Source :Réunion du 18 avril 2001 de la commission des finances de l'Assemblée Nationale
"[Monsieur Jean-Pierre Brard] a ajouté que son intention n'était pas de mettre en cause la carte à puce et que, d'ailleurs, toutes les auditions qu'il a réalisées confirment la fiabilité de ce moyen de paiement."
Messieurs Humpich et Laurent Pelé
qui ont été auditionnés ont dit exactement le contraire !
En plus, il faudrait servir de caution et de faire valoir aux mensonges d'Etat !
De qui se moque t'on ?
"Afin de maintenir la confiance dans un instrument de paiement qui a permis de réaliser 26% des paiements en 1999 et de ne pas porter atteinte à l'industrie française de la puce, il était donc essentiel de réagir rapidement."
Ah, on comprend mieux, il ne s'agit pas d'améliorer la sécurité des moyens de paiements mais de ne pas porter atteinte
à la confiance des consommateurs en masquant des cas de fraude existant
et de ne pas gêner à des intérêts privés.
On comprend mieux pourquoi la presse est un bouc émissaire !
Concernant l'industrie de la puce, elle se porterait très bien si les banques utilisaient les possibilités de la puce,
comme l'a dénoncé M. Moreno et comme nous le révélons dans notre explorateur de carte bancaire.
Les industriels de la puce arrivent à l'exporter mais les banques n'ont jamais réussi à exporter leur système obsolète de carte bancaire à puce.
C'est le thème central de la politique de lobbying des banques depuis 1992
"Lors d'une transaction "hors ligne",
c'est à dire sans connexion au réseau interbancaire,
le terminal de paiement vérifie que la carte est bien une carte bancaire,
mais ne s'assure pas qu'elle est rattachée à un compte valide.
La carte fournit au terminal son identifiant
et une valeur d'authentification (toujours la même pour une carte donnée),
qui correspond à cet identifiant chiffré au moment
de la création de la carte à l'aide d'un algorithme
et d'une clé privée connue du seul GIE CB"
Vraiment connu du seul GIE CB ?
Ce sont vraiment des révisionnistes professionnels, cela a été trouvé par Monsieur Humpich en 1998 et
révélé sur Internet dès février 2000.
Voir ici Monsieur Fabius, puisque vous avez la mémoire qui flanche.
C'est vraiment ce qui s'appelle "connu du seul GIE CB"
"Les intervenants on pu noter que la fiabilité de la carte à puce n'était
pas en cause "
Effectivement, puisque les banques n'ont pas exploité les dispositifs de
sécurité de la puce,
on voit mal ce que l'on pourrait reprocher à la puce de Moreno.
Les dispositifs de sécurité de la puce sont :
- proteger des secrets (tels que la valeur d'authentification) à l'aide
d'un
code secret
- faire des calculs cryptographiques a l'authentification.
Aucun dispositif de sécurité n'est présent sur les puces des cartes bancaires
françaises,
elle ne contient que de façon statique en lecture libre 2 valeurs
d'authentification.
Voir l'explorateur de carte bancaire
"ils ont constaté que la puce et le code confidentiel,
clé de voûte du système cartes bancaires,
n'ont été ni contrefaits, ni fracturés. "
Pourquoi faire ? Le code confidentiel ne sert à rien lors d'une transaction
par
carte bancaire a puce ?
Les donnees nécessaires a l'authentification ne sont pas protégées par le
code
secret !
Cependant, cette faille est exploitée sur les terminaux de paiement :
on insère une carte bancaire a puce dont on ne connait pas le code, le
terminal
l'authentifie puis
demande un code, on retire la carte et on en met une autre carte bancaire
dont
le code secret à 4 chiffres est connu,
on tape le code et c'est la premiere carte qui est debitee !
Pas besoin d'être technicien pour cela. le code secret a 4 chiffres ne
protège
rien du tout.
"Il a ainsi été expliqué que l'affaire « Humpich » n'avait pas impliqué
la puce
en elle-même mais la clé d'authentification des cartes lors du « dialogue » avec
certains terminaux de ventes, au demeurant obsolètes et non reliés à un
centre
d'autorisation."
D'abord, l'expérience d'Humpich a bien été faite avec une carte à puce
et elle fonctionne sur tous les terminaux de
paiement
même les plus récents.
Ensuite, la demande d'autorisation fonctionne si un numéro de carte réel
est
utilisé au lieu d'utiliser un nombre au hasard.
Enfin, aucun terminal de paiement n'est obsolète : l'"agrément" ne peut être
retiré et le commercant
peut l'utiliser aussi longtemps qu'il le souhaite son terminal de paiement.
"De même, la possibilité de générer des numéros de code confidentiel n'a
pas été
constatée non plus."
Faudrait arrêter de dire n'importe quoi, le code secret ne sert à rien dans
l'authentification,
il n'y a pas besoin de connaitre le code secret pour lire une carte bancaire
a puce .
"Dans le cas de l'affaire « Humpich »,
ce n'est pas la carte à puce elle-même qui a été mise en défaut
mais bien la façon dont elle est utilisée dans le système bancaire : "
Plus exactement, le système bancaire n'a exploité aucun des dispositifs
de sécurite possibles avec une puce (notamment la protection par le code
secret
de données secrètes et la possiblité par la puce
d'effectuer des calculs cryptographiques),
les banques s'en servent comme d'un gadget paraissant "infalsifiable" parce
que
c'est de l'électronique
mais comme il es possible de lire les données servant à l'authentification
sans
le code secret,
il n'y a pas de protection contre le clonage.
"M. Humpich n'a donc pas pénétré la sécurité de la carte
(il n'a notamment pas réussi à avoir accès aux informations secrètes contenues
dans la carte,
à commencer par le code PIN). "
Alors cela, c'est le summum de la rhétorique, Là où il y a une faille,
ils arrivent à présenter cela comme 2 protections alors qu'il n'y a aucune !
Monsieur Fabius et ses complices banquiers et du Conseil National de la Consommation
sont vraiment de gros menteurs.
Il n'y a pas d'informations secrètes dans la carte puisque les valeurs
d'authentification sont lisibles sans le code PIN
et le code PIN ne sert pas à l'authentification,
il ne sert qu'à insérer une transaction dans l'historique des transactions,
voir l'exploration d'une carte bancaire
"I1 a simplement utilisé une faiblesse dans le protocole d'authentification
entre la carte et certains terminaux pour des transactions
"hors ligne" "
Non pas une mais PLUSIEURS faiblesses TOUJOURS présentes sur tous les
terminaux
et dans les cartes.
Cela fonctionnait aussi lors des demandes d'autorisation pour n'importe
quel
numéro utilise
et fonctione toujours actuellement si on utilise un numéro existant, aurait
il
du tester sur tous
les terminaux de paiement du commerce ?
Peut on a la fois reprocher à quelqu'un
de ne pas prouver sa decouverte tout en l'interdisant de la révéler
et lui reprocher de n'avoir pas tout prouvé ! Une histoire de fous !
"il a trouvé la clef privée mentionnée plus haut et a
fabriqué une fausse carte à partir d'un identifiant valide
et de cet identifiant chiffré avec cette clef secrète,
en programmant la carte de manière à ce qu'elle réponde "Ok"
à tout code tapé."
Oui, preuve que le code secret ne sert a rien : les émulateurs de carte
bancaire
(Yescard) n'en ont pas besoin.
"Enfin, la fausse carte ne peut frauder qu'un seul jour, le temps que les vérifications soient effectuées par le réseau lorsque le commerçant procède à l'opération de « télécollecte »" D'abord la carte dure plus d'un jour si un numéro réel est utilisé, d'autre part, il suffit de changer le numéro de la carte chaque jour, en la reprogrammant, c'est la même carte mais avec des données différentes. Cela prend bien 5 minutes !
"Le passage en cours des cartes et terminaux aux spécifications CB 5.1
(et CB 5.2 puis EMV) s'accompagne d''une augmentation de la longueur de
la clef
privée, qui rend sans effet l'impact de ce type de fraude. Enfin, lorsque
les
cartes bancaires seront conformes au standard EMV et les terminaux adaptés
en
conséquence, l'authentification de la carte deviendra
dynamique
c'est-à-dire
que ce sera la puce elle-même qui mettra en oeuvre l'authentification, ce
qui
augmentera nettement la robustesse du protocole."
Pas vraiment, les cartes émises depuis novembre 1999 comportent 2 valeurs
d'authentification,
l'une de 320 bits cassée par Serge Humpich et révélée le 6 février 2000
sur
Internet
et l'autre de 768 bits.
voir exploration carte avec un lecteur de carte (budget 350 F)
L'allongement de la clé de la carte est inopérant car les terminaux ne
l'utilise
pas encore
(prévu jusqu'en 2004) et d'autre part, rien n'empêche le clonage de cette
clé de
768 bits sur un émulateur
puisqu'elle n'est pas protegée par un code secret
Enfin, concernant EMV, il y aura toujours de l'authentification statique et
les cartes qui seront émises en 2004 seront compatibles avec les anciennes cartes obsolètes.
On ne peut être qu'affligé devant tant de bêtises racontées par les institutionnels, mais ce n'est pas le plus grave : on veut nous interdire de dire que c'est faux, nous interdire de le prouver, et en plus supprimer les archives où nous le prouvions et nous mettre en prison pour avoir une opinion différente !
Tous ces mensonges d'Etat ne répondent pas à une question centrale : subsiste t'il des vulnérailtié sur la carte bancaire ? Nous en avons compté 66 vulnérabilités et aucun point n'a été amélioré, tout au contraire !
Monsieur Vaillant sait il compter jusqu'a 100, à défaut d'avoir appris
l'histoire de Galilée ?
Les tickets de la SNCF sont particulièrement adaptés
à la contrefacon des cartes de paiement, puisqu'il suffit de découper le
ticket usagé autour d'une carte de crédit et
d'encoder la piste magnétique pour l'utiliser dans un distributeur.
Bien entendu, le terme "spécialement adapté" ne signifie rien du tout, tout système informatique
permettant de faire autre chose que de regarder la télé et donc permettre à l'utilisateur de
faire des traitements rentrerait dans le cadre de cette loi !
Talibans, disions nous !
Il faudra également faire un lavage de cerveau pour ne pas détenir dans son cerveau de données adaptées à la contrefaçon de cartes bancaires notamment
l'addition interdite.
Toute personne détenant le numéro à 16 chiffres d'un autre porteur pourra
se
voir incriminé de détenir des informations
adaptées pour la contrefaçon. Exemple au hasard : certaines decisions
judiciaires comportent en annexes des centaines de
numéros de cartes bancaires qui peuvent être réutilisés par extrapolation.
Donner son numéro à 16 chiffres à un commerçant, c'est pire que de donner
un
chèque en blanc :
le numéro peut servir à répétition !
Et tout le monde devrait accepter cela et se contenter éternellement d'un
systeme criminogène aussi obsolète sans remettre en cause le système lui-même
car les banques auront été blanchies et déresponsabilisées suite à des connivences obscures
avec le pouvoir politique !
La loi devrait prévoir 30 ans de réclusion criminelle pour ceux
qui auront sciemment diffusé des moyens de paiement électronique
ou des dispositifs de signature electronique présentant des failles de
sécurité
ou qui n'ont pas pris toutes les mesures necessaires pour assurer la
sécurité de
ces moyens.
Voir par exemple l'excellent article 226-17 du code pénal
(malheureusement toujours bafoué par les site des E-commerce et jamais
appliqué)
:
Plutôt que de corriger les cartes bancaires défaillantes, il faudrait supprimer les preuves de ces défaillances,
ce qui n'empêcherait nullement les fraudeurs d'agir mais les victimes devront continuer à payer.
il déclare ainsi sans rire vouloir
"empêcher la mise en circulation sur " Internet " des logiciels de création
de
numéros de cartes bancaires"
MONSIEUR VAILLANT VEUT INTERDIRE L'ADDITION ET LES CALCULETTES !
Voilà donc l'addition largement répandue depuis plus de 30 ans qui sera
interdite :
si vous stockez cette addition vous risquerez bientôt 7 ans de prison !
Pour vérifiez un numéro de carte bancaire, on double les chiffres de rang
impair
du numéro à 16 chiffres et on additionne les chiffres, si le total est
multiple
de 10, c'est un numéro de carte bancaire qui a un format valide :
Exemple
N°: 4 8 3 3 . 2 4 8 4 . 5 5 0 3 . 3 4 7 2
x x x x x x x x x x x x x x x x
2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1
___________________________________________________
8 8 6 3 4 4 16 4 10 5 0 3 6 4 14 2
On calcule la somme : 8+8+6+3+4+4+1+6+4+1+0+5+0+3+6+4+1+4+2 = 70,
c'est un format valide de numéro de carte bancaire car 70 est un multiple
de 10
Plutôt que d'envoyer tout le monde au trou,
il faudrait que la loi impose aux ministres de participer à une leçon de math de 6ème !
Tickets SNCF, calculettes, kits de développement, ordinateurs, papier, crayon interdits
Les articles 9 et 10 de ce projet de loi sur la "sécurité quotidienne" sont
particulièrement inacceptables et scandaleux :
Article 9
Après l'article L. 163-4 du code monétaire et financier, sont insérés deux
articles L. 163-4-1 et L. 163-4-2 ainsi rédigés :
« Art. L. 163-4-1.- Est puni de sept ans d'emprisonnement et de 750 000
euros
d'amende, le fait pour toute personne, de fabriquer, d'acquérir, de détenir,
de
céder, d'offrir ou de mettre à disposition des équipements, instruments,
programmes informatiques ou toutes données conçus ou spécialement adaptés
pour
commettre les infractions prévues au 1° de l'article L. 163-3 et au 1° de
l'article L. 163-4. " (contrefaçon de carte de paiement ou de chèques)
Article 10
L'article L. 163-5 du code monétaire et financier est remplacé par les dispositions suivantes :
« Art. L. 163-5.- La confiscation, aux fins de destruction, des chèques et cartes de paiement ou de retrait contrefaits ou falsifiés est obligatoire dans les cas prévus aux articles L. 163-3 à L. 163-4-1. Est également obligatoire la confiscation des matières, machines, appareils, instruments, programmes informatiques ou de toutes données qui ont servi ou étaient destinés à servir à la fabrication desdits objets, sauf lorsqu'ils ont été utilisés à l'insu du propriétaire. »
Les cartes bancaires elles-même sont spécialement adaptées pour la
contrefaçon
aussi bien le numéro gravé, que la piste
(lisible et réinscriptible) que la puce (lisible sans le code).
Par exemple, le numéro gravé suffit pour commettre des contrefaçons en le
transposant sur d'autres cartes
(piste ou puce).
Ainsi dès 1988, un fraudeur français a détourné plus de 700 000 F en transposant des numéros inscrits sur une facturette sur la piste
magnétique de sa propre carte bancaire ou celles de proches.
Ce problème subsiste toujours et aujourd'hui plus qu'avant.
En effet, les commercants pouvaient se prémunir contre ce type de fraude en comparant
le numéro sur la facturette
et celui sur la carte. Maintenant, ils ne peuvent plus vérifier que la carte utilisée correspond au numéro sur la facturette
car les numéros et les noms ne
sont plus sur toutes les facturettes.
Ceux (notamment Lebranchu) qui ont décidé le masquage des facturettes (nom
et
numéro) ont manifestement pensé à toutes les conséquences !
Ce n'est pas grave : certains commercants ont perdu jusqu'à 600 000 francs dans
des
fraudes à la piste magnétique sur une carte étrangère contrefaite ou altérée selon la méthode précédente.
Bien entendu , dans ce cas, la banque n'a nullement assumé la garantie qu'elle prétend accorder.
Les kits de developpement pour carte à puce peuvent servir
pour l'observation de cartes à puce ou le developpement d'applications carte a puce.
Ils peuvent servir à toutes sortes d'applications différentes, ceux qui le détiennent
pour d'autres usages que la contrefaçon de carte bancaire ou même de l'émulation de
carte bancaire risquent 7 ans de prison et
ne pourront échapper à la confiscation automatique de leurs ordinateurs,
kits et disques durs même s'ils développent des applications
carte a puce nouvelles n'ayant rien à voir avec la carte bancaire.
C'est vraiment n'importe quoi : les mêmes matériels servent pour des usages
légaux !
Doit on arrêter tous les développements de nouveaux systèmes par carte à
puce
car on utilise des systèmes qui
peuvent servir pour autre chose (du contrôle d'accès, de l'identification, signature électronique, porte-monnaie électronique...), même si on ne fait pas cette utilisation
?
est il possible que des concurrents existent ?
La carte bancaire franco-française de 1983
est
la version la plus achevée et aboutie des technologies
possibles en matière de sécurité de paiement, alors que dès 1988, les
concepteurs
mêmes du système disait qu'il y avait de graves défauts qui n'ont jamais été corrigé depuis !
Le projet de loi nuisible
Ce projet de loi ne contient absolument rien de positif sur les cartes bancaires (par exemple, le rôle de la Banque de France est nuisible, elle est juge et partie car membre
du Groupement Cartes bancaires et émetteurs de cartes bancaires, elle a dissimulée des failles plutôt que de les révéler au public et
a demandé des surveillances clandestines et illégales d'Humpich.
Il n'y a donc aucune raison de croire que la Banque de France mentira moins que les rapports officiels vu plus haut.
La détention de données punie par la loi ? Il faut maintenant supprimer
ses
archives, détruire les livres, CD, articles,
programmes, matériels, logiciels dans un grand feu
de
joie.
Des journalistes vont devoir détruire leurs archives pour ne pas risquer d'être en prison et de toutes façons,
la destruction des données seraient obligatoires du fait de la loi !
Voila, effacés, les messages d'Annie Nomat et de "mail", ils n'existent plus,
tout comme ils n'ont jamais existé dans les rapports officiels de l'Etat.
Bien entendu, ceux qui supprime des données et des archives croyant respecter la loi, ne peuvent pas le prouver
(comment prouver avoir détruit une chose ?) mais cela ne sera pas suffisant, le cerveau permet également de détenir
des données sur la contrefaçon des cartes bancaires.
Mais surtout, on ne peut pas écrire sur un CD déjà gravé : on est obligé de détruire toutes
ses archives sinon on va en prison et de toutes façons les CD seront automatiquement détruits par la justice (c'est dans la loi !)
Ces disques durs et CD contiennent autres choses que des données "adaptées à la contrefaçon de carte bancaire", notamment des oeuvres de l'esprit,
qui seraient automatiquement détruites en vertu de la loi.
Or ces CD sont aussi pour certains
des preuves de création d'oeuvres intellectuelles déposées à l'Agnece pour la Protection des Programmes, par une signature numérique.
Impossible de supprimer une donnée d'une archive sans perdre la preuve de l'antériorité de la création !
Bien entendu, si un journaliste détruit ses archives, contenant par exemple des preuves de ce qu'il avance, en cas d'éventuel procès
(ce site est régulièrement poursuivi par les banques), cela ne l'empêchera pas d'être poursuivi pour avoir diffusé de telles informations
sans pouvoir prouver ce qu'il dit !
Art 5 déclaration de 1789 ayant valeur constitutionnelle : "La Loi n'a le droit de défendre que les actions
nuisibles à la Société"
La loi dont protéger les faibles, et pas les gros cartels nuisibles à la
société.
La volonté de certains de conserver un système obsolète aux risques et périls des autres
Tout cela pour prémunir soit disant la fraude sur Internet a cause de
commerçants a distance
qui font prendre des risques a tous les porteurs, même ceux qui ne se
connectent
jamais sur Internet
(il est impossible de demander a sa banque de refuser tout paiement fait
a
l'aide du seul
numero à 16 chiffres ou de la piste magnétique).
Changer la sécurité des cartes elles-mêmes
Si Messieurs Fabius et Vaillant veulent vraiment améliorer la sécurité de
la
carte bancaire
comme ils essaient de le faire croire avec des belles formules creuses du
style
"Vu la montée de la recrudescence, il ne faut pas s'étonner si la
conjoncture
est générale"
il devraient raisonner et s'attaquer au coeur du problème,
a savoir la sécurité de la carte elle-même plutôt que de chercher des boucs
émissaires.
"Le fait de procéder ou de faire procéder à un traitement
automatisé d'informations nominatives sans prendre toutes
les précautions utiles pour préserver la sécurité de ces
informations et notamment empêcher qu'elles ne soient déformées,
endommagées ou communiquées à des tiers non autorisés est puni
de cinq ans d'emprisonnement et de 2 000 000 F d'amende."
Le projet de loi impossible à appliquer
Que penser d'un projet de loi qui permettrait de punir arbitrairement
quelqu'un qui détient une information - même publique depuis 30 ans -
considérée pire qu'une arme ?
C'est en effet le monde à l'envers, pluôt que les responsables des failles les corrige,
il faudrait détruire les preuves de ces failles tout cela dans un seul but :
dissimuler les mensonges de l'Etat et des institutionnels ?
C'est très clair, ce projet de loi offre la possibilité d'engager des poursuites judiciaires totalement arbitraires au mépris
de tous les droits fondamentaux :
- le droit à la liberté d'expression, le droit à la liberté d'opinion,
- la non rétroactivité des lois et sanctions pénales,
- le droit de la défense (obligation de détruire les preuves),
- le droit à un procès équitable
(le procès de la presse a déjà été fait lors du Conseil National de la Consommation en absence de tout journaliste)
- le droit à la présomption d'innocence (ce n'est pas parce qu'on détient des données ou du matériel spécialement adapté à la contrefaçon de matériel que l'on fait cette activité),
- le droit à participer à l'élaboration de la loi,
- le droit à un débat démocratique,
- le droit à l'éducation, la recherche et l'innovation,
- le droit constitutionnel à toute personne à résister à l'oppression,
- le droit à la personnalisation des peines,
- le droit de la concurrence,
- le droit constitutionnel de propriété
(on ne peut être privé d'une chose que par nécessité publique constatée par la loi après une juste et préalable indemnité),
- la libre circulation des idées et des biens dans l'union européenne,
- le principe constitutionnel comme quoi la loi ne doit défendre que les actions nuisibles à la société.
Dans ces conditions, si ce projet de loi venait à entrer en vigueur,
la loi ne sera pas appliquée car elle est impossible à appliquer.
On ne s'étonnera pas
après que les institutionnels soient fustigés dans l'opinion.
Editoriaux précédents
01/03/2001 Le révisionnisme érigé en loi au Conseil National de la Consommation
20/03/2001 La méthode coué pour "sécuriser" le consommateur dans la vente en ligne
16/04/2001 La Carte à puce démystifiée