Les banques ont déployé un système obsolète : les experts les avait prévenu 5 ans plus tôt !

DEFAUT TECHNIQUE

EXCLUSIF : ce site contient les documents prouvant que le système français de cartes bancaires à puce n'a pas évolué depuis sa conception par le CCETT en 1983, il n'a été déployé qu'à partir de 1993 alors que des experts mondialement réputés sur la question publiaient dans des journaux spécialisés en 1988 et 1990 (voir encadré) que le système était déjà obsolète. Cette méthode d'authenfication non sûre datant de 1983 est toujours en vigueur en février 2000.
(ces documents étaient diffusés en cours dans les écoles d'ingénieurs).
Pourtant la technologie des puces disponible en 1990 (640 bits) permettait d'améliorer significativement la sécurité du système en changeant seulement le protocole d'authentification. De plus les banques n'ont jamais exploité les propriétés de sécurité de la carte à puce, mais elle a simplement été utilisée comme l'équivalent d'une piste magnétique plus chère, un gadget qui parait moderne en quelque sorte.


La première faille décrite, fréquemment exploitée par les pirates, correspond à une duplication d'une carte existante, elle se fait en interceptant une transaction carte bancaire. Elle est subie au préjudice des porteurs de carte : des opérations mystérieuses leur sont imputées, ils ont beau réclamer auprès de leur banque : rien à faire, elles s'en moquent, ce n'est même pas répercuté dans les statistiques officielles de fiabilité du système ("le système est sûr puisqu'on vous le dit").
La deuxième méthode de cassage du système, celle qu'a employée Serge Humpich, correspond à la création de cartes nouvelles, ne correspondant à aucun compte bancaire réel mais reconnu par le système inerte des terminaux de paiement électronique chez les commerçants comme une carte émanant de l'autorité bancaire. Pour la démonstration faite à la RATP pour 10 carnets de 10 tickets de métro par Serge Humpich, la RATP a bien été créditée de l'opération mais les banques n'ont pu imputer l'opération à un compte bancaire de porteur réel. Donc le GIE CB ou les banques perdent de l'argent avec cette méthode si elle est utilisée. On comprend alors pourquoi elles s'intéressent, tout d'un coup, beaucoup plus à Serge Humpich qu'aux pirates de la méthode 1 !
Etant établi que les banques ont commis une faute en déployant un système obsolète, elle devront assumer leurs responsabilités et remplacer tout le système à leurs frais.
Dans l'avenir, un contrôle démocratique devra s'opérer face au cartel des 176 banques : la transparence totale devra être faite sur les systèmes imposés aux consommateurs et commerçants, c'est leur porte-monnaie qui est en jeu.
Vous pouvez avoir des détails techniques, les références et les auteurs de ces documents dans la chronologie.
Article du Figaro du 15/03/2000 montrant que ces chercheurs avaient prévenus les banques dès 1984 de la faiblesse de la méthode, les banques ne les avaient pas écoutées. Ils avaient proposés en 1987 aux banques un autre algorithme d'authentification sûr qui les ont retoqué, nouvelle tentative en 1989 avec un algorithme à apport nul de connaissance Guillou-Quisquater GQ (voir article Ali baba (voir article Ali Baba dans Advances in Cryptology - Crypto '89)), les banques ont continué à rester sourdes à leurs arguments et ont déployé le système de 1991 à 1993. Plus tard, ils ont cassé une clé de 562 bits, mettant clairement hors course les clés bancaires de 320 bits. ils ont alors proposé aux banques un nouvel algorithme GQ2 que les banques ont également refusé sans l'étudier
Pourtant l'un d'eux (Louis Guillou) est tout simplement le concepteur du système d'authentification des cartes bancaires en 1983 !

AUTRE EXPERT SUR LA CARTE A PUCE

Autre citation page 19 du livre intitulé "PC et carte à puce" de Patrick Gueulle :
"Il est d'ailleurs assez piquant de remarquer que les puces utilisées pour cette application (de télé à péage) sont très sensiblement plus puissantes que celles utilisées dans les cartes bancaires."
page 83 :
"Sauf faute très lourde de l'émetteur d'une telle carte (dont il porterait évidement l'entière responsabilité), on considère donc communément comme impossible de percer le mystère de la partie sécurisée des échanges de données entre la carte et le lecteur"
Page 95, "De toute façon, ne comptez pas sur nous pour vous faire réaliser une carte pouvant être avalée par un distributeur de billets..."

ROLAND MORENO

Roland Moreno confirme les dires du Professeur Quisquater comme quoi ces failles étaient connues depuis 1984 et met en cause les banques. Cela fait partie de son communiqué du 13/03/2000 lançant un défi aux pirates. Voir l'annexe de son communiqué le 16/06/2000.

AUTRE SOURCE METTANT EN LUMIERE LES DEFAUTS DE LA CARTE BANCAIRE

Dans un brevet de 1997 de France Télécom (c'est une entité de France Télécom, le CCETT qui a fait en 1983 les spécifications de l'authentification de la carte bancaire à puce), on peut lire : "Malgré ce risque de fraude par réutilisation, l'identification passive décrite ci-dessus est largement utilisée dans le domaine bancaire et celui des cartes de télécommunication. Des précautions supplémentaires (listes noires, etc...) limitent dans une certaine mesure l'ampleur des fraudes par réutilisation"

DOL

Il existe un autre moyen juridique permettant de mettre en jeu la responsabilité du cartel des banques, c'est un avocat (Maître Sayn) qui nous l'a donné :
tous les contrats concernant des prestations autour des cartes bancaires signés à partir d'août 1998 sont dolosifs.
En effet, à cette date, le GIE carte bancaire avait connaissance de la faillabilité des cartes bancaires vu la démonstration faite par Serge Humpich mais a trompé ses cocontractants en garantissant la sécurité du système.
Le GIE a ainsi vicié le consentement des cocontractants ce qui s'appelle du dol en droit. Conséquence : le contrat est nul.

NEGLIGENCE

Que feriez vous si tout le monde disposait de vos clés ? Vous changeriez vos serrures certainement. Or depuis le 9 février 2000, les clés du système des cartes bancaires à puce sont diffusées largement puisqu'une deuxième personne après Serge Humpich a trouvé le secret des cartes bancaires et l'a diffusé sur Internet.
Cela veut dire qu'avec ces données, de nombreuses personnes mal intentionnées peuvent fabriquer des simulacres de cartes et les utiliser.
Et cela au préjudice des porteurs de cartes et aux commerçants (car les banques ne voudront pas assumer les frais de la fraude).
Les banques n'ont nullement commencer à procéder au remplacement de toutes les cartes bancaires et des terminaux de paiement. Elles commettent donc une faute.

DEFAUT D'INFORMATION

Non seulement les banques ne prennent pas les mesures de précaution qui s'imposent depuis ce 9 février 2000 mais elles n'informent nullement les commerçants et porteurs de cartes des risques nouveaux qu'ils encourent.
Il est en effet maintenant possible pour un ingénieur informaticien doué de fabriquer des simulacres de cartes bancaires.
C'est plus facile à faire qu'un décodeur Canal + de la première génération. Donc de nombreux simulacres de cartes apparaîtront tout prochaînement et innondront le marché. En effet : il fallait quelques heures pour fabriquer un décodeur Canal+ et investir quelques centaines de francs en composants. Alors qu'il ne faudra que 10 minutes à un pirate pour fabriquer 10 simulacres de cartes bancaires pour un coût de seulement quelques francs pièce.
Le minimum serait d'informer les intéressés. Tout au contraire le cartel des banques continue à se réfugier dans la langue de bois en répétant que les "cartes à puces sont fiables et le taux de fraude est réduit".
Plus pour très longtemps.
En omettant d'informer les intéressés de ces risques nouveaux les banques commettent une nouvelle faute engageant leur responsabilité.