Retour page d'accueil site sur les failles des cartes bancaires
L'EDITORIAL DE LA SEMAINE :
Toutes les semaines, l'éditorial dans cette rubrique.
16/04/2001 La Carte à puce démystifiée
Enfin la carte à puce abordable à tous
Dans notre page consacrée à l'exploration de la carte bancaire à puce
nous démontrons que la carte à puce n'a rien de très complexe à observer ni analyser et cela pour un budget très modeste (350 francs environ pour un lecteur de carte à puce).
Cette page se veut didactique, elle suffit pour qu'un débutant un peu débrouillard en informatique puisse refaire l'expérience lui-même sur sa propre carte bancaire
et se rende compte par lui-même de la vérité : la carte bancaire à puce française est obsolète et une véritable
De plus il existe des kits de développement très abordables qui rendent la puce pas tellement plus difficile à émuler
que la piste magnétique
Enfin, cela permet de mettre fin, définitivement, il faut l'espérer à quelques mythes
Le mythe du code secret "protégeant" la carte à puce
On nous rabat les oreilles à répéter que la carte à puce est sûre car elle est protégée par un code secret à 4 chiffres.
Ce genre de mensonge éhonté a semble t'il fait quelques ravages et la plupart des personnes semblent le croire.
Pourtant, depuis le départ (vers 1988), le code secret à 4 chiffres de la carte bancaire n'a joué qu'un rôle secondaire :
IL N'Y A PAS BESOIN DU CODE SECRET POUR LIRE LES INFORMATIONS PRINCIPALES DE LA CARTE BANCAIRE A PUCE
En effet, toutes les informations nécessaires pour cloner une puce se trouvent dans une zone de lecture libre de la carte bancaire.
Cela était prévu depuis 1988, du fait de l'utilisation d'une signature statique et les pirates utilisent cela tranquillement.
Le mythe de l'inviolabilité de la carte à puce
A fore de dissimuler la fraude (ce qui constitue le délit de recel de fraude), les banques ont voulu faire croire que la carte bancaire
à puce ne pouvait être contrefaite, pourtant leurs propre chiffres font mention de plusieurs millions de francs de préjudice dû à la contrefaçon de
carte bancaire à puce franco-française et des commerces de proximité n'acceptant que les cartes bancaires françaises pour des transactions faites à
l'aide de la puce se voient reprocher trop de contrefaçon, au point d'appliquer des taux de commissions de 10 % !
A écouter les officiels, l'affaire Humpich n'aurait jamais existé non plus : voici le cas d'une personne condamné par la justice
de falsification de carte bancaire à puce et où il est notoire qu'il a émulé le comportement d'une carte bancaire à puce
sur une carte à puce programmable dite "Wafercard" et on nous dit que cela n'existe pas !
Le mythe de la nouvelle carte plus sûre
A partir de novembre 1999, les puces des cartes bancaires ont évolué, une clé plus longue (768 bits au lieu de 320 bits) a été introduite
et cela est censé mettre fin à la fraude, mais on oublie de dire des détials :
D'une part, les cartes émises depuis novembre 1999 comportent 2 valeurs d'authentification,
l'une de 768 bits et l'autre de 320 bits et cette dernière valeur d'authentification est bien calculée à l'aide de la clé cassée révélée en février 2000 sur Internet.
D'autre part, que seuls les terminaux de paiement version 5.2 ne prennent en compte cette clé allongée mais qu'ils ne sont prévu d'être déployé que jusqu'en 2004 (mais rien n'oblige les commerçants à en changer, un terminal "agréé" l'est sans limitation de durée)
Enfin que même ces cartes allongées restent clônables sans connaître le code secret et utilisables sur des terminaux derniers cris.
Pourquoi les banquiers ont commis la faute impardonable de ne pas profiter de l'évolution de la carte à puce en novembre 1999
pour stoker la valeur d'authentification de 768 bits dans une zone protégée ?
Pourquoi n'ont ils pas introduit de système d'authentification dynamique qui coûteraient 50 centimes seulement par puce
Pourquoi les banquiers investissent des millions en dépense de communication et rien dans le budget sécurité de la puce elle-même ?
Pourquoi les banquiers continuent ils à fourguer une puce obsolète et une véritable passoire en prenant les français pour des cobayes ?
Le mythe de l'impénétrabilite de la carte à puce
Dans la découverte de Serge Humpich, l'invention de Roland Moreno
n'est pas en cause.
toute la responsabilité incombent aux banques qui n'ont jamais mis les systèmes d'authentification adéquat pour protéger
les secrets de la puce sans la révéler.
Il n'est pas nécessaire de violer la puce pour connaître les secrets de la carte bancaire, il suffit de la lire, d'observer son comportement
et de l'émuler !
Conclusion : il faut exploiter les possibilités de la puce
La puce est un dispositif de sécurité intéressant mais elle ne suffit pas en elle-même à protéger une transaction.
Il faut l'exploiter correctement et surtout ne pas laisser les banquiers
nous endormir avec des discours lénifiant, confier une puce à des banquiers, c'est donner de la confiture aux cochons, ils en font un gadget marketing alors qu'il est possible d'utiliser des fonctions sécuritaires puissants et évolutifs.
Au delà de la sécurité du paiement, il faut réfléchir à la sécurité de l'acte juridique lui-même,
avec la signature électronique
L'avenir est dans la jeunesse et si de nombreux jeunes se lancent dans l'expérience de la découverte et la programmation de la carte à puce,
alors à coup sûr, des solutions concurrentes, innovantes et véritablement sûres verront le jour pour supplanter
la carte bancaire de sa position monopolistique indue.
En effet, un kit de développement tel que celui de BasicCard permet de faire de nombreuses applications à la carte à puce (contrôle d'accès, identification, chiffrement, porte-monnaie électronique...) pour un budget de 650 francs environ après une
auto-formation de quelques heures, cela devient un outil tout à fait démocratique.
Editoriaux précédents
01/03/2001 Le révisionnisme érigé en loi au Conseil National de la Consommation
20/03/2001 La méthode coué pour "sécuriser" le consommateur dans la vente en ligne