Suite aux réquisitions du procureur, la cour d'appel de Paris a relaxé Antoine Champagne, animateur de kitetoa.com (il était poursuivi pour intrusion informatique sur le site de Tati - il avait fait du journalisme d'investigation et exposé une faille grossière du site Internet de Tati).
Voir article du 11/10/2002
De plus en plus d'inquiétudes apparaissent sur la sécurité de ce système de paiement Moneo dont les promotteurs n'hésitent pas à prétendre que la Banque de France l'a autorisé alors que cette dernière n'a nullement à donner d'autorisation et n'a émis aucun avis sur le système.
Le protocole d'authentification et de transfert d'argent électronique
est totalement opaque et il est difficile d'évaluer de façon indépendante la sécurité de ce système.
Cela n'est guère sérieux, tous les spécialistes de la sécurité informatique et de la cryptographie savent que la sécurité par l'obscurantisme ne tient pas, un système sûr ne risque rien à dévoiler les procédés d'authentification en jeu.
Cependant, on peut constater que la DCSSI a émis un certificat de niveau EAL 4+ pour le système Moneo.
Le plus haut niveau de certification est le niveau 7 et un système de paiement électronique est une application sensible qui aurait mérité une certification de plus haut niveau.
Un autre document sur le site de la DCSSI détaille les études faites par les services gouvernementaux à la demande des banques.
Premièrement, ce rapport de certificat se réfère à un autre document (voir référence 8 page 27, "Moneo security target") mais ce document est dit à "diffusion contrôlée", il est donc difficiel de savoir ce qu'a certifié la DCSSI et le reste du document n'éclaire guère.
La certification s'est limitée à certaines fonctions, notamment d'authentification (voir paragraphe 4.5.1) mais il est notable que la DCSSI n'a pas certifié le protocole de transfert d'argent électronique proprement dit. C'est particulièrement paradoxal pour un système destiné précisément à échanger de l'argent représenté sous forme électronique. Dès lors, cela rend le certificat totalement sans objet.
Imaginerait on de certifier le lave vitre et la carosserie d'une voiture mais sans tester sa capacité à rouler ?
Pire cela laisse entrevoir la possibilité d'une faille dans le système, telle que la possibilité d'altérer le montant de la transaction et compromettre le système.
A la lecture du document, on peut s'apercevoir que la véritable protection sur lequel les banques comptent,
c'est la détection des fraudes et leur répression, le système comporterait une protection contre le blanchiment.
A savoir que l'on ne pourrait faitre de transaction anonymement (ce qui est une menace à la vie privée et contredit le discours des banques). Le système ne permet pas les paiements du commerçant au consommateur (pour éviter que des commissions n'échappent aux banques!).
Tout le monde sait que cette politique n'est pas viable, les enquêtes judiciaires en cas de fraude sont très aléatoire, surtout si le système est cassé.
La certification porte sur un "retour à un état stable en cas de problème de transaction", le système Moneo n'est donc pas doté de fonction de récupération d'argent électronique perdu suite par exemple à un problème de transmission avec le terminal de paiement et la carte du commerçant.
Mais certains porteurs de Moneo en ont fait malheureusement l'expérience et on déjà perdu de l'argent qui a dispau au cours d'une transaction échouée.
Moneo ne comporte pas non plus de fonction d'annulation de la dernière transaction en cas de paiement avec Moneo : le consommateur ne peut en aucun cas être remboursé. Même en cas d'erreur sur le montant (souvent saisi manuellement par le commerçant), l'erreur ne pourra être rectifiée sur le porte-monnaie électrronique Moneo.
Plus grave, au chapître 5.2.24 de ce certificat, on parle de résistance éleée face à des attaques de pénétration.
Or le niveau de certification EAL4+ comporte seulement des tests de recherche de failles fonctionnelles.
Il n'est pas fait de test de force brute sur les clés ou de test d'intrusion sur la puce à l'aide de procédés particulièrement rapide et efficace tel que
Differential Power Analysis (analyse des consommation d'énergie de la puce voir aussi ici) ou d'autres méthodes.
De plus, ces techniques de cassage de puce ont particulièrement progressé et se sont démocratisées depuis l'émission de ce certificat l'an dernier. Elles ont été employées avec succès pour trouver le secret d'autres cartes à puce.
Les conséquences seraient en l'espèce dramatique : la découverte d'un tel secret permettrait de créer une fausse carte et de créer de l'argent électronique, à ce moment, le système serait inutilisable puisqu'il n'y a pas de vérification en ligne des porteurs, la banque cesserait d'accepter l'argent électronique et toutes les sommes versées sur les porte-monnaies électroniques seraient perdues pour les porteurs ou les commerçants.
Décidément les banques n'arrivent vraiment pas à convaincre grand monde en tentant d'imposer moneo, gadget présenté comme un porte-monnaie électronique.
La presse, les consommateurs et les commerçants sont unanymes pour mettre en doute l'intérêt de ce système.
Face à l'absence de dialogue et de concertation des banques vis à vis des commerçants et consommateurs,
les représentants des bureaux de tabac ont mis leurs menaces à exécution en annonçant le boycott du système Moneo et des
banques partenaires du projet.
De même les représentants des boulangers ont annoncé qu'ils ne participeraient pas au projet tant qu'il ne serait pas d'un coût nul pour eux.
Voir aussi article du 29/09/2002 sur Moneo
Notre dossier sur le porte-monnaie électronique