Les cartes bancaires à clé rallongée de 768 bits émises depuis novembre 1999 présentent des failles.

AVERTISSEMENT

NOTE DU 28/07/2001 : CE QUI EST INDIQUE ICI EST INAPPLICABLE POUR FAIRE UNE SIGNATURE FORGEE COMPTE TENU DU NOUVEAU PROCEDE DE SIGNATURE UTILISE POUR LA VALEUR D'AUTHENTIFICATION 768 bits, L'ATTAQUE PAR CASSAGE DE LA CLE PUBLIQUE 768 bits reste envisageable (quoique très difficile) à condition d'avoir beaucoup de puissance machine et d'imagination.
Le clonage de cartes 768 bits ne pose pas de problèmes théoriques.
Voir article du 28/07/2001
NOTE 02/03/2001 : Il y a des doutes sérieux sur l'efficacité de l'algorithme mentionné ici pour forger des signatures 768 bits, il semble plus facile de cloner de telles cartes voire de factoriser la clé 768 bits.

PRINCIPES

Les nouvelles cartes bancaires à clés rallongées (RSA 768 bits) émises depuis novembre 1999 sont elles sûres ?
Non, s'il est toujours possible d'en faire un clone (par exemple par le porteur de la carte mais aussi par un commerçant qui accéderait aux données).
Il serait également possible d'en faire des simulacres correspondant à de nouveaux numéros de compte comme l'a fait Serge Humpich.
En effet, il existerait une méthode abordable aux pirates que laisse entrevoir Jean-Jacques Quisquater, un chercheur en cryptographie mondialement réputé, dans un forum de discussion consacré à la cryptographie sur Internet.

Il s'agit de mettre en application des techniques de signatures forgées trouvées fin 1998 par une équipe de chercheurs :
David Naccache (Gemplus), Jean-Sebastien Coron (ENS, Gemplus), Julien P. Stern (UCL groupe Crypto dirigé par Jean-Jacques Quisquater, LRI)

Ces attaques ont fait grand bruit dans le monde de la cryptographie en 1999, RSA en a fait une intense publicité.

Donc de nombreux experts en monétique et cryptographie en France étaient au courant de ces failles dans la signature RSA. Les banques auraient dû en tenir compte avant le rallongement de la clé de la carte bancaire à puce à 768 bits en novembre 1999 !

La méthode d'authentification dans les cartes bancaires n'était donc pas bonne quelle que soit la taille de la clé, les banques en ont elles tenu compte ?

Un problème de conception se pose clairement car l'augmentation de la taille des clés n'aurait rien amélioré et le problème subsisterait tant que la méthode d'authentification n'aura pas été changée.
On savait que dès maintenant, les pirates peuvent faire des simulacres de cartes émises avant novembre 1999 ; quand ces cartes auront disparu (à partir de 2002 si le remplacement n'est pas accéléré), les pirates auraient tout le temps de se reconvertir sur la "Yescard 768" !
Il faut donc que le cartel des banques retire toutes les cartes et revoit sérieusement la conception du système au plus vite !
Cependant avec le calendrier actuel, où le système Eurocard MasterCard Visa ne commencerait à être mis en service qu'à partir de 2003, les pirates pourraient utiliser leurs simulacres de cartes jusqu'en 2004.

METHODE POUR RETROUVER LA CLE PUBLIQUE

Ce chercheur ironise sur les clés publiques bancaires que les banques considèrent comme secrètes alors que les concepteurs du système les considèrent comme publiques et que la sécurité du système ne repose pas sur la protection de ces clés publiques mais sur la difficulté de les factoriser.
Il suffit de disposer de 2 cartes bancaires émises après novembre 1999 et de leur code secret à 4 chiffres pour retrouver cette clé publique de 768 bits après quelques calculs. 

La carte 1 a un identifiant I1 et une signature S1
La carte 2 a un identifiant I2 et une signature S2
On suppose que le schéma de signature des cartes à clés allongée n'a pas changé et utilise une redondance de 160 bits.
On a 
S1^3 mod N = I1*(1+2^160)
S2^3 mod N = I2*(1+2^160)

donc 
S1^3 - I1*(1+2^160) = a1*N
S2^3 - I2*(1+2^160) = a2*N

En calculant pgcd(S1^3 - I1*(1+2^160), S2^3 - I2*(1+2^160)), on obtient k*N avec k petit 
(bonne probabilité que k ne soit que de l'ordre de 2 ou 3)

La clé publique peut donc être retrouvée facilement à partir de 2 cartes bancaires ou de 2 échanges entre un terminal ou une carte bancaire.

CONCLUSION

Quand les banques feront elles la transparence sur leurs systèmes de sécurité et commenceront elles à écouter les experts pour mettre en oeuvre des systèmes véritablement sûrs ?
Ce n'est pas à force de radoter "Le système est sûr, le système est sûr" que les banques convaincront quiconque.
Dorénavant, toute la transparence devra être faite sur les systèmes propriétaires que des monopoles privés tentent d'imposer aux consommateurs et aux commerçants.

LIENS

Sous le titre mystérieux 'l'hôte antique module la chanson "secret"', on peut voir un problème mathématique ressemblant curieusement à l'authentification de la carte bancaire à puce avec sa redondance d'un message de 160 bits.
Laurent Pelé (responsable de ce site), a compris dans sa réponse les implications pratiques que cela peut avoir sur la nouvelle carte bancaire à puce à clé rallongée et il suggère une façon pour mettre cela en oeuvre (cette ébauche de méthode conçue rapidement reste bien sûr à adapter et à peaufiner, il y a du boulot).
A noter que la décomposition de 1+2^160 ne facilite pas la tâche.
Détails techniques sur l'attaque de l'authentification RSA à l'aide de signtaures forgées.
On peut y lire aussi que ces failles ont été mises en lumière par des équipes de Gemplus (N°1 mondial de la personnalisation de cartes à puce), l'Ecole normale supérieure et l'Université Catholique de Louvain en Belgique (où travaille le Professeur Jean-Jacques Quisquater dans le groupe Crypto)
Des détails sur ces attaques cryptographiques peuvent être trouvées dans les textes soumis à ces conférences.
Cette table de référence en cryptographie montre que les clés RSA de 768 bits sont cassables de toutes façons en 1 an avec 1 million de pentium 450 MHz. Le budget pour casser cette clé est évalué à 10 millions de dollars.
Cet échange entre François Grieu (Directeur technique d'Innovatron exploitant les brevets de Roland Moreno sur la carte à puce) et Jean-Jacques Quisquater concerne l'applicabilité des failles RSA dans un cas théorique.
Ce cas théorique de redondance correspond curieusement à des cas pratiques bien connus (carte France Télécom anciennement carte pastel et carte bancaire...).
Cela montre que ces failles dans le schéma de signature RSA étaient connus de certains experts depuis plusieurs mois et en tout cas avant de lancer la nouvelle clé à taille rallongée.
Cet article technique de 1988 paru dans la revue les annales des télécommunications (auteurs Louis Guillou, concepteur de la carte bancaire à puce et Jean-Jacques Quisquater) met en lumière que la sécurité des cartes bancaires est insuffisante. La méthode d'authentification exposée dans cet article est toujours en vigueur malgré les conseils de ces experts pour faire évoluer la méthode (Ce qui constitue une faute).
On peut voir qu'il est possible de faire un clone d'une carte bancaire à puce utilisant cette méthode d'authentification (par le porteur lui-même ou le commerçant qui intercepte une transaction carte à puce), cela est possible aussi bien avec les cartes bancaires émises avant novembre 1999 que celles émises après.
Lettre ouverte d'un chercheur en physique quantique au Premier Ministre s'inquiétant des nouvelles possibilités ouvertes par les ordinateurs à technologie optique dont la puissance permet de casser des clés RSA telles que celles à 768 bits utilisées dans les cartes bancaires à puce émises depuis Novembre 1999
(*) Note : le doux nom de "Yescard" est semble t'il utilisé par des techniciens du cartel pour désigner les simulacres de carte bancaire à puce où l'on peut rentrer n'importe quel code secret à 4 chiffres (d'après un message anonyme du 09/02/2000 laissé sur un forum de discussion sur Internet).
Il n'a pas encore été déposé comme marque au 26 février 2000. 768 se réfère à la taille des clés des nouvelles cartes bancaires à puce émises depuis novembre 1999.