RTFlash

VOUS ÊTES ICI :
Carte à puce : la fin du mythe de l'inviolabilité

TIC

Carte à puce : la fin du mythe de l'inviolabilité

Vendredi, 17/03/2000 - 23:00 0 commentaire
Carte à puce : la fin du mythe de l'inviolabilité zoom

Elle tient en 96 chiffres. C'est la formule secrète des Cartes bleues, révélée sur l'Internet, anonymement, le 4 mars. 96 chiffres qui permettraient à n'importe quel hacker (pirate informatique) peu scrupuleux de pirater l'une des 34 millions de cartes bancaires circulant en France, et même de fabriquer de fausses cartes. La menace, longtemps ignorée par le groupement cartes bancaires (GIE-CB, qui réunit plus de 170 banques), a été officiellement confirmée mercredi, au plus haut niveau de l'Etat, par le général Jean-Louis Desvignes, chef du Service central de la sécurité des systèmes d'information (SCSSI), qui dépend du secrétariat général de la Défense nationale: "Les banques doivent lancer rapidement une action d'envergure pour améliorer la sécurité des cartes à puce, ce qui impliquera le remplacement de millions de cartes et de lecteurs." La Banque de France avait déjà sonné l'alarme dans un courrier du 11 janvier 2000, qui enjoignait le groupement à changer son système de cryptage au plus vite . Car, cette fois-ci, le code est à la portée de chacun (ou presque) et c'est le bon code: selon le porte-parole du groupement, "les formules publiées [sur l'Internet] sont bien celles de l'une des clés de la Carte bleue. Un verrou a sauté". Ainsi, quinze jours après le jugement du tribunal correctionnel de Paris, qui l'a condamné à dix mois de prison avec sursis pour avoir percé ce fameux code secret, l'informaticien Serge Humpich voit ses recherches validées et même dépassées. Par le biais de l'Internet. C'est sur la Toile que cet ingénieur de 36 ans avait commencé, en 1995, à acheter logiciels de décryptage et puces dernier modèle, et c'est sur la Toile qu'un internaute anonyme a balancé une série de calculs dévoilant la clé de cryptage des cartes bancaires . Ça semble un jeu d'enfant: muni du code de 96 chiffres, le premier hacker venu se procure (toujours via l'Internet) le kit de fabrication auprès de la société Eléacard (lecteur-encodeur et cartes vierges), ainsi que les puces, via la boîte américaine Microchips. Le tout pour 2 500 francs. Reste à fabriquer, et utiliser, la yescard. Pour l'instant, aucune infraction de ce type n'a été constatée . Ce ne serait qu'une question de "semaines", selon Serge Humpich: "A l'époque, je n'avais pas plus d'éléments que ce code de 96 chiffres et j'ai quand même réussi à fabriquer des fausses cartes." Nous sommes au printemps 1998. L'informaticien contacte, via un avocat, le groupement cartes bancaires. Son objectif: négocier son "savoir-faire" technique et aider le GIE, par sa connaissance des failles du système, à colmater les brèches. Devant la méfiance de ses interlocuteurs, Humpich achète 11 carnets de tickets de métro dans une station du XVe arrondissement de Paris. Aux vraies-fausses cartes, les distributeurs automatiques délivrent d'authentiques facturettes. Ça ne suffit pas à ébranler la conviction du groupement, qui dépose plainte contre le farfelu Humpich. Il est arrêté en septembre 1998 . Malgré sa bonne foi proclamée dans de nombreux médias, Humpich est jugé et déclaré coupable de "contrefaçon". Alors qu'il n'a jamais, affirme-t-il encore aujourd'hui, dévoilé le code secret ni exploité sa trouvaille. D'autres s'en chargeront-ils demain?

(article résumé par @RTFlash)

Noter cet article :

 

Vous serez certainement intéressé par ces articles :

Recommander cet article :

back-to-top