'est que vous les avez passé toutes. Moi, j'ai montré que je pouvais faire des achats dans des lieux publics, donc j'ai passé suffisamment de barrières pour faire autre chose.
Jean-Luc Delarue : Et vous pouvez prouver qu'avec n''importe quelle carte que vous trouvez par terre ou n'importe quel code auquel vous avez accès.
Serge Humpich : Ca c'est une faille que j'ai vaguement évoqué, une erreur de débutant presque.
Jean-Luc Delarue : Vous n'avez pas l'impression que vous devez les humilier un peu à parler comme cela, quand même ?
Serge Humpich : Non, cela arrive, moi, quand j'ai trouvé que leur système avait pris un sérieux coup de vieux, il avait tout de même tenu assez longtemps, c'est pas mal, hein. Cela arrive après tout dans l'industrie qu'un système devienne obsolète, moi, de manière tout à fait confidentielle, on aurait collaboré, j'aurais vérifié leur système.
Jean-Luc Delarue : C'est gentil vis à vis de leurs ingénieurs de vous montrer si compréhensif vis à vis de la faille humaine.
Serge Humpich : Faut assumer hein.
ancien directeur du GIE cartes bancaires : Je voudrais préciser que même si le système de technologie à microprocesseur actuellement mis en place en France a besoin de certaines évolutions, mêmes s'il en a déjà subi depuis 1987. Faut quand même signaler que, grace à la France, l'ensemble des systèmes de cartes bancaires mondiaux vont évoluer vers la technologie carte à puce. Comme quoi, la technologie n'est pas si mauvaise que cela, elle a besoin d'évoluer.
Page d'accueil sur l'émission ca se discute consacrée aux contrefaçons
Forum sur l'émission ca se discute
Retour site affaire cartes bancaires
