|
|
|
| Des Hackers expérimentent avec succès la "Yescard". | |
| Commentaire de l'article de Patrick Gueulle dans la revue le "Virus Informatique". | |
| Explorez votre carte bancaire à puce en 5 minutes, pour cela pas besoin de connaître le code secret. | |
| Le source d'un programme de Yescard semble avoir été révélé sur Internet ! | |
| Apprenez les maths pour devenir chef du Gang | |
| Plus de 50 méthodes d'attaques de la carte bancaire expliquées ! | |
|
Cet article technique de 1988 paru dans la revue les annales des télécommunications met en lumière que la sécurité des cartes bancaires est insuffisante. La méthode d'authentification exposée dans cet article est toujours en vigueur malgré les conseils de ces experts pour faire évoluer la méthode (Ce qui constitue une faute). | |
|
Un internaute anonyme a envoyé un message technique sur un forum de discussion. Il montre que cette personne a fait des études approfondies sur le sujet et est tout prêt d'aboutir. Il a établi la preuve mathématique qu'il connaissait une partie importante du secret de la carte bancaire et l'a diffusé sur Internet, ce qui permet à d'autres d'en bénéficier. Il reste maintenant la mise en oeuvre pour fabriquer des simulacres de cartes bancaires à puce reconnues par les terminaux de paiements. A noter que la plupart des informations sur cette page viennent de ce forum fr.misc.cryptologie | |
|
un article très technique posté sur un forum de discussion fait une démonstration mathématique à l'aide d'un logiciel de calcul grand public
du secret de la carte bancaire à puce actuellement en circulation Ce secret étant révélé, il ne reste plus qu'à le mettre en oeuvre ! Voir aussi explication de cette formule (rubrique Sécurité) | |
| Ce site fait un résumé des techniques utilisées par la carte bancaire à puce, les clés utilisées et avec des informations inédites. Il montre que ce problème suscite de l'intérêt de la part de nombreuses personnes. | |
|
Livre "PC et cartes à puces"
|
Patrick Gueulle, a écrit un livre apprécié sur la programmation de la carte à puce ("PC et cartes à puce" , éditions ETSF). En préface, on peut y lire des propos pleins de bons sens sur l'"omerta" qui entoure la carte bancaire à puce : "Il faut dire qu'en raison de la 'sensibilité' des applications de l'époque (essentiellement de nature 'monétique'), un épais mystère a longtemps été entretenu autour de l'art et la manière de lire et écrire dans les cartes à puce". Il a également dit plus généralement "Sauf faute très lourde de l'émetteur d'une telle carte (dont il porterait évidement l'entière responsabilité), on considère donc communément comme impossible de percer le mystère de la partie sécurisée des échanges de données entre la carte et le lecteur" et il rajoute que toute faille pouvant être découverte dans une puce était de la responsabilité du concepteur. Autre citation page 19 de son livre "PC et carte à puce" : "Il est d'ailleurs assez piquant de remarquer que les puces utilisées pour cette application (de télé à péage) sont très sensiblement plus puissantes que celles utilisées dans les cartes bancaires." Ce livre contient un chapitre entier sur la carte bancaire et même un programme en assembleur pour faire un simulateur de carte à puce asynchrone sur un PIC 16C84 ! Un must ! |
|
Langage de programmation en basic pour faire des calculs sur les grands nombres. | |
|
Ce site propose un programme pour les télécartes. A noter que les cartes bancaires sont asynchrones (carte à microprocesseur)
alors que les télécartes sont synchrones (carte à mémoire)
Voir aussi la FAQ sur la télécarte Make your own phone card by Stéphane Bausson, et Make your own phone card by Stéphane Bausson" target="_top">volume 2 | |
| Canular pour fabriquer une fausse carte bancaire (à un moment donné un mot de passe est demandé, cherchez bien, il se trouve sur la page !) | |
|
Un exemple à suivre pour le cartel franco-français : les spécifications des futures cartes en service en France (vers 2002) sont disponibles sur ce site, y compris les clés publiques RSA de 768 à 1024 bits. Au moins cela pourra occuper les plus doués des hackers qui trouvent la carte bancaire à puce française datant de 1983 trop facile pour eux ! Voir aussi emvco.com et Bull CP8 | |
|
Roland Moreno propose 1 million de francs à quiconque trouverait le code secret à 4 chiffres d'une carte à puce (lors d'une interview sur Europe 1). Il est exact que dans l'affaire de la sécurité des cartes bancaires, le problème ne vient pas de la puce mais de sa mise en oeuvre par les banques qui ne tirent pas parti pleinement des propriétés de la puce et dont les tailles de clés étaient insuffisantes dès leur conception. Les banques assumeront seules cette faute de conception et nous partageons l'avis de Serge Humpich qui a toujours dit que "le principe de mettre une puce sur une carte bancaire est bon". Il est possible de découvrir le secret d'une puce, pour cela, il faut la bombarder au laser et l'observer au microscope électronique, ce qui la détruit et présente peu d'intérêt, mais dans ce cas là, Roland Moreno ne paiera pas le million car les conditions sont draconiennes (même celui qui avait trouvé une faille dans la puce en 1988 ne l'aurait pas). | |
| Article en anglais lors du cassage en 7 mois du RSA 512 bits utilisé pour des transactions sur Internet | |
| Failles dans l'authentification des cartes bancaires à clé rallongée (RSA 768 bits) émises depuis novembre 1999 | |
| Logiciel développé par le groupe The Hacker Choice "THC", il s'agit d'un générateur de numéros de carte bancaire avec indicatifs de préfixe de banques et extrapolation de numéro de cartes bancaires. (Les préfixes des banques françaises commencent généralement par 497) | |
| Programme de vérification du format de carte bancaire en Javascript | |
| Le format (clé de Luhn) des numéros de cartes bancaires peuvent être vérifiés avec ce logiciel | |
|
Le site de ce vendeur de toutes sortes de matériel pour programmer des cartes à puce met
aussi des explications sur la carte à puce, les standards, les utilisations, des liens. Voir aussi microchip.com | |
| Infos sur les cartes à puce | |
|
Lecteur de carte à puce
voir aussi : Smartcard Developer Association. Attention, requiert un logiciel pour explorer la puce. | |
| Smartcard explorer software, nécessite un périphérique spécifique. | |
|
Cette méthode brutale de violation des cartes à puce (enlèvement du masque de la puce à l'acide, ajout/suppression de micro-connexions au laser, observations au microscope électronique, soit la destruction de pas mal de puces) a en fait été explicitement exclue du défi de Roland Moreno. Il parait même que ces manipulations décrites dans cet article très sérieux étaient pratiquées dans une école d'ingénieur de la région parisienne avant qu'un étudiant en abuse... | |
| Ce groupe de hackers donne quelques informations sur les différents types de carte bancaire. | |
|
La carte préférée des bidouilleurs chevronée en électronique, elle comporte un circuit PIC 16F84 permettant de programmer
n'importe quoi à l'aide d'un programmateur spécifique
MK14
ou FX programmer.
L'intérêt de la Wafercard est que le processeur PIC est directement intégré sur la puce de la carte, il n'y a donc pas un gros composant qui dépasse à l'autre bout de la carte. Attention, la documentation et les logiciels pour lire et programmer de telles cartes sont peut être laconiques. A ne pas mettre entre toutes les mains ! | |
|
Le livre de référence en matière de carte à puce, une nouvelle version sortira le 13 septembre 2000.
Voir aussi Smart Card Developer Kit un livre sorti début 1998 accompagné d'un CD pour programmer les puces et une interface avec un lecteur. Nous ignorons si ce livre comporte un lecteur de puce. | |
|
Ce kit de programmation permet au débutant de s'initier à la programmation
des cartes à puce pour un faible budget et de développer rapidement des applications
carte à puce dans un environnement dédié avec un debugger très pratique
car simulant le comportement de la Basiccard.
Ne permet pas a priori d'émuler les cartes bancaires car la programmation ne fonctionne (pour l'instant) que sur les cartes asynchrones qu'en mode T=1 alors que la carte bancaire est en mode T=0. Cependant, il est possible que certains terminaux acceptent des cartes du type T=1. Pour lire et explorer des cartes T=0 avec ce lecteur, il est possible d'utiliser le logiciel CardEasy.zip créé par un inconnu. Est fourni avec des algorithmes DES, triple DES, IDEA ou courbes elliptiques 161 bits (il n'y a malheureusement pas de RSA pour l'instant, mais le brevet RSA étant maintenant dans le domaine public, cela peut arriver, il est également possible de le programmer soi même en Basic (pré-compilé) mais les temps de réponse ne seront peut être pas terrible) C'est donc un excellent qualité prix par rapport à d'autres kits de programmation en Java par exemple (cependant, le kit Cryptoflex de Schlumberger permet de faire du RSA 1024 bits, programmation en Java). | |
| Imprimantes pour personnaliser des badges, cartes de paiement ou systèmes d'encodage en série de carte à puce. Il est probable que ce matériel se trouve aussi chez Surcouf. | |
|
18/05/2000 France 2 20h50
|
Emission Envoyé Spécial sur les failles de la carte bancaire : un pirate de carte à puce explique qu'il souhaite diffuser le mode d'emploi sur Internet car il considère le système des cartes bancaires à puce obsolète suite à la diffusion des clés sur Internet ! |
|
Plans pour fabriquer un lecteur de piste magnétique. Des sources du logiciel pour décoder les informations
sur les pistes magnétiques des cartes bancaires est fourni avec.
Le lecteur peut aussi être acheté chez conrad.de ou hopt-schuler.com |