Affaire des cartes bancaires

Retour page d'accueil site sur l'affaire des cartes bancaires

Substitution puce au momement vérification code secret

Cette faille a été décrite par Serge Humpich, dans son livre, "le cerveau bleu", éditions Xo, au chapître 5, page 54.
Elle requiert 2 cartes bancaires à puce, l'une dont on connait le code secret et une autre dont le code secret est ignoré.
C'est une manipualtion astucieuse accessible à un non technicien.
Elle fonctionne par exemple sur une cabine de téléphonique mais aussi sur d'autres terminal de paiement.
Elle prend en compte le fait que l'authentification de la puce de la carte bancaire est faite AVANT la saisie du code à 4 chiffres (ce qui permet d'ailleurs de cloner les puces des cartes bancaires sans connaître le code)
En effet, vous avez sûrement noté que quand vous introduisez votre carte bancaire chez un commerçant, le message "Authentification" s'affiche puis "Entrez votre code".
Cela est une faute lourde de conception extrêmement grave et qui existe sur toutes les cartes, y compris les cartes mixtes rallongées émises depuis novembre 1999.
Elle consiste à insérer une carte bancaire dont le code est inconnu dans le lecteur du terminal de paiement. Le terminal authentifie la carte par un algorithme puis demande le code à 4 chiffres, il s'agit à ce moment de changer de carte en introduisant une carte dont on connait le code. Pour cela, il faut par exemple introduire une languette pour éviter que le contacteur présent sur les cabines téléphoniques pour détecter les cartes soit activé et de mettre la nouvelle carte.
La manipulation nécessite de faire ce changement rapidement et un peu de dextérité mais il n'est pas nécessaire d'être technicien pour cela.
Ensuite on rentre le code de la nouvelle carte.
C'est le compte de la première carte bancaire à puce (celle dont le code secret est ignoré) qui est débité !
Voila la vérité sur une faille de conception inacceptable qui génère des fraudes éprouvées et existantes.
Après cela on nous parle de code secret à 4 chiffres mais le code secret de la puce ne sert à rien : juste à ajouter la transaction dans l'historique de la transaction de la carte (ce qui n'est que très rarement lu) et à générer un certificat de paiement qui n'est utilisé que plusieurs mois après la transaction, en cas de contestation et qui ne fait même pas office de preuve (on ne peut être juge et partie, surtout quand on ment comme les banques).
Pourquoi les banques n'ont elles pas utilisé les dispositifs de sécurité de la puce à bon escient ni ne corrignet elles pas les failles ? Négligence, inconscience, avarice, désorganisation, bêtise ou tout cela à la fois ? A vous de juger.

Retour page d'accueil site sur l'affaire des cartes bancaires

Retour liste vulnerabilités