Retour page d'accueil site sur les failles des cartes bancaires
DERNIERES NOUVELLES SUR L'AFFAIRE :
26/04/2001 La banque "La Passoire" n'a toujours pas corrigé ses failles criminogènes : la preuve
En octobre 2000, nous faisions des révélations calamiteuses sur
3 failles concernant la génération des numéros de carte bancaire.
Nous révélions notamment qu'il était possible de trouver le numéro de carte bancaire à 16 chiffres à partir d'un chèque
de la banque La Passoire (celle qui distribue aussi du courrier quant elle n'est pas en grève).
Nous révélions aussi, entre autres, que dans certaines banques (notamment La Passoire et le Crédit Bouseux) , quand la carte est renouvelée,
le nouveau numéro s'obtient à coup sûr à partir du précédent.
Actuellement ces failles sont toujours présentes à la banque La Passoire et nous pouvons le prouver !
,
cet établissement insiste donc pour mettre en péril ses clients avec ses systèmes criminogènes.
Nous avons donc ouvert en mars 2001 un compte bancaire en euro dans cet établissement,
un chéquier en euros a été remis en mars 2001,
à partir du numéro de compte inscrit sur le chèque ou un RIB,
nous avons utilisé notre
extrapolateur
pour déterminé le numéro de carte à 16 chiffres correspondant.
Nous avons déposé le 4 avril 2001 une enveloppe Soleau à l'INPI (Institut National de la Propriété Industrielle),
contenant une seule feuille avec un seul numéro à 16 chiffres.
Le 25 avril 2001, la carte bancaire associée à ce nouveau compte
a été reçue, son numéro est bien celui qui a été déposé antérieurement !
Cela prouve qu'il est possible de deviner à coup sûr un numéro de carte bancaire futur à partir du numéro de compte chèques !
Pourtant, il est théoriquement beaucoup plus difficile de trouver au hasard un bon numéro à 16 chiffres que d'avoir 6 numéros gagnants au Loto !
Après 5 minutes d'examen de la puce de carte bancaire, selon la méthode décrite dans notre explorateur celle-ci n'est pas en euro
mais en franc (alors que le compte associé est en euros),
cette carte utilise la clé cassée révélée sur Internet en février-mars 2000 et
la puce de la carte est clonable sans connaître le code secret ; soit 3 manoeuvres dolosives (tromperie afin de vicier le consentement) de la banque mettant en péril les porteurs de cartes !
Conclusion : au lieu de passer leur temps à faire du lobbying nuisible,
les banques devraient renforcer la sécurité des cartes et arrêter de fourguer leurs cartes passoires !
Le code source d'un programme en assembleur pour carte PIC est diffusé
depuis plusieurs semaines sur un forum consacré aux cartes à puce.
Ce programme semble émuler le comportement des cartes bancaires à puce.
Face à cela, il est impératif que les banques tiennent leurs promesses
et renouvellent toutes les cartes bancaires à puce plutôt que de continuer à fourguer
leurs vieilles cartes passoires obsolètes comme nous l'avons montré dans l'explorateur de carte bancaire
Monsieur Michel Renault avait en effet promis le 15 mars 2000 devant un parterre de journalistes
qu'en cas d'apparition de Yescard, toutes les cartes seraient remplaçées mais à l'heure actuelle,
toutes les cartes émises par les banques mettent en oeuvre la clé de 320 bits réputée faible depuis 1988, cassée depuis 1998
et révélée sur Internet. Toutes les puces des cartes sont clonables sans avoir besoin de
connaître le code confidentiel.
Autre lien sur le source du programme
Décidément, le kit de développement pour carte à puce "BasicCard" que nous avons utilisé pour découvrir la puce bancaire, est à l'honneur en ce moment.
Patrick Gueulle a écrit un long article sur le kit BasicCard dans le numéro 18 de la revue "Le Virus Informatique"
qui vient de paraître.
Dans cet article, on peut notamment un programme "YES.BAS" de quelques lignes qui permet à une carte à puce "BasicCard" de simuler le comportement d'une carte bancaire
(demande d'un code secret, elle répond OUI quel que soit le code entré par l'utilisateur et a ).
Bien sûr, cette carte ne fait pas ensuite l'authentification de la puce bancaire qui est "hors de portée".
Fort heureusement, il est absolument "impossible" théoriquement que ces cartes fonctionnent
sur de vrais terminaux de paiement surprotégés puisque
la carte bancaire fonctionne avec le protocole mode T=0 et surtout parce que les terminaux
de paiements sont AGREES donc les experts ont
fait en sorte que les terminaux ne peuvent que
rejetter de vulgaires cartes émulant la carte bancaire.
En effet la BasicCard n'est programmable actuellement qu'en protocole mode T=1
mais des cartes BasicCard avec RSA programmables en mode T=1 et T=0 sont annonçées prochainement.
De toutes façons, ce n'est vraiment pas possible que cela fonctionne et l'hologramme de la carte bancaire
est totalement infalsifiable d'après les banques.
Des pirates russes ont vidé plusieurs sites de E-commerce de leurs précieux numéros de cartes bancaires en exploitant une faille du logiciel PDG Shopping Cart.
Le FBI continue d'alerter les sites des risques encourrus mais ils répondent tous "C'est pas risqué chez nous" et ne font rien.
Voir aussi l'article de Newsbyte
Dans cette page, nous démystifions la carte à puce réputée "inviolable, infalsiable et infaillible".
En effet, un budget limité (350 F environ) vous permettra de tout découvrir dans la carte bancaire et de lever quelques mythes.
Le code secret ? il n'empêche pas de lire la puce et de la cloner ! Il ne sert quasiment à rien (juste à insérer le montant de la transaction dans l'historique des transactions de la puce).
Les cartes avec des clés allongées ? une rigolade, les cartes émises depuis novembre 1999 comportent 2 clés et très peu de terminaux lisent la nouvelle clé.
De toutes façons, il reste possible de cloner ces cartes sans connaître le code secret.
16/04/2001 : Montants de la fraude à la carte bancaire
Les chiffres officiels de la fraude officiels sont les suivants (ne prennent en compte que la fraude connue par les banques, après opposition (ce qui élimine 80 % de la fraude !)) :
Vous noterez la présence de contrefaçons de carte bancaire à puce franco-française dans ces chiffres
|
Type de fraude
|
1999
|
2000
|
|
fraude carte bancaire à puce française en france
|
178 millions F
dont 97 millions cartes perdues
dont 77 millions cartes volées
dont 4 millions cartes bancaires à puce contrefaites
|
250 millions F
dont 128 millions cartes perdues
dont 115 millions cartes volées
dont 6.5 millions cartes bancaires à puce contrefaites
|
|
fraude cartes bancaires étrangères chez commerçants français
|
220 millions
|
360 millions
|
|
fraude cartes bancaires françaises à l'étranger
|
142 millions
|
195 millions
|
|
fraude recharge téléphonie mobile
|
35 millions
|
70 millions
|
|
fraude distributeurs de billets en France
|
61 millions
|
Environ 65 millions
|
|
fraude sur Internet et vente à distance
|
inconnu
|
inconnu
|
|
Total
|
> 636 millions
|
> 940 millions
|
Une vaste escroquerie à la garantie bancaire, a fait de nombreuses victimes pour des préjudice considérable estimés environ à 4 milliards de dollars.
Les fraudeurs se faisaient passer pour la chambre de compensation Euroclear et vendaient de fausses garanties bancaires. Les organisateurs du trafic courrent toujours mais 29 sites ont été fermés.
Un chercheur japonais travaillant aux Etats-Unis trouve une porte dérobée dans le logiciel installé dans les modem ADSL d'Alcatel (1er fabricant de modem ADSL au monde)
permettant de détourner des communications à distance via Internet et même de pirater les ordinateurs.
Ce hacker a trouvé cette porte dérobée conçue par les ingénieurs d'Alcatel mais non documentée en faisant du reverse engineering
sur le logiciel installé sur le modem pour corriger des problèmes d'interférence.
Question en suspend pourquoi Alcatel a t'elle mis au point une telle porte dérobée ?
04/04/2001 10% de commissions bancaires pour des transactions par carte bancaire faites uniquement avec la puce ! La banque reconnait des contrefaçons de la puce.
Le café restaurant "Le Pandora" n'a pas fini d'être victime du harcèlement et des mesures discriminatoires
du cartel des banques.
Ce café payait jusqu'à présent des commissions sur les transactions par carte bancaire de 0.8% à sa banque, le crédit bouseux.
Aujourd'hui, sa banque a annoncé que les commissions passaient désormais à 8.23 % de la transaction plus 1 franc 25 centimes par transaction pour les cartes françaises et 1.41 % plus 2.50 Francs pour les cartes étrangères.
Cela fait donc 9,48 F de commissions bancaires pour un paiement de 100 francs par une carte française.
Des tarifs multipliés par plus de 10, ce n'est pas banal ! La banque a une explication : elle parle de taux de fraude élevé sur les 3 premiers mois de l'année (mais ne fournit aucune justification) et
dues à des transactions faites avec des fausses cartes dans l'établissement.
Or ce commerce de proximité n'accepte pas les cartes bancaires étrangères, ne fait que des transactions
avec la puce "inviolable, infalsibiable, inpiratable, inattaquable et infaillible" des cartes bancaires et avec un terminal de paiement
neuf du tout dernier cri loué par la banque !
En effet, ce commerçant, qui s'est fait restitué l'accès au réseau des cartes bancaires par décision judiciaire du tribunal de commerce de Paris du 22/09/2000,
s'est engagé, de lui même (rien ne l'y oblige), à refuser les cartes bancaires étrangères qui sont souvent contrefaites dans le quartier de Pigalle.
Depuis fin 2000, date à laquelle le crédit bouseux a restitué le terminal de paiement et l'accès au réseau cartes bancaires, toutes les transactions ont donc été faites avec la puce.
Les banques reconnaissent ainsi qu'il y a des puces falsifiées alors qu'elles prétendent le contraire aux autorités.
En tout cas, si les banques facturent plus les cartes étrangères que les cartes françaises, il faut qu'elles arrêtent tout de suite qu'elles disent qu'elle est sûre. Il est scandaleux également que les banques ne tiennent
jamais leurs engagements et qu'elles se soustraient à la garantie de paiement écrite dans le contrat.
Le Groupement Cartes Bancaires a par ailleurs fait un pourvoi en cassation de l'ordonnance de référé de la Cour d'appel de Paris du 7 novembre 2000 qui avait débouté
sa demande de suspension de l'exécution provisoire ordonnée par la décision judiciaire du tribunal de commerce de Paris du 22/09/2000 (ce dernier jugement a aussi fait l'objet d'un appel par les banques).
Comme nous le disions, cette affaire démontre que les banques sont capables de tout pour remplir la cagnotte du recel de fraude.
Nous parlions en octobre de failles calamiteuses dans la génération de numéro de cartes bancaires de la banque "La Passoire" (celle qui distribue aussi du courrier).
Il apparait que les cartes bancaires du crédit bouseux présente les mêmes failles : la première carte demandée par un client a comme quatorzième numéro un 0, le 15ème est un 1. Le 15 ème numéro est incrémenté de 1 à chaque renouvellement de carte.
Cela signifie que lors du renouvellement de carte, seul les 2 derniers chiffres du numéro change (le numéro de carte augmente de 8 le plus souvent, ou appuyer sur le bouton "Suivant" du vérificateur de format de numéro)
et une personne victime d'une utilisation frauduleuse ne peut se prémunir contre une utilisation abusive ultérieure de sa nouvelle carte.
C'est totalement scandaleux et comme d'habitude, c'est le porteur de carte qui paye les commissions pour opposition, renouvellement de carte, etc...
NOUVELLES 03/2001
NOUVELLES 02/2001
NOUVELLES PRECEDENTES