Retour page d'accueil site sur les failles des cartes bancaires
DERNIERES NOUVELLES SUR L'AFFAIRE :
28/02/2001 Yescard Humpich : utilisable jusqu'en mai 2003 au moins
Dans une pseudo interview du président du Conseil de Direction du Groupement Cartes Bancaires
on peut lire des informations consternantes : seuls les terminaux de paiement électronique qui utilisent la version 5.2
du manuel de paiement électronique prennent en compte la clé allongée de 768 bits.
Il est prévu que cette version ne sera déployée complètement que jusqu'en mai 2003.
Les terminaux de paiement utilisant une version inférieure ne supportent pas la clé allongée de 768 bits.
(Les cartes bancaires émises depuis novembre 1999 sont dotés de 2 valeurs d'authentification, l'une de 768 bits et l'autre de 320 bits, qui a été cassée).
De toutes façons, toutes les cartes bancaires restent clonables.
28/02/2001 Dangers du masquage du numéro sur les facturettes
Nous avions eu l'occasion d'ironiser à de multiples reprises
sur le caractère inutile du masquage du nom du porteur et du numéro de carte bancaire sur les facturettes afin
prétendûment d'éviter les fraudes lors des ventes à distance.
La réalité est en fait bien pire que cela : les auteurs de la proposition de masquage du numéro sur les facturettes
semblent visiblement avoir réfléchi minutieusement à toutes les conséquences !
Ainsi depuis au moins 1988 certaines fraudeurs transcodent des
numéros de carte bancaire vus
sur des cartes volées ou des facturettes sur des pistes magnétiques.
Ainsi un pirate informatique a été condamné en France fin 1992 pour des centaines de pistes magnétiques
de carte bancaire altérées de la sorte entre 1988 et 1992.
Les commerçants pouvaient jusqu'à présent se prémunir contre une telle fraude en comparant le nom du porteur et le numéro
inscrit sur la facturette aux inscriptions gravées sur la carte.
Cependant, il n'est maintenant plus possible de faire une telle vérification puisque le numéro et le nom du porteur n'apparait
plus sur les facturettes.
Bah, ce n'est pas grave, cette fraude est à la charge des banques, elles garantissent les commerçants ?
Pas du tout, un commerçant lyonnais, escroqué de 583 000 francs en décembre 2000 s'est vu confisqué
cette somme par la banque et il tente désespéremment de récupérer cette somme en JUstice depuis.
Ce n'est que 88 877.78 euros.
Conclusion, le masquage des numéros de carte bancaire est dangereux, il introduit plus de risques et de coûts
pour les commerçants traditionnels et les fraudes sur les transactions à distance se développent.
28/02/2001 Toujours des chiffres faux sur la fraude à la carte bancaire
La plupart des médias continuent de répéter les chiffres faux du Groupement Cartes Bancaires sur la fraude.
Ils disent en effet que la fraude a progressé de 50 % en 2000 en passant de 180 millions de francs en 1999
à 271 millions en 2000.
Alors que le cartel des banques reconnaissaient 500 millions de francs de fraude pour 1999.
En effet ces chiffres officiels de 271 millions de francs de fraude n'intègrent pas la fraude portant sur des cartes bancaires françaises à l'étranger ni sur les cartes bancaires étrangères en France.
De plus les chiffres des banques ne comprennent que la fraude à la charge des banques, pas celle à la charge des commerçants ou des porteurs de carte.
Une fois tout cela pris en compte, on peut estimer la fraude supérieure à 2 milliards de francs annuels.
De son côté, le ministère de l'Intérieur dénombrait 48 997 falsifications de cartes en l'an 2000 contre 30 459 en 1998.
Rappelons que le Cartel des banques ne s'inquiète pas de Taux de faude supérieurs à 20% dans certains établissements et que la Justice considère que des taux de fraude de 17% ne sont pas anormalement élevés.
Le taux de fraude des restaurants à Paris (qui ne semblent pourtant pas surexposés) était 3 fois supérieur à la moyenne nationale officielle en novembre 1999.
28/02/2001 Nouvelle faille sur les puces des cartes bancaires
Nous vous parlions d'une faille décrite dans le livre de Serge Humpich
permettant de débiter une carte bancaire sans connaître le code secret et que cela avait été expérimenté sur des cabines téléphoniques.
Une autre personne a découvert indépendemment de son côté une autre faille : dans certaines circonstances,
des transactions à l'aide de la puce de la carte bancaire sont enregistrées sur des terminaux de paiement
sans qu'il y ait besoin de rentrer le code secret à 4 chiffres.
Cela a été constaté avec les terminaux suivants :
1880 Ingenico,
Elite 510-16 4 Mo avec les applis 141v27+
et 101 v6+ et l'OS v17 famille 71.
La carte bancaire utilise vraiment la puce comme un gadget marketing et le code secret n'est pas nécessaire, nous le répétons pour cloner une carte bancaire existante
et en faire un simulacre !
28/02/2001 Roland Moreno : Prochain livre sur la genèse de la carte à puce
Dans une longue interview au jouranl "Electronique International Hebdo", Roland Moreno annonce la parution en mars
d'un livre sur la genèse de la carte à puce.
Dans ce livre, il dénonce les obstacles que lui a tendus par Bull et les batailles juridiques et financières
concernant le brevet concurrent de Bull sur la carte à microprocesseur.
Il parle des difficultés qu'il a rencontré pour faire adopter la carte à puce par les institutions bancaires.
Il décrit également plusieurs failles qui ont affecté il y a une dizaine d'années la carte bancaire à puce doté d'un microprocesseur conçu par Bull :
il était possible de retrouver le code secret en quelques minutes. Cela avait conduit 6 millions de cartes bancaires à puce au pilon et les banques avaient refait le masque du micro-processeur (maintenant appelé B0').
De telles failles avaient été évoquées dans la chronologie
A noter qu'un journaliste est en cours de rédaction d'un autre livre sur l'affaire des cartes bancaires.
Nous avons eu l'occasion d'alerter à de nombreuses reprises sur le danger des transactions
faites à l'aide du seul numéro à 16 chiffres des cartes bancaires, notamment dans le cas des ventes à distance.
Notre quizz mettait également en lumière qu'il n'est pas possible de refuser a priori les transactions à distance et
que les risques liés à la vente à distance ne doivent pas être supportés par le consommateur.
Ainsi, cela fait longtemps que les transactions à distance génèrent une fraude importante.
Dans un article du journal Le Monde daté du 09/02/2001 écrit notamment
par Roland Moreno et
le président de l'Association pour le commerce et les services en ligne (Acsel),
on peut lire une proposition simple tranchant avec la pensée unique officielle des représentant des commerçants à distance
voulant restaurer la confiance des consommateurs par la méthode Coué et en faisant taire les contradicteurs.
Cette proposition simple, consiste tout simplement à indiquer sur le relevé des opérations de carte bancaires du consommateur
celles qui ont été réalisées avec le seul numéro à 16 chiffres (sans la signature manuscrite ou le code secret).
Il suffirait alors au porteur de carte de retourner le relevé de carte à sa banque dans le mois qui suit en indiquant
les opérations qu'il accepte.
En effet, les opérations faites à l'aide du seul numéro à 16 chiffres (généralement les opérations à distance) sont répudiables
et peuvent être contestées a posteriori par les porteurs de carte, ils ne sont alors pas être débités de ces opérations.
Différencier de telles opérations permettrait aux porteurs de carte de déceler plus rapidement les éventuelles
opérations litigieuses.
De telles modifications du relevé de compte (à la charge des banques), seraient intéressantes,
pourquoi tous les porteurs de cartes doivent actuellement accepter tous les débits faits sans leur consentement ?
Cela ne doit pas non plus empêcher les porteurs de carte de contester les autres opérations litigieuses et
de corriger les failles de la piste magnétique et de la puce
A plus long terme, le dispositif de signature électronique semble plus viable car il permet de
pallier à l'aléa juridique pour le consommateur comme pour le commerçant.
Les mesures annoncées par Fabius sur son plan sur la sécurité des cartes bancaires tournent à la farce.
Le mythe des cartes bancaires les plus sûres du monde :
D'emblée Fabius annonce la couleur "les cartes bancaires françaises sont les plus sûres du monde " tout comme Tony Blair assurait récemment
que le boeuf anglais est le plus sûr au monde.
Pour justifier cela, on nous annonce des chiffres de fraude faux et en progression de 50 % alors que la victime d'une fraude
ne veut pas sacrifier son porte-monnaie sur l'autel du cartel des banques.
Une chose est sûre,
les cartes bancaires françaises sont celles qui comportent le plus de failles existantes.
Tutelle de la banque de France :
La seule mesure intéressante est la prise en main de la sécurité de la carte bancaire par la Banque de France (projet de loi annoncé en mars)
mais le reste est une succession de replâtrages voire des mesures dangereuses accordées unilatéralement aux banques.
Accentuation de la répression dangereuse :
Notamment, l'élargissment annoncé des poursuites pénales concernant la fraude à la carte bancaire soit disant "pour faciliter
les poursuites" semble plutôt destiné à faire taire les gens trop curieux ou les personnes mettant en évidence des failles : circulez, il n'y a rien à voir.
Ce n'est tout de même pas leur faute si les failles existent. Voir réactions suite au plan Jospin
La loi doit protéger les faibles pas les puissants intérêts financiers des banques.
La seule mesure répressive souhaitable pouvant être votée, c'est la condamnation à 10 ans de prison des personnes
mettant à disposition des systèmes de paiement ou de signature électronique comportant des failles de sécurité.
La "restauration de la confiance du consommateur" :
Le problème, pour les commerçants, c'est qu'il faudrait "restaurer la confiance des consommateurs"
qui se détourneraient de l'utilisation de la carte bancaire mais ils ont raison :
pourquoi devraient ils utiliser un système non fiable ?
C'est l'objectif réel de ce plan que de restaurer la confiance des utilisateurs mais il ne s'attaque
pas au problème global de la sécurité de la carte bancaire.
Franchise à la charge du consommateur :
La franchise de 400 euros (2 623.83 francs) concernant les fraudes avant opposition est inacceptable.
Les porteurs de cartes ne doivent pas subir les conséquences de l'absence de sécurité des cartes bancaires.
Les consommateurs doivent être remboursés intégralement immédiatement en cas de contrefaçon.
Rappelons qu'il y a pas moins de 45 000 cas de contrefaçon de cartes bancaires constatés par an en France.
Numéros à 16 chiffres :
Concernant les "facturettes", il est déplorable de constater qu'un an après, on en est au même point : supprimer l'impression du numéro à 16 chiffres pour n'imprimer que 9 chiffres.
Cette mesurette est ridicule à plusieurs titres :
- le numéro à 16 chiffres se trouvant sur la carte bancaire n'est pas confidentiel,
- il est possible de retrouver le numéro à 16 chiffres complet à partir du numéro à 9 chiffres en connaissant la banque ou, pour certaines banques, à partir d'un simple chèque. (Voir notre générateur).
- il n'est pas possible pour un porteur de carte de s'opposer à tout débit futur fait avec son seul numéro de carte, il lui est impossible de prévenir les abus.
- cela ne règle pas le problème de la récupération de numéro de carte bancaires suite à des piratages de sites web ou indiscrétions de commerçants
- le problème de fond reste présent : comment peut perdurer un système criminogène aussi peu sûr que le paiement à l'aide du numéro à 16 chiffres et sans aucune garantie, pour le consommateur comme pour le commerçant :
seul l'abandon d'urgence de ce système est admissible.
Cela démontre bien que les banquiers, commerçants et pouvoirs publics s'accommodent bien d'un système totalement non sécurisé alors qu'ils prétendent agir pour "améliorer la sécurité des cartes bancaires"
On essaie de nous faire croire, depuis un an, que cette mesure serait déployée prochainement par les commerçants
mais ces derniers (les commerces traditionnels et la grande distribution) ne voient guère pourquoi ils paieraient
pour les banques et les autres commerçants VPCistes, comme toujours, ce ne sont pas les responsables qui paient.
Mesurettes diverses :
Ensuite d'autres mesurettes montrent le niveau du plan : on demandera aux commerçants de rajouter des caches
pour protéger la saisie du code secret (bien sûr, rien de prévu pour ajouter des caches sur les distributeurs de billets !), afficher le numéro de téléphone d'opposition sur les distributeurs de billets
et informer les consommateurs des risques liés à la carte bancaire.
Après cela, on va nous expliquer que le consommateur n'aura plus aucune raison de se plaindre : il était conscient des risques !
Les porteurs de cartes pourront aussi faire opposition sans transmettre le numéro de carte mais il leur suffira de donner leur nom et prénom
(Actuellement, quand ils se font voler leur carte, ils ne pouvaient faire opposition sur une carte car ils ne connaissaient plus le numéro inscrit dessus,
les fraudes faites avant l'opposition régulière était à leur charge !)
Voeux pieux :
Le plan accumule les voeux pieux : les banques seraient priées de rembourser plus rapidement mais
aucune mesure contraignante n'existe à ce niveau et on constate que les banques continuent à refuser certains remboursements faits notamment à l'aide du seul numéro à 16 chiffres.
De même, les commerçants seraient "incités" à utiliser la puce de qui se moque t'on ?
La puce :
La grande oubliée de ce plan, on nous annonce aucune suppression des failles la concernant.
On nous répète maintenant que la puce est infaillible, alors que toujours rien n'a changé depuis l'affaire Humpich et on se rend compte
que l'utilisation de la puce n'est qu'un gadget marketing : il est possible de lire et cloner la puce d'une carte bancaire sans le code
De plus, il reste possible de faire des simulacres de cartes bancaires à puce comme l'a fait Serge Humpich
malgré l'agrandissement à 768 bits de la clé des cartes bancaires émises depuis novembre 1999.
En effet, toutes les cartes bancaires continuent d'utiliser la clé cassée de 321 bits, la modification opérée se contourne donc sans problème,
la sécurité d'une chaine ne vaut que par son maillon le plus faible.
Dans ces conditions, l'amélioration de la sécurité de la carte à puce passe par le changement de la méthode d'authentification de la puce
et donc le renouvellement des puces.
Avant cela, la mise à niveau du parc de terminaux de paiement ne sert pas à grand chose (il n'est prévu que les terminaux de paiement ne gérent tous la clé allongée qu'en mai 2003 !),
sauf à occasionner des frais supplémentaires aux commerçants.
Réunion boudée :
La réunion organisée par Laurent Fabius a été massivement boudée par les associations de consommateurs qui dénoncent
des mesures prises sans les consulter et n'apportant pas de sécurité pour le porteur de carte.
Conclusion :
En conclusion, il y a encore et toujours recherche de boucs émissaires,
on ne s'attaque pas aux problèmes de fond : pallier à toutes les failles des cartes bancaires et sécuriser efficacement les cartes. les banques doivent assumer seules
la responsabilité des failles du système.
Il n'y a rien non plus pour réorganiser le secteur monopolistique des cartes bancaires qui empêche l'émergence de solutions fiables concurrentes. Tout cela est consternant.
21/02/2001 Mise sous tutelle de la sécurité des cartes bancaires sous l'autorité de la Banque de France
Bercy va révéler demain les détails du plan pour lutter contre les failles de sécurité de La carte bancaire.
Une loi sera adoptée afin que la Banque de France ait la maîtrise de la sécurité de la carte bancaire.
Selon nos informations, cela a été décidé lundi 30/01/2001 par le ministère des finances à Bercy et ce serait Monsieur Carlos Martin, l'un des grands patrons de la DCSSI (Direction Centrale de la Sécurité des Systèmes d'Information), service rattaché au premier ministre
(il travaille aussi à l'Ecole Normale Supérieure) qui
deviendrait responsable de la sécurité des cartes bancaires au sein de la Banque de France.
Les techniques cryptographiques associées à la carte bancaire seront ainsi renforcées.
La farce avait assez duré, un dialogue de sourd avait lieu depuis plusieurs mois entre l'Administrateur du Groupement Cartes Bancaires et Monsieur Carlos Martin,
le gouvernement entend mettre fin aux dénégations des banques et reprendre le contrôle de ce sujet de la sécurité des cartes bancaires
pour le profit des consommateurs.
Cependant, les banques conserveraient des pouvoirs de nuisance
et l'organisation des techniques liées à la sécurité des cartes bancaires seraient en relation
avec le Comité Français d'Organisation et de Normalisation Bancaires
Parmi les autres mesures annoncées par Bercy, une protection accrue du consommateur et cela tout prochainement, notamment en cas de fraude avant opposition, une franchise de 2500 francs maximum
sera à la charge du consommateur. C'est cependant moins que les 150 euros souhaités par l'union européenne.
Les consommateurs et commerçants seront également informés plus régulièrement à propos du système carte bancaire
(alors que dans le même temps les banques raréfient l'envoi de relevés de comptes).
Nous nous réjouissons de ces mesures, quoiqu'insuffisantes, qui vont dans la bonne direction :
des mesures contraignantes sont mises à la charge des banques et les banques sont moins juges et parties.
Parmi les réactions, l'Association des Victimes de la fraude à la Carte Bancaire (AVCB) soutient Carlos Martin
dans sa mission de prise de contrôle de la sécurité des cartes bancaires.
Voir aussi les articles de La Tribune sur ce sujet :
Fabius s'apprête à dévoiler son plan sur la sécurité des cartes bancaires
Une charte contraignante pour les banques
Un sujet très politique
La filiale CP8 de Bull qui détenait les brevets expirés sur la carte à microprocesseur et maîtrisant la technologie des cartes à puces vient
d'être revendue (à un prix bradé) à l'américain Schlumberger (qui se recentre dans l'informatique en achetant aussi Sema).
On apprend seulement maintenant que CP8 a perdu un marché important fin 2000 au profit de Gemplus.
Il s'agit d'un contrat avec le Cartel des banques pour faire le système d'exploitation
des futures cartes mixtes B0'/EMV à partir de l'été 2002
(et non l'été 2001 comme dit ZDnet).
Les développements du masque mixte B0' / EMV annoncés en mars 2000 n'ont donc guère avançés
L'algorithme DSA qui servirait à transmettre des informations confidentielles sur le web (tels que des numéros de carte bancaires) en les chiffrant, aurait une faille
au niveau du générateur de nombres aléatoires qui rendrait cet algorithme vulnérable à des pirates chevronnés.
Voir l'article
05/02/2001 Davos : piratage de numéros de cartes de crédit par des militants anti-mondialisation
Lors du sommet de Davos, des militants anti-mondialisation ont piraté le fichier des 1400 personnalités participant au sommet de Davos.
Un hebdomadaire suisse s'est procuré un CD Rom avec ce fichier.
Il contient les adresses numéros de téléphones, numéros de carte de crédit des puissants entrepreneurs et dirigeants mondiaux, notamment Bill Clinton, Bill Gates, Jean-Marie Messier, Yasser Arafat, Bernard Arnault, Madeleine Albright...
03/02/2001 Les cartes bancaires émises depuis novembre 1999 ont des clefs de 768 bits
Nous vous parlions de clés RSA de taille 792 bits pour l'authentification de la puce des cartes bancaires émises à partir de novembre 1999,
c'est une erreur,
les cartes bancaires émises depuis novembre 1999 ont une valeur d'authentification de 768 bits,
elles ont également toujours une autre valeur d'authentification de 320 bits.
Toutes les cartes restent de toutes façons clônables.
De plus, comme les cartes émises à partir de novembre 1999 sont mixtes,
il n'est pas dit que les propriétaires de ces cartes soient protégés contre une Yescard fabriquée avec une clef de 320 bits
utilisant leur numéro de carte bancaire.
En outre, il n'y a pas besoin du code confidentiel à 4 chiffres de la puce pour accéder à la zone de puce bancaire
où se trouve toutes les informations nécessaire à l'authentification, alors que c'est la fonction essentielle de la puce.
Par contre, il faut le code confidentiel pour accéder à l'historique des transactions qui est totalement inutile
(surtout que les opérations en francs et en euros sont confondues, ce qui rend cet historique inexploitable).
Conséquence : il n'y a même pas besoin du code confidentiel à 4 chiffres pour clôner une puce d'une carte bancaire, même sur les cartes allongées.
On croît rêver ! La mise en oeuvre de la puce sur la carte bancaire
n'apporte aucune sécurité supplémentaire par rapport à la piste :
Sur les 3 fonctions sécuritaires possibles d'une carte à microprocesseur (protection par un code zone publique, zone secrète inaccessible en lecture ou écriture, possibilité de mettre en oeuvre des calculs cryptographiques),
aucune de ces fonctions n'a été exploitée de façon efficace.
Messieurs les banquiers, faudrait arrêter de faire mumuse avec la pupuce, ce n'est pas un gadget marketing,
elle pourrait véritablement avoir une fonction sécuritaire.
Note : la taille de 792 bits avait été avancée par le journal "Libération" en mars 2000.
02/02/2001 Cyber-comm : première tête qui saute
Nous vous parlions des états d'âme au sein de Cyber-comm, vous savez
cette "start-up" dont les pertes dépassaient 5 fois le Chiffre d'Affaires en 1999.
Nous disions que la chasse au bouc émissaire avait commencé. Ca y est, c'est officiel, le
Président saute.
Il était tellement urgent de le faire partir,
qu'il est remplacé par un interimaire, en la personne de Michel Renault, le président du Conseil de Direction
du Groupement Cartes Bancaires qui commence à accumuler tellement de casquettes que cela ne semble
pas le gêner d'hériter d'une nouvelle casserole.
Le communiqué de presse annonce une réorganisation du management de la société Cyber-comm.
Donc d'autres têtes devraient tomber.
01/02/2001 60 millions de consommateurs : un gang de clôneur de cartes bancaires à puce sévit
La revue "60 millions de consommateurs" certifie qu'un groupe de 5 personnes fabriquent
des clônes de cartes bancaires à puce à l'aide d'un logiciel de leur fabrication qu'ils revendent à des truands.
Passage en "Defcon 3"
01/02/2001 : Une conférence impartiale
L'institut de formation continue du barreau de Paris organise un bien curieux colloque sur le thème "Les cartes de paiement à l'heure d'Internet" le 8 février prochain.
En effet, les modérateurs sont Maitre Beaussier, l'avocat du Groupement de Cartes Bancaires
qui avait obtenu la condamnation de Serge Humpich
et le procureur Franqui qui avait requis 2 ans de prison avec sursis
contre Serge Humpich
et les intervenants sont :
le président du Conseil de Direction du Groupement de Cartes Bancaires,
la responsable juridique du
Groupement des Cartes Bancaires qui avait décidé les poursuites contre
Serge Humpich pendant la pseudo négociation
et M. Chauvel,
le commissaire divisionnaire qui avait procédé à l'arrestation
de Serge Humpich, par contre Serge Humpich
n'est pas invité.
La participation est payante, bref une réunion presque familiale.
Nul doute que les débats seront vifs.
Et le principe du contradictoire ?
01/02/2001 Le cartel continue à lire le coran
Toujours planant entre Jupiter et Saturne, on lit des choses abracadabrantesques
de la bouche des banquiers.
Extrait d'une interview d'un responsable du cartel des banques dans "60 millions de consommateurs"
"Actuellement, nous ne pouvons pas attaquer quelqu'un en justice pour le seul motif qu'il met en ligne un générateur."
Heureusement que des gens peuvent faire de simples additions sans risquer d'être traîné en Justice.
L'algorithme de Luhn est d'une simplicité biblique et a au moins 30 ans.
"Nous devons prouver que, à cause de ce site, il y a eu telle fraude"
N'importe quoi, même dans ce cas, seul l'auteur de la fraude est responsable de cette fraude
et l'auteur du générateur ne viole aucune loi, ce n'est qu'une oeuvre de l'esprit.
C'est bien connu, les fabricants de voitures vont en prison quand des gangsters s'en servent pour faire un hold-up
ou lorsqu'un assassin utilise une voiture comme arme par destination.
Les producteurs de films sont également souvent condamnés pour les actes de violence qu'ils suscitent (au Cartelland).
Nous rappelons que les utilisateurs de notre vérificateur de numéros de carte bancaire ne peuvent l'utiliser qu'à des fins éducatives
et que toute utilisation détournée (notamment utilisation bancaire, commerciale ou frauduleuse) sera systématiquement
poursuivi en Justice pour contrefaçon de logiciel en vertu de l'article L 335-3 alinéa 2 du code de la propriété intellectuelle.
Il est ainsi rappelé aux banques qu'elles ne sont pas autorisées à utiliser notre logiciel.
"C'est une limite de la loi française. Il faut la modifier"
Pourquoi la loi française devrait elle faire perdurer les failles de la carte bancaire
et le système criminogène de paiement à l'aide du numéro à 16 chiffres ?
C'est un mauvais système obsolète, la loi française ne va tout de même pas le "protéger".
La loi doit protéger les faibles, pas les cartels.
De plus, il faudrait que les banques commencent à appliquer la loi française avant d'en inventer de nouvelles
(celles sur le recel de fraude, la concurrence, la certification)
On croit rêver.
Au fait, la banque "La Passoire" a t'elle maintenant corrigé ses failles dans le renouvellement de cartes ?
31/01/2001 le livre de Serge Humpich fait apparaître une nouvelle faille des cartes bancaires à puce
Le livre de Serge Humpich (intitulé "Le cerveau bleu", paru aux Editions Xo),
détaille, entre autres, une astucieuse manipulation qui permet d'utiliser facilement la puce d'une
carte bancaire d'un tiers sans en connaître le code secret à 4 chiffres.
Nous rajoutons cette faille à notre longue liste.
Voir notre article sur le projet Jospin en matière de "lutte" contre la fraude à la carte bancaire.
Au lieu de pallier le problème à sa source, c'est à dire le manque de sécurité des cartes bancaires
et le verrouillage de toute concurrence par les banques, Jospin veut accentuer la répression
et créer de nouveaux délits très ambigus sur les incitations à la fraude qui remettent en cause
les recherches indépendantes sur la sécurité des cartes bancaires.
Ce serait un recul considérable, tout comme l'a été la réglementation sur les moyens de cryptologie :
pourra t'on parler de la sécurité des cartes bancaires et des failles
sans risquer que cela soit interprêté par un juge tordu qui n'y connait rien techniquement
comme une incitation à la fraude ?
Une couche de replâtrage de plus !
Cette attitude des institutionnels de systématiquement chercher des boucs émissaires est déplorable,
surtout quand elles sont motivées par des considérations électoralistes pour faire croire, démagogiquement,
que l'on lutte contre la "délinquance"
30/01/2001 Les commerçants en ont marre des modifications qu'on leur impose
De plus en plus de commerçants sont exaspérés de devoir modifier régulièrement leurs systèmes de terminaux de paiement ou interfaces bancaires
suite aux demandes des banques.
En effet, il est paradoxal de constater que c'est le commerçant qui paye pour l'évolution du système des cartes bancaires
et non les banques.
Les banques sont juges et parties et ne respectent pas la réglementation sur la certification
Pire, les banques accumulent les ordres et contrordres et imposent ainsi des modifications inutiles aux commerçants à leur frais.
Par exemple, Visa et Mastercard avaient imposé à l'automne 2000 aux commerçants de mettre en place de nouveaux contrats pour distinguer les transactions à distance
(l'objectif étant de faire payer plus de commissions pour les transactions à distance alors que ces transactions ne sont pas garanties !).
Des commerçants ont dû alors modifier leurs système pour séparer les transactions.
Maintenant Visa/Mastercard, demandent aux commerçant de mettre un indicateur sur chaque transaction pour indiquer s'il s'agit d'une opération de
vente à distance car aux Etats-unis, ils ne sont pas capable d'exploiter les modifications qu'ils avaient eux mêmes demandé !
Non seulement cela montre un manque de coordination affligeant, mais il est consternant de constater que ce sont toujours
les commerçants qui doivent réparer les erreurs des banquiers.
30/01/2001 Etats d'âme chez Cyber-comm
Vous vous souvenez peut-être de Cyber-Comm,
c'était LA solution propriétaire banco-française pour les transactions à distance, soutenue par le
Groupement Cartes Bancaires qui avait recruté
Marylise Lebranchu pour la promo.
Les français auraient dû se ruer pour payer les boîtiers à 450 F servant à faire des transactions sur Internet.
Cependant, les porteurs de carte n'en ont pas voulu, car ils ne veulent pas assumer en plus les risques de la vente à distance.
Et les commerçants n'ont guère été plus chauds.
Après avoir perdu 22 millions en 1999 (pour un CA de 4MF !) et 11 millions en 1998,
l'heure est au bilan, malheureusement, les chiffres 2000 devraient faire apparaître des pertes abyssales,
les 90 millions de francs de financement auraient déjà été englouttis.
Du coup, la recherche d'un bouc émissaire a commencé, chacun rejettant ses responsabilités sur les autres. Le Directeur Général,
accuse publiquement ses banques actionnaires de manquer d'esprit de cartel et de l'avoir lâché. Nous espérons pour lui, qu'il a prévu un bon parachute, au cas où...
Le livre de Serge Humpich est intitulé le "Le cerveau bleu", il est paru aux Editions Xo.
Il y détaille les péripéties de son aventure et remet en cause le fonctionnement du Groupement Cartes Bancaires
23/01/2001 Manifestation de salariés de Bull aujourd'hui à Paris
Les 6 organisations syndicales de Bull organisent aujourd'hui une manifestation en direction du premier ministre.
Elles protestent contre le démantèlement de Bull,
et notamment de la cession envisagée de l'activité carte à puce sous contrôle américain.
Ils s'inquiètent de l'avenir de l'informatique européenne et de la faiblesse des investissements publics en recherche et développement.
22/01/2001 Humpich ne fait pas appel de la décision du Conseil des Prud'hommes de Paris
Serge Humpich avait poursuivi son employeur, la société GFI Informatique qui
l'avait licencié en août 1999 suite à la révélération de son affaire.
Le conseil de Prud'hommes de Paris a condamné en novembre 2000 cette société et alloué environ 170 000 Francs de dommages et intérêts
à Serge Humpich.
Il n'avait pas obtenu tout ce qu'il souhaitait, mais il a finalement décidé de ne pas faire appel.
Une étude américaine prédit la flambée de la fraude à la carte bancaire d'ici à 2005, elle passerait de 1.6 milliard de dollars en l'an 2000 à 15.5 milliards de dollars en 2005.
Cela est surtout dû à la progression envisagée des transactions sur Internet.
Cette dépêche AFP dit que, pour certains internautes, les sites de Yahoo! et de Microsoft.com ont été redirigés le week-end dernier.
Elle ajoute qu'il s'agissait d'une "erreur" d'un registrar MyDomains.com dans une de ses bases de données.
Pourtant, la recherche de yahoo.com et de microsoft.com sur le whois de Gandi.net affiche actuellement
des choses très bizarres voire insultantes comme on peut le voir pour la recherche sur microsoft.com
Alors piratage ou erreur ?
Un article de ZDNet semble apporter une explication :
il y a longtemps qu'une base de données de MyDomains
avait été vérolée par des pirates tentant de détourner ces sites. Cette base de données avait été mise dans une poubelle temporaire, mais suite à une erreur humaine, une personne fouillant la poubelle l'a publiée sur Internet samedi dernier.
Ouf! Cela est encore plus rassurant : piratage aggravé d'erreurs humaines et négligences.
En tout cas, tout le monde semble d'accord pour dire que les bases de données gérant les noms de domaine sont un point faible d'Internet.
Tout comme les bases de données avec les numéros de cartes bancaires.
Le livre de Serge Humpich est intitulé le "Le cerveau bleu", il sortira aux Editions Xo dans une semaine.
SSL est le système de chiffrement permettant les échanges chiffrés sur Internet.
Il est souvent utilisé par exemple pour échanger les numéros de cartes bancaires sur des serveurs de paiement dit "sécurisés".
Il existe 2 types de systèmes d'échange : l'un avec des clés de 40 bits et l'autre avec des clés de 128 bits. On sait depuis lontemps que les clés de 40 bits sont trop petites.
Cependant, une autre attaque existe pour les clés de 128 bits.
Il est ainsi possible pour un tiers de s'intercaler dans l'échange de clés publiques à l'initialisation du dialogue entre le serveur sécurisé et le navigateur de l'utilisateur.
Ce tiers, ne se contenterait pas d'écouter les messages mais aussi de modifier leur contenu.
Une attaque classique en cryptanalyse donc. Cependant, elle réclame bien entendu des compétences ardues par une personne ayant accès à un noeud du réseau public de l'Internet
où transitent les informations.
Mais il n'est pas exclu qu'un hacker balance un logiciel sur Internet pour automatiser toute l'interception et démocratiser son savoir...
Cet article explique que du fait de l'absence de certificat de l'utilisateur, il est possible de mettre en place une telle attaque.
Ce site s'enrichit d'une nouvelle rubrique avec des quizz sur les questions pratiques les plus couramment posées (notamment comment se protéger et comment protester).
16/01/2001 : Le "cryptogramme visuel" piratable aisément
Le "cryptogramme visuel" dit CVV2 est un code à 3 chiffres à l'arrière de certaines cartes bancaires destiné à "sécuriser" les transactions par Internet.
Comme nous le disions mi décembre, il est possible de retrouver ce nombre par une formule.
Ce code sera vérifié par les serveurs des commerçants d'après 01 Net.
Cette vérification peut en effet être faite localement sans contacter la banque. Par exemple, les solutions de commerce électronique proposé
par Saint Hmilton Group à Singapour fait une telle vérification en local,
l'algorithme se trouve donc dans ces logiciels mais les auteurs ne divulguent pas ce secret de fabrication.
D'autres logiciels de E-commerce font une telle vérification en local au niveau du commerçant.
Ce qu'un serveur commercial mettra 1 seconde à vérifier pourra donc être retrouvé en 1000 secondes maximum (soit 15 minutes)
puisque le code n'a que 3 chiffres.
Il suffit pour cela d'isoler l'algorithme de vérification et faire une attaque par force brute (essai de toutes les combinaison jusqu'à trouver la bonne).
Conclusion, encore un gadget et une gesticulation inutiles des banques, cet algorithme sera sûrement cassé prochaînement.
Références :Description validateur CVV2, autre article,
Logiciel génération CVV2 à l'émission des cartes
Interface vérification sous Linux
(les sources en C sont disponibles mais la vérification du code CVV2 ne se fait pas à ce niveau mais plutôt éventuellement au niveau des protocoles avec la banque)
Nous vous tiendrons bien évidemment au courant, ceux qui disposent de l'algorithme ou d'informations peuvent nous l'envoyer.
Notre confrère Kitetoa,
spécialisé dans les failles de sites web publie un article assez amusant sur la façon de faire baisser sensiblement les prix
sur des sites de commerce électronique utilisant du javascript.
Une petite manipulation, et hop, le baby foot de café chez Leclerc passe de 5990 F à 1 F.
C'est les soldes en ce moment sur Internet !
Le cartel des banques poursuit à l'extrême sa stratégie suicidaire de repousser la responsabilité de ses propres fautes sur les autres.
Tant que cela leur rapporte de l'argent, cela ne leur viendrait jamais à l'esprit de remettre en cause leur système totalement obsolète de
paiement à l'aide du seul numéro de carte bancaire.
La solution est donc toute trouvée :
"Il faut que les pouvoirs publics émettent un décret ou que la justice se lance dans la rédaction de mesures", ils disent, sans avoir peur du ridicule.
Seule la loi peut restreindre la liberté d'expression, les parlementaires devraient plutôt réorganiser le système bancaire en démantelant les cartels
et ce n'est pas la Justice qui fait la loi.
Ils portent donc plainte contre des boucs émissaires : ceux qui parle du secret de polichinelle ou qui disent ouvertement que la fraude existe et est plus importante que ce qu'ils prétendent.
Autre perle "Notre but est de combler le vide juridique", ce qui confirme ce que nous disions le 22/11/2000 :
cette plainte ne repose sur rien.
D'ailleurs, il n'y a rien dans ces plaintes : aucun argument juridique, juste une liste de sites regroupant en vrac des sites de journalistes ou de carding situés aux 4 coins du monde [Slovaquie
ou ailleurs (les enquêteurs ne connaissent même pas le pays d'origine)]. Point commun : ces sites ne plaisent pas aux banquiers.
Nous avons pu le vérifier nous même car ils n'ont rien trouvé de mieux que de signaler
notre canular intitulé "Une fausse carte bancaire pour les nulles" mise en ligne depuis le 15 janvier 2000 et inchangée depuis au procureur de la République.
Ce même avocat plaisantin nous reprochait en janvier 2000
que cette page constituait une contrefaçon des marques lettres "C", lettre "B", fond bleu étoilé.
Enfin, le cartel sort un gros mensonge : "les préjudices liés au carding ont pesé en France pas moins de 70 MF sur l'exercice 2000".
En frais davocat ? C'est bien le seul coût pour le cartel.
Et le recel de fraude (commissions sur opérations frauduleuses, taux de commission proportionnel à la fraude, frais d'opposition, frais d'enquête inutile, frais de renouvellement de cartes,
agios sur soldes débiteurs suite à prélèvement indû, souscriptions d'assurances inutiles) combien cela rapporte aux banques ?
Conclusion :
C'est de la pure gesticulation pour faire croire qu'ils s'occupent du problème et mieux le détourner,
la mesure de masquage partiel du numéro de carte bancaire sur les facturettes est un exemple de masquarade inutile.
Le cartel des banques montre bien que ce qui le préoccupe, ce n'est pas que de la fraude existe (puisque cela lui rapporte de l'argent),
mais qu'on en parle car les gens perdent confiance dans le système et du coup ne s'en servent pas.
A noter que le code pénal assimile la dissimulation de la fraude à du recel, puni de 5 ans de prison.
11/01/2001 Les banques ne garantissent plus les transactions autorisées par les terminaux de paiement
Plusieurs grosses affaires de fraude à la carte bancaire posent le problème de la garantie de paiement prétendûment accordée par les banques aux commerçants.
Ces commerçants ont livré des marchandises à leur client après avoir obtenu une autorisation de leur banque pour le paiement par carte bancaire mais
les banques ont contesté les transactions a posteriori.
Comme cela a été vu dans l'affaire Pandora, les banques n'hésitent pas à se retourner
vers les commerçants lorsqu'il y a des fraudes, à les accuser d'escroquerie et refusent d'assumer
leur garantie de paiement accordée contractuellement pour les transactions sur le point de vente (pas à distance).
La Poste a ainsi été condamnée à payer 600 000 Francs à un commerçant lyonnais en téléphonie mobile, un client de ce commerçant
avait passé une très grosse commande de téléphones portables portant sur 600 000 francs, cette commande a été payée par carte bancaire à l'aide d'un terminal
de paiement électronique qui avait donné une autorisation pour cette transaction.
Après coup, cette transaction a été contestée par La Poste qui avait parlé d'escroquerie et de contrefaçon.
A noter qu'il y a d'autres affaires semblables à Lyon notamment l'une où une banque retient un montant équivalent depuis plus d'un mois.
Il faut noter que ces opérations de paiement par carte bancaire n'étaient même pas forcément des contrefaçons car certains
pays permettent aux porteurs de carte d'annuler a posteriori les paiements faits à l'aide de la piste magnétique
En France, les transactions par carte bancaire (piste magnétique ou puce)
sont irrévocables (Article 57-2 Décret-loi du 30 octobre 1935 modifié unifiant le droit en matière de chèques et relatif aux cartes de paiement)
Conclusion : on ne peut que déplorer que les banques se défaussent de leur responsabilité et fasse reporter
la ruine de leur système de carte bancaire sur le dos des commerçants et des porteurs de cartes ?
Comment le commerçant peut il se protéger ? Il lui est interdit d'accepter le cash au delà de 20 000 francs.
Affaire à suivre.
11/01/2001 RueDuCommerce : Polémique sur les respect des consommateurs par les sites de commerce en ligne
Alors que le site RueDuCommerce.com entend faire la chasse aux fraudeurs à la carte bancaire
selon des méthodes discutables (piéger les personnes acceptant des colis payés avec le numéro de carte d'un tiers),
de plus en plus de consommateurs remettent en cause les conditions de vente en ligne, notamment sur ce site.
En effet, les délais de livraison ne sont pas toujours respectés, ce site admet que 25 % des commandes passées en 1999 n'avaient
pas été servies et que 10 % de celles réalisées en 2000 n'avaient pas été servies.
Curieusement, ce site ne dispose pas en stock de tous les produits proposés à la vente et fait reposer le risque induit sur les consommateurs
qui peuvent attendent indéfiniment leur commande.
Plus grave, dans le cas où ce site ne peut finalement pas assurer la livraison, il se contente de rembourser la somme prélevée alors qu'il devrait rembourser le DOUBLE
de la somme prélevée (article L 114-1 alinéa 4 du code de la consommation) majoré des intérêts de retard (article L 131-1 alinéa 4 du code de la consommation)
plus les dommages et intérêts.
Les conditions générales de vente de ce site
n'indiquent nullement que les sommes versées (par chèque ou prélèvement carte bancaire) ne sont pas des arrhes.
Ce sont ainsi des centaines de milliers de francs que ces sites devraient rembourser aux consommateurs et
les cyberconsommateurs devraient s'associer pour réclamer le remboursement de ces sommes dues.
On peut s'étonner dans ces conditions du discours moraliste de ce site
relayé abondamment dans la presse (Le Figaro du 10/01/2001, "les escrocs en ligne de mire")
où il prétend restaurer la confiance des consommateurs alors que non seulement il ne respecte pas ses obligations légales et contractuelles
mais utilise un système de paiement tellement obsolète qu'il est difficile de résister à la tentation d'en abuser.
Rappelons que les risques de la vente à distance doivent être supportés par le commerçant, et qu'il est insupportable pour
le consommateur d'attendre une commande arrivant en retard.
Les demandes de remboursement donnent également souvent lieu à des complications et des délais injustifiés.
03/01/2001 : Encore un convoyeur assassiné lors d'une attaque de distributeur
Lors d'une attaque d'un distributeur de billets à l'hopital de Villejuif, un convoyeur a été tué d'une balle dans la tête.
Cet acte sauvage semble avoir été minutieusement préparé et ce distributeur était mentionné parmi les points noirs.
Les 2 malfaiteurs ont pris la fuite avec un butin de 450 000 francs.
Des syndicats de convoyeurs de fonds ont appelé à cessé le travail.
Cet acte pose le problème de l'inertie et de l'indifférence des banques face à la montée de la délinquance engendrée
par ces amas d'argent.
Les banques sous-traitent ainsi à vil prix ces missions périlleuses de convoyage de fonds.
NOUVELLES PRECEDENTES