La sécurité des cartes bancaires

Depuis qu’un informaticien doué, Serge Humpich, a démontré que les cartes bancaires à  puce françaises sont falsifiables, la vérité éclate peu à  peu sur cette affaire de la sécurité des cartes bancaires et des moyens de paiement électroniques.

Il existe de multiples failles persistantes du système des cartes bancaires, notamment au niveau des terminaux de paiement électroniques chez les commerçants.
Le GIE cartes bancaires (cartel réunissant 175 banques), qui a poursuivi Serge Humpich, est sur la sellette du fait de sa position monopolistique (puisqu’il diffuse la quasi totalité des 37 millions de cartes bancaires en France) et des lacunes de sa politique sécuritaire. Sa responsabilité et sa crédibilité est directement en cause.

Le mérite de Serge Humpich a été de démontrer que les cartes à  puces sont falsifiables. Sa démarche n’a pas été la recherche d’un enrichissement personnel d’un hacker de second rang.

Piratage: Les cartes bancaires sont-elles falsifiables ?

Après que Serge Humpich ait révélé une faille de sécurité dans le paiement par carte bancaire, on commence maintenant à  remettre en cause l’inviolabilité présumée des cartes à  puces. Méme du côté officiel, le Service central de la sécurité des systèmes d’information condamne la faiblesse du système actuel.

Peut-on copier votre carte bancaire ?

Votre code personnel à  quatre chiffres sera-t-il bientôt mis à  la portée de n’importe quel hacker ? Ces questions sont d’autant plus d’actualité qu’après la prise de conscience suscitée par l’affaire Humpich, le très officiel Service central de la sécurité des systèmes d’information (SCSSI) reconnaît que les cartes à  puce sont loin d’étre sûres.

Lors de l’inauguration à  Grenoble d’un centre d’évaluation de la sécurité des technologies de l’information (Cesti), le général Desvignes, porte-parole du SCSSI, a expliqué : « la carte à  puce a bénéficié d’une réputation d’inviolabilité qui a écarté les attaques mafieuses, mais la technologie de ces cartes devient relativement accessible, et, avec des moyens modestes, on peut les attaquer ».

Considérant que le « mécanisme de sécurité utilisé » est àgé de 10 à  14 ans, le général Desvignes plaide pour un renforcement des fonctions de chiffrement. Ce qui devrait se solder, selon l’AFP, par la mise à  jour de millions de cartes et de lecteurs…

Qu’en est-il vraiment ?

Si l’on en croit certains experts, il n’est pas encore possible de falsifier l’intégralité d’une carte.
Certes, l’informaticien Serge Humpich a réussi à  mettre au point une carte à  puce programmable capable de tromper les distributeurs de billets du métro.

Poursuivi en justice par le Groupement des cartes bancaires et condamné à  10 mois de prison avec sursis, Serge Humpich a exploité une faille valable uniquement en circuit fermé.

Autrement dit, le système de paiement n’est trompé que lorsqu’il s’agit d’une borne ou d’un lecteur chez un commerçant, lesquels ne sont pas reliés à  un serveur central bancaire.

La trouvaille de Serge Humpich ne fonctionnerait donc pas avec les distributeurs automatiques de billets, reliés à  un réseau de banques.

Si bien que la faille est presque balayée du revers de la main chez Cyber-comm par exemple, qui défend un projet de paiement électronique à  domicile. « Nous sommes très sereins », défend Hervé Sitruk, directeur général de la filiale de BNP-Paribas.

Le projet Cyber-comm encourage la diffusion de lecteurs de cartes associés à  une connexion sécurisée pour faire ses achats en ligne.

Selon Hervé Sitruk, le passage à  une connexion en réseau fait intervenir plus d’une dizaine de fonctions de sécurité qui sont, à  sa connaissance, pour l’instant hors de portée des hackers.

Reste que des éléments publiés sur un forum de discussion ont alimenté les doutes sur la fiabilité des cartes bancaires.

On y découvre les éléments d’un algorithme de déchiffrement, lequel met à  nu une clé soupçonnée d’étre utilisée dans les cartes à  puces.

Le Groupement des cartes bancaires n’était pas joignable pour confirmer si cette clé était effectivement exploitée par ses cartes de paiement.

Selon l’un des intervenants du forum, la faille découverte ne pourrait étre utilisée qu’en circuit fermé. « L’exploiter, c’est vraiment jouer au gagne-petit pour manger gratis dans un restaurant ou acheter son carnet de métro ».

Ce type de fraude étant sévèrement condamné, le jeu n’en vaudrait pas la chandelle. Avant de se présenter chez un commerçant, il faudrait ainsi maquiller une carte « blanche » en appliquant notamment l’hologramme des carte bancaires, pour tromper l’oeil du marchand.

Mais avant d’y arriver, il faudrait prendre connaissance du code d’accès personnel. « Rien ne permet de retrouver le code à  quatre chiffres d’une carte trouvée dans la rue », tranche pour sa part François Grilleux, spécialiste du cryptage et directeur technique d’Innovatron.

Confirmant les affirmations trouvées dans le forum de discussion, il estime que « les distributeurs de billets restent sûrs » car la faille révélée sur le forum ne « remet pas en cause les outils de sécurité des banques ».

De façon presque unanime, on reconnaît toutefois que le niveau de chiffrement des cartes est devenu trop faible. « Le rempart actuel d’une clé de 320 bits n’est plus assez solide. Un PC tournant durant quelques jours permet à  une personne informée et du niveau « maths sup » de casser une clé. Mais encore faut-il avoir bien compris le système », explique François Grilleux.
On recommande donc aux autorités bancaires de choisir plutôt des clés de 768 ou 1024 bits.

Le face à  face GIE-victimes

Les risques de fraude sont légion, et leur modus operandi de plus en plus diffusé, connu et pratiqué.

Le Groupement cartes bancaires a beau contre-attaquer en se déclarant prét à  « porter plainte systématiquement contre les sites Internet sur lesquels figurent des numéros de cartes » ou qui permettent d’en générer.

Un webmaster a ainsi fait l’objet de quatre procédures judiciaires visant à  censurer son site. Il dévoilait trois nouvelles variantes d’attaques possibles. Au total, il en a recensé plus d’une soixantaine.

Dans un but d’information, un autre site recense ainsi plus de 250 sites où l’on trouve classés par le menu les différents types d’attaques possibles.

Qu’il s’agisse de générateurs de numéros de cartes bancaires, disponibles depuis des années en téléchargement sur le Web, de la méthode dite de white plastic (celle utilisée par le pompiste). Ou encore de ces ventes par correspondance qui se contentent du numéro de carte bancaire et ne vérifient bien entendu ni le code secret, ni la signature, ni l’identité?

Conclusion:

Les cartes bancaires actuelles ne sont pas à  l’abri. A défaut d’avoir démontré une véritable faille de ces cartes, leurs détracteurs auront au moins ébranlé l’image d’inviolabilité défendue par le Groupement bancaire.

Il est anormal que le sujet de la sécurité des cartes bancaires soit tabou; des émissions de télé ont été censurées parce que les banques ne veulent pas que la vérité soit connue: il faudrait remplacer toutes les cartes bancaires à  puce (plus de 30 millions en circulation en France), le système n’est plus sûr du tout et à  la portée d’un particulier en analysant les terminaux de paiement et en utilisant des informations publiques.

Cela avait été prédit par les experts.

sources:

http://www.vnunet.fr/svm/actu/article.htm?numero=4322&date=2000-03-09
http://www.transfert.net/a2205

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *