Le Tribunal correctionnel de Versailles a rendu son jugement dans le procès
qui s'est déroulé du 25/02/2002 au 27/02/2002, impliquant 14 personnes dans un réseau d'escroquerie à la carte bancaire par la technique de la White Plastic,
Le chef du réseau écope de 4 ans de prison ferme (6 ans ferme avaient été requis par le procureur). 2 personnes ont été relaxées.
Rappelons que cette affaire avait fait 1500 victimes pour un préjudice estimé à 900 000 euros mais seules les banques s'étaient portées partie civile.
12 personnes devront donc rembourser cette somme.
D'après ce que disait le procureur, ce réseau aurait fait partie d'un réseau plus vaste opérant en Italie et dans les Pays de l'Est
mais les chefs de ces réseaux étrangers courrent toujours et n'ont nullement été inquiétés, ils ne semblent même pas avoir été identifiés précisément.
Voir aussi 27/02/2002 Le Parisien : 6 ans de prison requis contre des pirates de carte bancaire
Notre article du 25/02/2002
Un pas décisif semble avoir été franchi aujourd'hui dans les attaques de l'algorithme de crypto RSA.
Daniel J Bernstein expose dans un article qui vient d'être publié comment faire des systèmes qui décomposent très rapidement de grands nombres en facteurs premiers.
Il propose un saut qualitatif très important puisqu'il dit que des nombres de taille 3 fois plus gros qu'actuellement environ pourront être factorisés dans le même temps !
Ainsi, un nombre de 768 bits (voila celui qui orne les cartes bancaires mises en circulation depuis fin 1999) serait factorisé
avec autant de moyens qu'il en faut actuellement pour factoriser un nombre de 256 bits environ.
Or on se souvient que Serge Humpich avait factorisé en 1998 un nombre de 321 bits en quelques semaines avec son ordinateur personnel !
Le record de factorisation est actuellement de 512 bits, ce record risque d'être pulvérisé sous peu, l'article de Bernstein dit que les clés de 1536 bits sont à la portée. Cependant cela requiert la fabrication de machines spéciales. Cela est courant en crypto, il existe ainsi des machines cassant du DES 56 bits en 2 jours. De plus, les services secrets américains (la NSA - National Security Agency) font courrir le bruit qu'ils disposent déjà d'une telle machine pour casser du RSA.
Bien entendu, nous déconseillons à quiconque de mettre à mal de façon pratique,
l'inviolabilité prétendue des cartes bancaires à puce
franco française (d'ailleurs toujours clônables sans connaître le code secret).
En effet, le cartel serait une nouvelle fois ridiculisé
et il n'aime guère que que l'on joue avec lui !
Selon lui, la sûreté des cartes bancaires serait une affaire sérieuse.
Raison de plus pour la confier à d'autres (rappelons que la clé de 321 bits est toujours présente dans toutes les cartes bancaires, elle est encore utilisée bien
qu'elle soit cassée depuis 1998 comme cela avait été prévu dès 1988).
Cet article de Bernstein remet aussi en cause tous les procédés de chiffrement ou d'authentifation basé sur RSA et
utilisant des clés pas trop grosses (dont PGP pour les clés inférieures à 1536 bits).
Cet article très technique mérite une étude approfondie, mais d'ores et dèjà,
des observateurs avertis ont salué les innovations et optimisations de Bernstein permettant d'éviter les calculs redondants
et l'implémentation de l'algorithme NFS (Number Field Sieve) de façon non linéaire.
Article au format PDF
Quatorze personnes ont comparu cet après-midi à Versailles dans le cadre du procès concernant une vaste contrefaçon de cartes bancaires (1500 personnes victimes, préjudice évalé à 910 000euros).
Les faits datent de novembre 2000, des complices situés dans des stations service lisaient la piste magnétique de la carte bancaire tandis qu'une caméra vidéo ou un système de miroir permettait d'apercevoir subrepticement le code à 4 chiffres composé par le client.
Une fois le contenu de la piste magnétique transposée sur la piste magnétique d'une carte blanche, les fraudeurs n'avaient plus qu'à retirer de l'argent en France (avec le code secret noté) ou faire des achats à l'étranger (Espagne et Italie).
Cette technique d'attaque de la carte bancaire est aussi appelée "White Plastic"
Les porteurs de carte français sont toujours exposés à ce risque puisque les distributeurs de billets à l'étranger ne lisent jamais la puce.
Lors de la conference RSA 2002, un exposant - la société DataCard - a fait sensation en cassant devant les visiteurs des cartes à puce, en extrayant des clés secrètes DES et 1 ou 2 minutes, en extrayant des clés triple DES en 5 minutes. Ils arrivent aussi à extraire la clé secrète RSA (soit retrouver les 2 nombres premiers) cachée dans une carte à puce dans le même temps.
Ils utiliseraient pour cela les attaques par Differential power analysis et Differential fault analysis
Voilà de quoi encore remettre en cause l'inviolabilité prétendue des cartes à puce.
La commission européenne vient de proposer une réglementation sur la brevetabilité des
logiciels.
Cependant, il y a de gros problèmes au niveau de l'interprétation de ce texte qui semble maquiller l'introduction en douce des brevets logiciels.
Alors que la commission prétend que cela renforce la non-brevetabilité des logiciels en tant que tels et contrarie la jurisprudence de l'Office Européen des Brevets,
le texte lui-même apparait plutôt comme un recul pour les tenants du logiciel libre.
De plus, la rédaction du texte semble avoir été faite directement par les lobbys américains du logiciel.
Ainsi le communiqué
indique qu'elle exclue la brevetabilité des programme informatique en tant que tels
extrait :
"Exclusion des programmes "en tant que tels"
La proposition ne permettra pas de breveter les programmes informatiques "en
tant que tels", c'est-à-dire abstraction faite de la machine qui les
exécute. Elle s'écarte sur ce point de la pratique suivie jusqu'à présent
par l'OEB et certains tribunaux nationaux. La proposition répond ainsi la
crainte que la brevetabilité des programmes informatiques "en tant que tels"
pourrait effacer la distinction entre la portée de la protection par le
droit d'auteur et la protection par le brevet et que, une fois mis en œuvre,
les brevets comprenant de telles revendications serviront à prévenir la
décompilation et d'autres activités jugées licites au regard des programmes
informatiques déjà protégés par le droit d'auteur."
Toutefois, sans risquer la contradiction, le communiqué de la commission
admet qu'une partie d'un "progiciel" puisse faire l'objet d'un brevet !
Par ailleurs, la commission ne s'étonne nullement que les liens hypertextes puissent faire l'objet d'un brevet (voir la fin de ce document),
alors que sans eux, le web n'aurait pu exister. Bref, il serait normal de redevance à British Télécom à chaque fois que l'on clique sur un lien !
Le communiqué de la commission ajoute qu'un logiciel, pour être brevetable doit apporter une contribution technique. Mais cette précision ne semble guère protectrice, l'activité inventive (dépassant l'application de l'état de l'art par une personne du métier) était déjà de toute façon nécessaire pour déposer un brevet.
Cependant la rédaction du texte même de la directive
n'indique pas cela de façon très clair.
Ainsi, si le considérant 13 du texte dit
qu'"un algorithme défini sans référence à un environnement physique ne présente pas un caractère technique et ne peut constituter une invention brevetable"
cela mériterait de figurer dans le texte même des articles,
le même considérant admettant qu'"une procédure définie ou une séquence d'actions exécutées sur un appareil tel qu'un ordinatuer peut apporter une contribution à l'état de la technique et constituer ainsi une invention brevetable".
Est ce à dire que si l'on exprime dans la demande de brevet l'algorithme sous forme de séquence d'action, il aurait plus de protection ? Cela n'a aucun sens puisque cette expression de l'algorithme est déjà protégée par le droit d'auteur !
Cela provoque la fureur des tenants du logiciel libre. De plus, le texte même de la proposition de directive semble avoir été écrit sous Word par un membre du Business Software Alliance
groupe de pression principalement composé de Microsoft.
Eurolinux crie ainsi au scandale et à la manipulation.
Dans son commentaire de l'article 5 de la proposition de directive,
la commission dit que l'article 5 ne s'applique pas aux programmes informatiques en tant que tels.
Elle dit qu'il faut que le programme informatique soit exécuté par un ordinateur. Or les logiciels sont nécessairement exécutés sur un ordinateur.
Une interprétation de cet article 5 (selon le commentaire et le communiqué), serait que pour que le programme d'ordinateur soit brevetable, il faudrait qu'il soit exécuté sur un ordinateur spécialement conçu pour cela.
Le brevet logiciel ne protégerait pas le logiciel "abstraction faite de la machine qui les exécute"
Cependant, le texte même de cet article 5 ne fait référence que très vaguement (le mot "tel") à une telle subtilité et ouvre en fait la voie à la protection d'application logicielle exécutée sur des matériels totalement génériques tels que des PC (sous Windows ou Linux).
A notre avis, il faudrait ajouter à cet article 5, que l'ordinateur doit être spécialement conçu, prévu ou adapté pour exécuter le logiciel ou ne servir qu'à cela.
et qu'"un algorithme ou procédé défini sans référence à un environnement physique ne présente pas un caractère technique et ne peut constituter une invention brevetable"
Sinon, ce texte, serait très hypocrite et au lieu d'uniformiser la jurisprudence et de limiter les incidences néfastes des brevets logiciels, bloquerait tout au contraire les systèmes à base de logiciels libres.
En effet, le texte même de la proposition de directive supprime la "non brevetabilité des programmes informatiques en tant que tel", sans contrepartie, il n'y a donc pas de raison de prétendre comme le dit la commission,
qu'elle permet de limiter les dérives de la jurisprudence de l'Office Européen des Brevets et de certains tribunaux.
Loin de clarifier les choses elle entrenerait des flous juridiques certains.
Il est indispensable d'exclure clairement de la brevetabilité l'algorithme du logiciel mis en oeuvre par un ordinateur personnel générique pouvant servir à
beaucoup d'autres choses.
A noter que quoiqu'il en soit, pour être brevetable, un logiciel doit avoir une application industrielle, ce qui exclu certains types de logiciels.
Rappelons qu'une polémique s'était installée sur les brevets logiciels,
opposant les tenants des logiciels libres qui disaient que l'instauration des
brevets sur les logiciels en tant que tels remettait en cause les fondements
même du logiciel libre.
Ainsi, en France on peut faire un brevet de procédé qui correspond tout à fait
à la description de l'algorithme d'un logiciel.
Mais comme les logiciels "en
tant que tels" ne sont pas brevetables (vu la convention de Munich et le
point 3 de l'article L 611-10 du code de la propriété intellectuelle),
pour contourner cela, les rédacteurs de brevet mettent en oeuvre des moyens
techniques (genre des "moyens de calcul, stokage de données appropriés").
Par contre, n'est pas protégé l'algorithme du logiciel mis en oeuvre par un ordinateur personnel générique pouvant servir à
beaucoup d'autres choses.
Bien entendu, le logiciel lui-même (sources et exécutables) reste protégé par le droit d'auteur (et donc l'expression de l'algorithme est protégé).
Mais rien n'interdit actuellement de faire un autre logiciel utilisant le même algorithme mais programmé de façon substantiellement différente.
Voir aussi
Contre les brevets logiciels http://www.eurolinux.org/
Pour les brevets logiciels http://www.brevets-logiciels.com/
20/02/2002 Communiqué de la commission européenne
20/02/2002 Proposition de directive sur la brevetabilité des logiciels
article de ZDNet du 20/02/2002
article de ZDNet du 21/02/2002 : Polémique: l'ombre de BSA plane sur la directive européenne "brevets logiciels"
Le journaliste animant Kitetoa.com vient d'être condamné à 1000 euros d'amende avec sursis
par le Tribunal correctionnel de Paris.
Il avait découvert un fichier de clients du site de Tati dans une zone non protégée de leur site qu'il avait accéder avec un navigateur standard (Netscape).
1 an après avoir prévenus les responsables de Tati de l'existence de cette faille non corrigée.
Suite à cette condamnation totalement scandaleuse (qu'y a t'il de frauduleux d'accéder à une zone absolument non protégée d'un site ?),
nous encourageons les personnes qui auraient rempli un formulaire sur le site de Tati de les poursuivre
au pénal sur le fondement de l'article 226-17 du code pénal pour négligences de la sécurité de protection de données personnelles.
Voir article de Kitetoa à propos de Tati du 12/02/2001
article du 30/05/2000 révélant une faille.
Hier, Canal + a diffusé 2 reportages relatifs à la fraude à la carte bancaire
à l'aide de Yescard maquillées (puce de Yescard découpée et greffée dans le plastique d'une carte bancaire normale).
On voit des pirates remplir des caddies dans les supermarchés de DVD et de matériel informatique
et agir en groupe (commando de plusieurs voitures).
Suite à la diffusion de ces reportages, le cartel ne semble pas du tout les avoir apprécié et ,
le journaliste a répliqué et dénonce publiquement
les pressions bancaires pour tenter d'empêcher la diffusion des informations relatives au niveau réel de sûreté des cartes bancaires.
Il parle aussi de manipulation
(l'administrateur du GIE avait dit sur LCI qu'il s'agissait de gamin ayant pris la carte de leur parent alors
que les cartes maquillées acceptaient plusieurs codes secrets différents dont "0000", code impossible sur une carte normale !)
Le reportage serait bientôt disponible sur Internet.
Le cartel reste toujours sur la sellette à cause de la persistance des fraudes à la Yescard.
Non seulement, la clé de 320 bits n'est toujours pas répudiée
et il est toujours possible de clôner toutes les cartes bancaires sans connaître le code secret à 4 chiffres
Dans la série "qui vole un oeuf, vole un boeuf", on nous rapporte qu'une personne accusé d'avoir préparé un attentat en 2000 à Strasbourg serait un utilisateur de yescard.
En toute objectivité, il faut rappeler, que tous les jeunes des cités connaissent les "doublettes",
c'est ainsi que sont communément appelées dans les banlieues les "Yescard".
Le fléau s'est en effet répandu à une vitesse vertigineuse et des kits "prêts à l'emploi" pour les néophytes existent,
2 reportages sur la Yescard sont prévus d'être difusés aujourd'hui sur Canal + à 12h50
Réalisés par Jean-Paul Ney, journaliste,
ils exposeront de façon flagrante l'ampleur et la menace que font peser les fraudes à la Yescard
sur la sûreté des paiements électroniques.
Ils seront ensuite diffusés en boucle sur iTélévision