Ainsi, un beau jour de printemps 1998, cet « individu » (de type alsacien, et farouchement honnête) contacte inopinément, via son avocat, le géant des CB pour l'informer qu'il est, lui, Serge Humpich, parvenu à faire exploser tout le système des cartes bancaires. « Il est faux de dire que j'ai trouvé une “faille” dans le système de protection des cartes bancaires. Moi, j'ai fait exploser tout le système ! J'ai réussi à inverser les algorithmes, et donc c'est toute la protection des cartes bancaires qui devient inefficace. Ce n'est pas réparable. » L'arsenal répressif considérable déployé par le GIE-CB contre un seul homme, un homme seul, révèle en effet l'ampleur de sa frayeur.

De fait, Serge Humpich a réussi le casse du siècle. Un casse silencieux, invisible, imparable. Et il n'a pas voulu toucher un centime du magot ! Par fierté, par honnêteté, par goût du risque intellectuel. « C'est l'homme le plus honnête de la terre, dit de lui son avocat, Me Cornette de Saint-Cyr. Il n'a jamais volé. C'est l'histoire du pot de terre contre le pot de fer. Ils ont été assez ignobles avec lui. »

Serge Humpich vit seul dans une ferme du XIIe siècle, près d'Ozoir-la-Ferrière, en Seine-et-Marne, isolée dans les terres plates et le brouillard d'hiver. La ferme, il la retape lui-même. Il aime la nature et la solitude. Seul lien avec le monde, car il évite de téléphoner ou d'utiliser sa Fiat 500 pour ne pas gaspiller : son site internet (1), où des inconnus le soutiennent et proposent d'organiser un « Humpichthon ». Pour le moment, il occupe une seule pièce de la ferme, piètrement chauffée par un radiateur électrique. Il vit avec 500 francs par mois. « Juste un problème technique à régler », commente-t-il.

« J'aurais évidemment pu utiliser mes nouvelles connaissances pour dévaliser toutes les boutiques ni vu ni connu, sur le dos du GIE-CB. Mais j'ai choisi de rester dans la légalité. Je préférais leur proposer des parades pour protéger le système. Je me suis entouré d'un avocat et de deux experts en brevets industriels, sinon ils m'auraient ri au nez ! Personne ne peut croire qu'un particulier, avec son matos acheté à crédit, soit parvenu à pirater un système sur lequel des centaines de spécialistes ont réfléchi ! »

Alerté par la nouvelle de sa mise en examen, son patron l'a viré illico, en août dernier, pour « faute grave » (donc sans indemnités). Motif : interdiction de travailler pour la concurrence. « J'ai fait cette recherche chez moi pendant mes loisirs. Je n'ai pas travaillé pour quelqu'un d'autre. » En plus du procès que lui fait fin janvier le GIE, Serge Humpich doit se taper les prud’hommes en février. Et sa grange-atelier, à cause de la tempête, vient de s'écrouler. Faute d'argent, il n'était pas assuré.

Serge Humpich a découvert comment fabriquer des cartes bancaires que n'importe quel terminal de paiement accepte avec n'importe quel code secret. Avec des cartes à puce vierges facilement achetées sur internet, il peut, en tapant une combinaison au hasard - par exemple 1, 2, 3, 4, pour ne pas se compliquer la vie -, acheter n'importe quoi n'importe où. Au GIE-CB, à la fin de l'année, si Humpich avait utilisé son « invention », on aurait juste constaté de mystérieuses erreurs dans les calculs et il aurait été très difficile de mettre la main sur l'auteur du délit. « Lorsqu'on tape un code, le terminal de paiement envoie ce code à la carte, qui lui répond : oui, c'est le bon code, ou non. J'ai réalisé une carte qui répond tout le temps “oui, c'est le bon code”, quel que soit le code tapé. Beaucoup d'efforts ont été faits pour protéger les puces des cartes bancaires, mais les ingénieurs se sont tellement focalisés là-dessus qu'ils ont négligé les terminaux de paiement, fabriqués en sous-traitance par divers constructeurs. Je me dis que la faiblesse du système se trouve là, qu'il doit être possible de le leurrer. »

Il rachète un terminal à un commerçant, le désosse, calcule quatre ans durant. « J'ai commencé en 93. Je n'ai découvert qu'en 97 l'existence d'un algorithme de protection et j'ai cherché à l'identifier. En octobre, j'avais compris qu'il s'agissait d'un RSA avec une clé [le RSA est un algorithme de cryptage et décryptage]. En janvier, j'avais cette clé. C'est comme si j'étais entré dans la chambre des coffres, au coeur de la banque.

- Peut-être auraient-ils préféré savoir qu'il existe un mystérieux pirate en circulation plutôt que de comprendre que leur système est totalement obsolète ? Peut-être que, même s'ils vous avaient retrouvé, ils vous auraient payé pour vous taire ? [Ou pis, payé pour le faire taire...] »

Pour la première fois depuis le début de la conversation, le visage de Serge Humpich accuse une émotion, la surprise. Long silence. « Je n'avais pas du tout envisagé les choses sous cet angle. » Certain qu'ils seraient, en face, réglo comme lui. Il vit hors du monde. Il a fait ce qu'il faut surtout ne jamais oser dans le monde réel : aller dire au roi que le roi est nu.

- Mais pourquoi avez-vous fait tout cela ?

- Parce que je savais que j'étais capable de le faire. Imaginez qu'il y ait un trésor caché dans l'Himalaya et que vous seul puissiez le trouver ? Comment pouvez-vous encore dormir la nuit ? Et que je ne le raconte pas ? »

Le petit garçon. La chasse au trésor. Le défi. D'autres que lui cherchent le Grand Secret des cartes bancaires. Chez les informaticiens de très haut niveau, c'est une espèce de course au large, mais lui seul a trouvé. « Le premier et le seul au monde. » A la section financière de la Direction centrale de la PJ, on le lui a confirmé. Certains, sur internet, tentent de lui arracher quelques-uns de ses trucs. « Je ne réponds pas. Je me sens insulté. »

« Nous étions naïfs », pense aujourd'hui Me Jean-Yves Sayn, avocat spécialisé dans la propriété industrielle, qui, à la demande de Serge Humpich, accepte de contacter le GIE-Cartes bancaires afin de lui vendre la « découverte » de l'informaticien. Il s'adjoint les services de deux experts en propriété industrielle et s'apprête à une négociation classique. Ils proposent au GIE un projet de contrat de « transfert de savoir-faire », assorti d'une clause de confidentialité. « Personnellement, je trouvais cette affaire commerciale absolument banale », dit Serge Humpich.

« Imaginez le couple de Pieds Nickelés que nous formions, la première fois qu'ils nous ont vus, au GIE, raconte Me Sayn. Moi, je suis aveugle, et l’un des experts est nain ! » Me Sayn agit au nom d'un M. X. Humpich souhaite rester anonyme. « Je suis incapable de négocier quoi que ce soit, et tout seul on ne m'aurait pas pris au sérieux ». « Le marché des serrures de sécurité pour produits informatiques est énorme. Mais j'avais sous-estimé la puissance du lobby des fabricants de logiciels », dit Me Sayn.

Un contrat est rédigé avec les juristes maison au cours de plusieurs rendez-vous. La découverte de Humpich aurait dû lui rapporter de 1 à 2 millions de francs. Honnêtement gagnés. Il dépose au préalable à l'Inpi (Institut national de la Propriété industrielle) une enveloppe scellée avec le détail de ses recherches. Il ignore alors que derrière son dos le GIE a porté plainte pour « entrée frauduleuse dans un système de traitement automatisé de données et contrefaçon de cartes bancaires ». Le voilà faux-monnayeur. « Je suis l'avocat du GIE depuis vingt-cinq ans, explique Me Beaussier, et nous avons traité cette affaire comme n'importe quelle escroquerie à la carte bancaire. » Humpich est filé, mis sur écoutes. Me Sayn est encore abasourdi d'avoir été lui aussi écouté et filé.

Me Sayn poursuit donc en toute innocence sa négociation. Qu'il nous fasse un essai, votre client, qui attesterait de la réalité de son invention, lui demande, au GIE, M. Trescazes. Le piège. Piqué au vif, Humpich achète, avec une fausse carte, « la plus petite chose que l'on puisse payer par CB : un carnet de tickets de métro, dans les automates des stations Balard et Charles-Michels ». Il fait parvenir le tout, avec facturettes, au GIE via son avocat. Ce n'est pas une preuve, lui dit-on, les distributeurs du métro ne posséderaient pas un système de sécurité très élaboré. C'est alors qu'on lui propose de « fabriquer » des cartes bancaires, à partir d'un lot de quatre cartes vierges fournies par le GIE.

Le 28 août 1998 au matin, M. Trescazes téléphone à Me Sayn. Suit une conversation où l’on parle de « cartes-tests, programmées avec certains niveaux de barrières » dont le client doit montrer qu’il peut les franchir. Me Sayn pensait que M. Trescazes était ingénieur. En fait, il est le chef de la sécurité au GIE-CB. Leur méconnaissance totale à tous deux des arcanes informatiques donne à ces conversations un tour de conspiration des imbéciles qui a dû surprendre les flics à l'écoute. Bref, le jeu de quatre cartes vierges laissées à Humpich était truqué : deux cartes étaient « bonnes » et les deux autres étaient faussées. Et l’avocat d’expliquer que son client n’a aucun mal à fabriquer des cartes dont il connaît par coeur les imperfections. En moins d’une heure !

Là, soudain, c'est la panique au GIE. Il peut le faire ! Ce petit « escroc », ce « maître chanteur » a vraiment « craqué » leur système. S'il leur fallait changer toutes les cartes et refaire tous les terminaux, cela leur coûterait 30 milliards de francs.

Le 17 septembre, au moment où il montait dans son RER pour aller au boulot, trente policiers arrêtent Serge Humpich. Sa ferme est fouillée, photographiée sous tous les angles, filmée en vidéo, son ordinateur désossé, ses e-mails scrutés, son matériel saisi. Placé en garde à vue, il ne sera pas mis en détention, pour éviter que le milieu ne lui arrache son secret. Il est mis en examen par la juge Emilie Petel pour « entrée frauduleuse dans un système automatisé et contrefaçon ». Le bureau de Me Sayn est perquisitionné, les enquêteurs cherchent la trace d'une association de malfaiteurs, de fausses cartes écoulées en France ou à l'étranger.

Traqué, Humpich parle à la presse, au « Journal du dimanche », au « Parisien »... « Aujourd'hui, ma seule défense, c'est de parler. Quelqu'un qui sait ce que je sais peut très bien refaire ce que j'ai fait. Tous les terminaux de paiement sont à revoir. Les enjeux financiers sont énormes. » Cet homme est une bombe humaine.

Bizarrement, la télé évite de traiter le sujet. Pourtant, il y a là tous les ingrédients d'une bonne histoire, coco. France 2 a réalisé un reportage, mais il n'est passé qu'une fois au Journal de 13 heures. Le même sujet, tourné par une équipe de FR3, a été trappé. Au « Vrai Journal », le 20 juin dernier, il a carrément été censuré, sur ordre du directeur général de Canal+, Alain de Greef. Le GIE-CB, qui dans un premier temps avait accepté de répondre aux questions, menaçait d'une procédure en référé pour « incitation à la fraude » (cf. « le Canard enchaîné » du 23 juin 1999). Depuis, les deux « responsables de la communication » chargés de cette affaire au GIE-CB sont « en réunion » ou « en ligne » et ne rappellent pas. Au moment où je rencontre Serge Humpich dans sa ferme, le patron d'Altern, l'hébergeur de son site (1), lui envoie cet e-mail : « La Poste me fait un procès parce que je vous héberge. » Le procès devait se tenir cet automne. Le GIE demandait le huis clos ! Il a été repoussé au 21 janvier. Plusieurs avocats se sont proposés d'assister bénévolement Me Cornette de Saint-Cyr, car l'affaire est exemplaire : les mésaventures d'un pirate honnête. Il risque sept ans de réclusion et 5 millions de francs d'amende.

(1) http://parodie.com/monetique/