| Roland Moreno est le fondateur en 1972 de la société Innovatron, cette société a pour but d'exploiter des idées. Il lit début 1974 un article sur les mémoires PROM et il a l'idée d'applications dans le domaine financier en enregistrant les transactions de manière irréversible : il dépose un brevet sur la carte à mémoire à l'aide de microcircuits intégrés. | |
| 1977, invention de la carte à microprocesseur par Michel Ugon |
Alors que Roland Moreno a inventé la carte à mémoire, Michel Ugon de Bull CP8 a déposé le brevet
de la carte à microprocesseur, c'est à dire que la carte peut faire des traitements
et fonctionner comme un micro-ordinateur avec des protections renforcée. C'est donc Bul CP8 qui détient les droits sur les cartes les plus avancées (carte bancaire, carte SIM, carte vitale...), les droits de Roland Moreno étant limitées aux cartes à mémoire (notamment les télécartes) |
| 1979, Fabrication de la première carte à puce |
La première réalisation d'une carte à microprocesseur est effectuée dans un atelier de Bull. |
| 1979, Intérêt des banques |
Les banques et l'opérateur télécom public (avant que France Télécom n'existe) commencent à s'y intéresser et un appel d'offres est lancé pour une expérimentation.
|
| 1984, Décodeurs Canal + | Un mois après le lancement des décodeurs Canal +, des plans de décodeurs pirates apparaissent ! |
| Première application concrète de l'invention de Roland Moreno sur la carte à mémoire, les premières télécartes sont mises sur le marché | |
| Les premières spécifications de la carte bancaire à puce repose sur une
signature de 160 bits (nombre de 48 chiffres) généré à l'aide d'une clé
secrète RSA de 320 bits (nombre de 96 chiffres). Pour des précisions techniques sur le principe initial de la carte bancaire à puce, voir l'extrait de l'article de Louis Claude Guillou, Marc Davio et Jean-Jacques Quisquater, paru dans le n° 43, 9-10 des annales des télécommunications en 1988. Ces trois personnes préconisent l'évolution de la méthode qu'ils montrent non sûre. A cette époque, les spécification B0' de la carte bancaire étaient largement diffusées (alors que les même sont maintenant considérées comme confidentielles par le GIE CB, celui là même qui les a diffusé !) | |
| L'un des concepteurs du système et un chercheur en cryptographie prévient les banques des faiblesses du systèmes.
Ils ne seront jamais écoutés malgré de multiples relances par la suite. | |
|
1988 : Découverte d'un problème au niveau de la sécurité de la carte à puce
|
En 1988, un chercheur à découvert le moyen d'utiliser la carte à puce bancaire sans avoir besoin de rentrer le code secret. Ce problème affectait toutes les cartes à microprocesseur fabriqués par Thomson (pas Motoola), pas seulement les cartes bancaires. Cette personne accédait à ces informations en alimentant la puce à l'aide d'une tension sinusoidale. Ce problème au niveau de la conception des circuits intégrés de la puce furent corrigés quelques mois plus tard (en partie au frais du cartel parait il). Cependant, un article du point du 3 mars 2000 sur des recherches par un laboratoire à ce niveau montre que la puce en elle même n'est pas forcément inviolable. |
| Edouard Leclerc saisit le conseil de la concurrence pour dénoncer le cartel tarifaire des banques. Ce dernier a admis le monopole des banques et la responsabilité alourdie des banques compte tenu du monopole mais a débouté Edouard Leclerc car il a estimé que l'introduction de la puce sur la carte bancaire apportait un intérêt économique | |
|
1989 : Apparition de puces sur les cartes bancaires mais elles sont grillées
|
En 1989, des puces apparaissent sur certaines cartes bancaires mais l'expérimentation n'est pas très concluante : un cellule de crise est formée de juillet 1989 à janvier 1990 dans le cartel des banques à cause de destruction de puces. Parmi les principaux problèmes : - Les puces sont déchirées par les fers à repasser - Les puces sont mal serties et se désolidarisent de la carte - Les puces sont grillées par certains terminaux en test ou dans les distributeurs Un certain Louis Noël Joly insista alors sur les dangers du programme par carte à puce dont la sécurité n'était pas assurée et le coût important. |
| 1989 : France Télécom arrête de financer la sécurité de la carte bancaire |
France télécom (à l'époque son nom était la Direction Générale des Télécommunications de l'Etat),
qui finançait la sécurité de la carte bancaire depuis 1983 dans son centre de recherches du SEPT à Caen
arrête de financer cela pour les banques.
Les banques sont obligées de mettre la main au pot. En fait, les banques n'investiront pas sur la sécurité de la carte bancaire et ne feront pas évoluer le système initialement conçu |
| A partir de 1990, les puces commencent à être mises sur les cartes
bleues, mais elles ne servent pas encore à faire des opérations. Certains
bretons pouvaient cependant utiliser leur puce de carte bleue pour
téléphoner dans les cabines téléphoniques et acheter des unités. C'était
donc seulement une super télécarte rechargeable utilisable seulement dans
l'ouest de la France. Cet extrait d'article technique en anglais, daté du 10 août 1990, écrit par Louis Claude Guillou, Michel Ugon (ou là, Bull CP8) et Jean-Jacques Quisquater, paru dans le livre "Contemporary Cryptology : The Science of Information Integrity" montre (voir encadré) que la technologie n'était déjà plus considérée comme sûre à cette époque. Les experts réputés sur la question (cryptographie et cartes à puce) s'accordent tous à ce que l'algorithme soit repensé ou au moins que la taille de clé soit augmentée par exemple à 640 bits ce qui ne pose aucun problème technologique. Il était en effet possible d'améliorer significativement la sécurité du système en changeant seulement le protocole d'authentification (*). Les banques se querellent sur l'avenir du projet cartes bancaires commencé depuis 1983 où beaucoup d'argent a déjà été englouti, changer le système d'authentification aurait coûté de l'argent aux banques et retardé le déploiement du système, plus grave, cela aurait pu pousser certaines banques de se désengager du projet cartes bancaires. Donc, du fait de la lourdeur des banques, leur avarice, leur incompétence technique sans rivale, rien n'est fait sur la sécurité. Il n'y a guère qu'eux à penser encore en 1992 que le protocole conçu en 1983 est sûr. La culture du secret des banques (on ne sait pas ce qui se cache sous la puce) est incompatible avec les pratiques des experts en sécurité qui ont pour habitude de discuter librement des failles et pour principe de publier la méthode d'authentification afin de confronter les avis . On l'aura compris, pour les banquiers, les vertus de l'utilisation de carte bancaire à puce n'est pas d'être sûre mais de paraître moderne (et sure pour ceux à qui l'on aura bourré le crane) : aucune des fonctionnalités de sécurité de la carte à puce n'a malheureusement été utilisée (les principales fonctions de sécurité sont de pouvoir conserver des informations secrètes, utiliser la possibilité de faire des traitements est encore mieux). | |
|
Vers 1991
|
Les premières tensions apparaissent parmi les banques membres du cartel, notamment Marc Viénot PDG de la Société Générale menace de quitter le consortium du fait du coût important de développement du programme de sécurisation par carte à puce et des délai de mise en oeuvre du projet. |
|
La DG IV de la commission européenne dénonce la position monopolistique du Groupement cartes bancaires qui réunit les banques en cartel.
Face à cela, les banques commencent un "lobbying intensif et coordonné avec la plus stricte discipline" | |
| 1992 : toutes les cartes bancaires en France sont équipées d'une puce | Voir le site de la société Innovatron dirigée par Roland Moreno |
| 1993 : début transactions à l'aide de la puce chez les commerçants | En 1993, les terminaux de paiements électroniques font leur apparition chez les commerçants, ils permettent de faire une transaction en vérifiant la carte sans appeler le central téléphonique du GIE Carte Bleue. C'est la mise en exploiration de la puce mais ce n'est qu'un gadget. |
| 1995 : début investigations de Serge Humpich pour percer les secrets de la carte bancaire | Payant son repas dans un restaurant à l'aide de sa carte bleue à puce,
Serge Humpich s'apperçoit que le central téléphonique n'est pas
appelé. Il pense alors que la faille de la carte à puce se situe au niveau du terminal de paiement électronique chez les commerçants et commence les investigations pour percer le secret de la carte à puce. Il rachète alors un terminal de paiement à une entreprise en faillite, le décortique et l'analyse à l'aide d'un analyseur logique de 50 MO tournant à 60 MHz qu'il crée. Pour cela nul besoin de se connecter sur le système central des cartes bancaires, il suffit d'observer le système inerte du terminal de paiement dialoguant avec la carte bancaire à puce. Plutôt que de se procurer la documentation publique sur le mode de fonctionnement de ces puces et terminaux de paiement, il préfère se débrouiller tout seul. |
| printemps 1997 : Serge Humpich parvient enfin à percer le secret des cartes bancaires | Après avoir péniblement analysé le fonctionnement du terminal de
paiement, il parvient à déterminer que pour casser l'algorithme des cartes
bancaires reposant sur une clé d'identification de 96 chiffres générée à
l'aide d'une clé publique RSA de 321 bits, il faut décomposer la
clé publique en facteurs premiers. A l'aide d'un logiciel japonais utilisant les dernières techniques à l'aide de variantes de l'algorithme des "multi polynomial quadratic sieve (MPQS)" pour factorisation les grands nombres en facteurs premiers, Serge Humpich paramétre finement ce logiciel selon les caractéristiques de la clé publique RSA et il parvient à factoriser cette clé RSA et à décomposer la clé publique de 321 bits en 2 facteurs premiers (c'était une petite prouesse à l'époque compte tenu des faibles moyens en puissaance de traitement dont dispose Serge Humpich). Il ne lui reste plus ensuite qu'à exploiter cette information et à fabriquer des simulacres de cartes bancaires à l'aide de cartes à puces programmables du marché. |
| 1997 Budget sécuritaire GIE Cartes Bancaires : 500 000 francs | En 1997, le GIE Cartes Bancaires ne dépense que 500 000 francs pour la sécurité de la carte bancaire. Pourquoi : il n'a jamais fait évoluer la sécurité de la carte bancaire et se désintéresse de la question. |
| mai 1998 : Dépôt enveloppe Soleau à l'INPI et contact conseils en propriété intellectuelle | Après avoir contacté Maitre Jean-Yves Sayn, avocat spécialisé en propriété intellectuelle, il dépose son invention
à l'Institut National de la Propriété Industrielle (INPI) dans une enveloppe Soleau intitulée
"Comment fabriquer une fausse carte bleue à puce ?". Il étudie avec son avocat les possiblités de débouchés pour son invention,
ce dernier prend des contacts avec des industriels pour avoir leur réactions et mieux cerner les acteurs industriels être intéréssé
par cette invention et le savoir faire de Serge Humpich. Le terme "faux" est là pour attirer l'attention, les simulacres de cartes bancaires fabriqués par Serge n'ont rien à voir techniquement avec une carte à puce normale, mais elles permettent de s'interfacer avec les systèmes acceptant les cartes bancaires à puce. |
| juillet 1998 : Serge Humpich commence à négocier avec le GIE cartes bancaires | Après avoir pris conseil auprès d'avocats et de conseils en propriété
intellectuelle et déposé sa découverte sous forme de brevet sous scellé à
l'INPI Serge Humpich contacte via son avocat le GIE cartes bancaires pour
lui faire part de sa découverte et négocier par l'intermédiaire de son
avocat. Le GIE cartes bancaires refuse d'abord puis demande à Serge Humpich de prouver la découverte, ce qu'il fait en achetant 10 carnets de tickets de métro dans un distributeur de la RATP à l'aide de 10 numéros de cartes inexistants différents. Il remet les tickets de métro et les facturettes correspondantes. Des négociations sont entamées pendant plusieurs mois pour faire un contrat de confidentialité et de transfert de savoir faire. Le GIE veut en savoir plus sur la découverte et fournit à Serge Humpich un jeu de 4 cartes bancaires à reproduire. |
| septembre 1998 : Perquisition d'une trentaine de policiers et experts au domicile de Serge Humpich | En croisant la liste des dépositaires de brevets et la facture
détaillée de son avocat intermédiaire, la police a réussi à remonter
jusqu'à Serge Humpich. Il est mis en examen pour contrefaçon de cartes bancaires à puce et introduction frauduleuse dans un système de traitement automatisé de données. Le GIE avait porté plainte à son insu tout en continuant à négocier et jouait double jeu, le GIE a voulu éviter d'avoir à payer le silence de Serge Humpich et obtenir ses secrets par l'intermédiaire de la police à moindre frais. De plus, en faisant cela, le GIE cartes bancaires s'économise les frais d'une personne compétente en matière de sécurité informatique. Pourtant rien n'interdit l'exploitation du secret des cartes bancaires ni la diffusion publique de ce qu'il a trouvé, il a décidé de ne pas l'exploiter à des fins frauduleuses ou à la mafia et il est cependant poursuivi. La juge d'instruction lui a dissuader de le faire, en effet, contrairement aux affirmations du GIE cartes bancaires, la faille trouvée n'a nullement été corrigée, il faudrait pour cela remplacer toutes les cartes bancaires en circulation (le GIE le reconnait en fait implicitement puisque présente les évolutions des cartes bancaires comme une indispensable évolution de la sécurité, voir ici). Voir aussi la réglementation sur les chèques et cartes bancaires, article 67-1 |
| 11 juin 1999 : l'affaire éclate publiquement | Serge Humpich décide de parler publiquement de l'affaire qui risquait
d'être jugée à huis clos et un article de l'Est Républicain révèle la
violation du secret des cartes bancaires et les poursuites dont fait
l'objet Serge Humpich. Le GIE cartes bancaires a tout fait pour assurer le maximum de discrétion à cette affaire. Il continue à faire pression pour que cette affaire ne fasse pas de vagues. Il prétend le problème réparé alors qu'il n'en est rien : la sécurité des cartes bleues n'est plus inviolable et est à la portée d'un simple particulier. Depuis, Serge Humpich est en liberté mais surveillé et filé en permanence. |
| 20 juin 1999 : Censure du sujet sur l'affaire par l'Autre journal sur Canal + | Affaire dans l'affaire, alors que tous les médias commencent à parler
de l'affaire, l'émission "l'Autre journal" de Karl Zéro est censuré par la
direction de Canal + : le sujet est sensible et les banques font pression
pour que l'on n'en parle pas. Cette émission prétend pourtant dénoncer la complaisance des autres médias, c'est le comble ! |
| août 1999 : Licenciement de Serge Humpich de la société GFI Informatique | GFI Informatique, ex-employeur de Serge Humpich, prétextant que Serge
Humpich travaillait pour d'autres sociétés que GFI Informatique (ce qui
est totalement faux, il a bidouillé les cartes bancaires chez lui pendant
son temps libre), l'a licencié de façon expéditive (pour faute grave sans préavis ni indemnités !)
lors de l'été 1999
alors qu'il était en congés, cela correspond à la période de parution des
premiers articles dans la presse. sur l'affaire. De plus l'article L122-44
du code du travail interdit de se baser sur des faits antérieurs de plus
de 2 mois pour justifier un licenciement. Serge Humpich a décidé de riposter et de contester ce licenciement abusif devant les prud'hommes. |
| 15/09/1999 : Serge Humpich donne des détails sur le mécanisme d'authentification des cartes bancaires | Dans cet article dans le journal Pirate Mag n°5, on apprend comment Serge Humpich s'y est pris pour casser le secret des cartes bancaires : la valeur d'identification fait toujours 96 chiffres et n'a donc pas évoluée depuis les spécifications initiales du CCETT en 1983. |
| 14/01/2000 : Révélations de poursuites judiciaires concernant le logo de ce site | Altern, hébergeur de ce site révèle
(voir ici) les 2
poursuites judiciaires engagées par La Poste concernant le logo à caractère
parodique représentant une carte bancaire coupée en 2, tournant en dérision
ce symbole réputé inviolable qu'est la carte bancaire à puce. Laurent Pelé, l'auteur du logo, et responsable de la diffusion du logo puisque stocké exclusivement sur son site parodie.com et présent sur la page en anglais consacrée à l'affaire Humpich n'a quant à lui jamais été contacté. Ces pressions sous le prétexte de "droit des marques" n'échappent pas à des parlementaires chargés d'une mission de régulation de l'Internet par le Premier Ministre, et le mettent sur leur site en parlant de cette affaire La Poste/Altern ! C'est la liberté d'expression qui est menacée. Une audience de référé est prévue devant le Tribunal de Grande Instance le 25 janvier 2000 (La Poste / Altern, intervention forcée Laurent Pelé) |
| 21/01/2000 : procès en correctionnelle |
2 avocats ont assuré la défense de Serge Humpich le Vendredi 21 janvier 2000 à 13 heures.
13ème chambre du Tribunal correctionnel Paris 75001. Palais de justice, 4 bld du Palais.
Comme on s'y attendait, on n'a pas appris lors de ce procès le fameux secret des cartes bancaires, en effet, la juge d'instruction avait retiré tout élément technique du dossier et aucune contrexpertise n'a été effectuée. Le procureur de la république a requis la peine exorbitante de 2 ans de prison avec sursis et 50 000 francs d'amende. Les avocats de la défense ont réclamé la relaxe. Le GIE cartes bancaires a fait le grand écart : - en demandant 1 franc de dommages et intérêts, mais demandant une peine dissuasive, - sous-estimant la découverte de Serge Humpich mais voulant en fait la destruction des enveloppes Soleau saisies par la Justice compromettant encore la sécurité du système des cartes bancaires en France - disant que sa découverte ne fonctionne que sur les distributeurs RATP mais ne lui permettant pas de tester ailleurs (alors que cela fonctionne sur les terminaux inertes des commerçants) En cas de condamnation, qu'est ce qui empêcherait encore Serge Humpich de dévoiler son secret, s'il ne peut bénéficier de la découverte qu'il a faite après de longues recherches, cette découverte lui a en effet été pillée par le GIE des cartes bancaires ? Il existe une loi en France interdisant la diffusion d'information pour fabriquer de faux décodeurs de télévision brouillées (telles que Canal + ou le satellite) mais il n'existe rien de tel pour les cartes bancaires. Celui qui a déposé un brevet pour pallier à la faille des fenêtres Velux qui peuvent s'ouvrir de l'extérieur à l'aide d'une simple tige en Z peut maintenant l'exploiter, pourquoi Serge ne pourrait il pas le faire également ? |
| 09/02/2000 : une deuxième personne après Serge Humpich découvre le secret du système-passoire des cartes bancaires à puce |
Nous tenons à féliciter la deuxième personne après Serge Humpich à avoir découvert le secret du système-passoire des cartes bancaires
et à avoir publié une partie de ce secret sur un forum de discussion sur Internet le 09/09/2000 (15 dernières lignes du message "Qu'a fait Serge Humpich ?" concernant les clés).
Cette personne a diffusé les 3 clés publiques de 321 bits utilisées par le système, en a cassé 2 et l'a prouvé en dévoilant une clé privée. Dans environ une semaine, les premiers simulacres de cartes bancaires à puce devraient être opérationnels. Commerçants, porteurs de cartes : surveillez bien vos transactions cartes bancaires, tous les pirates ne sont pas aussi honnêtes que Serge ! On ne peut que regretter que le cartel des banques n'ait pas jamais écouté Serge Humpich ni les experts et n'a jamais mis les moyens pour faire évoluer son système dans la discrétion ! Serge Humpich avait tout fait pour dissuader les pirates de casser le système en diffusant des informations erronées sur la taille de la clé et le type de facteurs premiers. Plus tard, le 04/03/2000 un autre message fait une démonstration mathématique de ce secret. |
| 25/02/2000 : verdict du procès en correctionnelle |
Serge Humpich est condamné à 10 mois de prison avec sursis, il a fait appel. On espère qu'il sera finalement relaxé C'est une première de condamner un créateur du seul fait de sa création. Ceux qui disent que la carte bancaires sont des menteurs à en croire le cartel mais ceux qui le démontre sont des bandits à en croire la justice. |
| 10/03/2000 : Les médias titrent en une sur le manque de sécurité des cartes bancaires |
Après - la diffusion des clés secrètes bancaires sur Internet, - la divulgation de lettres de la Banque de France réclamant une amélioration rapide de la sécurité - les déclarations d'experts soulignant l'obsolescence de la sécurité de la carte bancaire à puce tous les médias français (presse+télé) font leur une sur le manque de sécurité des cartes bancaires. Les associations de consommateurs réclament le retrait des produits (carte +terminaux) et le paiement intégral de la facture par les banques. |
| 15/03/2000 : le cartel des banques anonce 300 millions de francs pour améliorer la sécurité |
Devant s'expliquer sur la sécurité des cartes, les banques n'ont pas eu d'autres choix que
de décider des mesurettes pour améliorer la sécurité. Cependant le compte de la facture n'est pas bon, une première estimation du coût de la vétusté des matériels s'élève à 11 milliards de francs, les consommateurs et les commerçants refusent d'endosser le coût de remplacement du parc. |
| 16/10/2000 : Humpich en appel |
L'audience devant la cour d'appel du procès Humpich est prévu le 16 octobre 2000 à 13h30 (9ème chambre, section A, Cour d'appel de Paris, 36 quai des orfèvres, Paris 1er).
Il est possible que le procès soit repoussé au 6 décembre 2000.
Cependant Humpich a renoncé à l'appel le 27/11/2000 et la peine devrait donc être confirmée. |
| 22/02/2001 : Fabius annonce la mise sous tutelle de la sécurité des cartes de paiement par la Banque de France |
Cependant, ce plan est consternant car rien n'est fait pour améliorer la sécurité de la carte bancaire elle-même.
De plus, des mesures ultra répressives et liberticides sont scandaleuses |
| 01/04/2001 : publication d'un programme de Yescard sur Internet | Le source d'un programme ressemblant à un émulateur de carte bancaire est publié sur Internet sur un forum dédié aux cartes à puce |
| 18/05/2001 : création d'un groupe d'étude sur la Yescard |
Des hackers, habitués des forums sur la carte à puce (notamment pour les décodeurs de télé)
ont pris l'initiative de se rassembler pour grouper leurs efforts.
Un groupe d'étude sur la Yescard est formé et les membres se partagent leurs connaissances et leurs compétences à des fins d'étude de la Yescard, informer et éduquer les gens. |
| 05/06/2001 : diffusion d'un logiciel boîte à outil pour carte bancaire | Un membre du groupe d'étude sur la Yescard a créé et diffusé un logiciel permettant non seulement de lire et décoder la puce d'une carte bancaire mais aussi d'en faire un clone en quelques clics et même de générer des valeurs d'authentification à partir de numéro à 16 chiffres (ce qui permet d'industrialiser la génération de Yescard). |
| 20/07/2001 : Démonstration à la télé de l'efficacité de la Yescard |
LCI fut la première chaine de télé française à montrer l'utilisation d'une Yescard pour effectuer plusieurs "paiements" par carte bancaire réussi.
Fini les dénégations du GIE sur l'impossibilité d'une telle fraude. |