La Banque de France dénonce les lacunes de la sécurité de la carte bancaire à puce !

Intérêt des documents exclusifs

Ces documents confidentiels envoyés par une taupe de la Banque de France au responsable de ce site le 08/03/2000. Ils révèlent des éléments importants et des détails croustillants sur les répercussions de cette affaire.

Le GIE CB est composé de 175 banques membres dont 11 grosses banques chefs de file .
La Banque de France n'est pas membre mais elle a un rôle d'observateur.
On apprend dans ces documents les points suivants :
- La Banque de France souhaite une mise en place rapide d'un dispositif sécuritaire plus sûr mais le Conseil de Direction du GIE CB l'a retardé de 2 ans.
Malgré une lettre en date du 14 janvier 2000 de la Banque de France à l'administrateur du GIE CB pour s'inquiéter de cette situation, le dernier conseil de direction du GIE CB en date du 3 mars 2000 a confirmé ces dates qui poussent à juillet 2003 une situation réputée sûre.
- Confirmation que les lacunes démontrées par Serge Humpich en juillet 1998 subsistent toujours. La "faille" n'a donc pas été comblée contrairement aux dires du GIE-CB.
- Des cartes bancaires avec taille de clés plus longues n'ont été diffusées qu'à partir du 1er novembre 1999. Alors que le GIE prétend améliorer constamment la sécurité des systèmes. Cela signifie que plus de 80% des cartes en circulation sont affectées de ce vice.
- Les automates de la SNCF, RATP, publiphones, stations-service, sont particulièrement exposés.
- La faille trouvée par Serge Humpich serait exploitable jusqu'en 2004 ("date de fin d'acceptation des cartes B0' ")
- Les solutions véritablement sûres (dites EMV - "Eurocard Mastercard Visa") ne seraient complètement opérationnelles qu'à partir de juillet 2003.
- Des inquiétudes apparaissent également sur la sécurité des DAB (Distributeurs Automatiques de Banque) lisant la piste magnétique et non la carte à puce : en effet, l'algorithme utilisé pour transmettre au central le code confidentiel serait insuffisant (algorithme symétrique DES 56 bits).
- Une expertise indépendante a lieu actuellement par le SCSSI (service central de la sécurité des systèmes d'information, dépendant du ministère de la défense). Le compte-rendu parle de conclusions attendues pour la fin du mois de mars 2000 mais le responsable de ce service s'est déjà exprimé le 08/03/2000 à l'AFP pour déclarer que la sécurité était très largement insuffisante et tirer la sonnette d'alarme.
- Les actions pour limiter l'ampleur de la fraude ressemblent à une série de plâtrages et leur mise en oeuvre risque d'être longue vue les réticences des commerçants.
- Un des 2 contrats d'assurance du GIE-CB à hauteur de 500 MF arrive à échéance fin mars 2000. Mais les téméraires compagnies d'assurance demandent une expertise technique et les négociations semblent compromises vu le climat actuel comme le reconnait le cartel. Si ce contrat n'est pas souscrit, c'est la responsabilité financière des banques chefs de file qui serait engagée (d'après les statuts).
- Le cartel reconnait "l'imminence des risques" et les "attaques techniques de plus en plus précises", et malgré tous les problèmes techniques et l'absence de visibilité pour y apporter des solutions satisfaisantes, le compte-rendu conclut en matière de communication sur la bonne façon de relayer la propagande :
"Les banques veillent à la sécurité et continueront d'assurer la protection de leur client"
- Pourtant ce document dit tout le contraire puisqu'il précise clairement que les banques refuseront d'assumer les frais de la fraude et prévoit dans certains cas que c'est le commerçant qui paiera.
- Les commerçants sont poussés pour faire évoluer rapidement les terminaux de paiement à leur frais.
- Des voix s'élèvent à la Banque de France pour réclamer une mise sous tutelle du GIE-CB et le remplacement de son administrateur actuel.

LEXIQUE

Pour comprendre les détails techniques sur ces documents, il faut avoir en tête au minimum le lexique suivant :

- BO' ("B zéro prime") :

C'est le doux nom des spécifications de la carte bancaire à puce datant de 1985. Cela correspond à la majeure partie des cartes bancaires à puce en circulation (celles émises avant novembre 1999) soit plus de 80 % du parc.
Ces cartes sont particulièrement vulnérables car leur secret a été diffusé sur Internet et la taille de leur clé n'est que de 321 bits (inchangé depuis 1985).

- VS :

c'est le nom des cartes bancaires à puce diffusées depuis le 1er novembre 1999, elles plus sûres car la taille de clé a été rallongée à 768 bits.
Cependant, ces cartes restent attaquables par la voie du clônage puisque la méthode d'authentification reste inchangée.

- EMV :

C'est l'abbréviation d'"Eurocard Mastercard Visa", une norme internationale d'authentification réputée beaucoup plus sûre mais qui ne sera opérationnelle qu'après remplacement du parc, ce qui est prévu pour juillet 2003.
Les tailles des clés RSA sont comprises entre 768 et 1024 bits, ce qui est un peu faible mais la norme prévoirait que les clés soient agrandies tous les 2 ans.
Les spécifications sont publiques sur le site de Visa et emvco.com

AVERTISSEMENT TECHNIQUE DE LA BANQUE DE FRANCE LE 14/01/2000

Lettre envoyé par le Directeur Général du crédit de la Banque de France le 14 janvier 2000 à l'administrateur du GIE cartes bancaires pour s'étonner du report de 2 ans d'une solution sécutaire et de diverses lacunes au niveau de la sécurité.
Page 1
Page 2

COMPTE RENDU REUNION CONSEIL DE DIRECTION GIE CARTES BANCAIRES DU 03/03/2000

Page 1 - SYNTHESE -Orientations générales de la politque sécuritaire
Page 2 - Motions adoptées
Page 3 - Expertise et fiabiliation des informations sur le ticket, mesurettes sur les automates
Page 4 - Mise à niveau du parc chez les grands comptes
Page 5 - Fin clé RSA courte (321 bits, celle dévoilée sur Internet) prévue le 1er trimestre 2002 / Triple DES - Amélioration algorithme chiffrement DES vers triple DES
Page 6 - Authentification dynamique offline avec calculs RSA dans la carte / Communication
Page 7 - Fin communication (propagande)
Page 8 - Renouvellement contrat d'assurance
Page 9 - schéma contrats assurances

COMMENTAIRE DESABUSE DU 08/03/2000 D'UNE TAUPE A LA BANQUE DE FRANCE

Suite à la réunion du Conseil de Direction du GIE-CB du 03/03/2000, aucune décision n'a été prise concrètement pour améliorer la sécurité.
Ce message fait part de la langue de bois utilisée par le cartel, constate l'obsolence du système actuellement en place et ne croit pas que le GIE CB soit compétent pour l'améliorer. Il va même jusqu'à critiquer ses dirigeants pour finalement réclamer une mise sous tutelle du Cartel !
Lettre adressée à Laurent PELE (responsable de ce site) le 08/03/2000 par une taupe anonyme à la Banque de France

REACTIONS DE LA BANQUE DE FRANCE A CES DIVULGATIONS

Communiqué de la Banque de France du 15/03/2000 sur la sécurité des cartes bancaires. Elle prend acte des engagements pris par le cartel des banques.
Elle avait fait un autre communiqué le 10 mars 2000 (le message précédent du 08/03/2000 avait été rapporté par Le Figaro comme émanant d'un chargé de mission alors que l'auteur est une taupe anonyme).