geoli, auteur actuellement d'un logiciel par semaine (logiciel geZeroLee, analyseurs logiques...) affirme avoir réussi à fabriquer, après correction de certains problèmes techniques, une Yescard qui simule exactement le comportement d'une vrai carte bancaire et acceptée sur tous les terminaux de paiement.
Il a mis au point une nouvelle version améliorée de son logiciel geZeroLee permettant de personnaliser cette version de Yescard complètement opérationnelle. (la version 1 actuellement diffusée publiquement sur le web ne permettait que de fabriquer des Yescards utilisables que dans certaines circonstances tels que les décodeurs de télévision ou les lecteurs Lexibooks).
Cependant, il ne semble pas souhaiter diffuser publiquement ces informations,
son objectif est, nous le rappelons, purement didactique et nullement criminel,
à savoir expliquer le secret de la Yescard.
C'est un Hacker, pas un pirate et les hackers ont
condamné les utilisations faites par certains des Yescard dans les pompes à essence.
D'un autre côté, un autre Hacker affirmait il y a quelques jours en être arrivé au même point (Yescard opérationnelle), et avait adopté la même attitude, c'est à dire de ne pas révéler le source de Yescard émulant tout à fait celui d'une carte bancaire.
Les recherches continuent pour tous ces chercheurs
qui ont énormément progressé depuis le véritable démarrage de ce projet
il y a quelques semaines et l'aventure continue donc !
De nouveaux axes de recherche sont ouverts (dump de la mémoire des terminaux de paiement, etc...) et
Le débat reste ouvert aussi sur la sécurité des cartes bancaires à puce mise à mal par quelques Hackers. Depuis 1988, cryptographes éminents et spécialistes en sécurité insistent sur la grande vulnérabilité des cartes bancaires, certains hackers estiment que le GIE des Cartes Bancaires a pris conscience de la "gravité du problème et espère qu'il va prendre les mesures qui s'imposent pour mieux protéger nos cartes bancaires".
Cependant, cela ressemble à du dialogue de sourds,
car du côté de la sécurité des cartes bancaires, les banques n'ont rien annoncé en matière de renouvellement
du parc de cartes (les cartes actuellement émises sont clonables) et du changement du procédé d'authentification des cartes bancaires.
Elles parlent du système EMV qui entrerait en vigueur à partir de 2002-2003, mais ce procédé différent n'est nullement la panacée :
il subsistera l'authentification statique offline particulièrement obsolète depuis longtemps.
Il serait scandaleux qu'une nouvelle fois, sous prétexte d'arguments marketing
(telle que compatibilité avec une nouvelle "norme" très peu utilisée),
la sécurité soit encore placée en dernier rang des préoccupations des banques.
Une dépêche AFP du 22/06/2001 fait mention d'un communiqué du GIE Cartes Bancaires admettant l'existence de Yescard (émulateur de carte bancaire à puce), suite à l'article paru dans le journal Le Monde daté du 23/06/2001
Voici donc confirmé ce que nous disions dans notre éditorial.
Cependant, les Yescard (émulateurs de cartes bancaires à puce) ne sont pas limitées aux décodeurs de télévision,
le passage à la vitesse supérieure a été franchi avec l'utilisation dans des
pompes à essence et cabines téléphoniques.
Le cartel des banques ne parle pas d'évolution des cartes actuellement émises (toutes restent clonables).
Enfin, comme nous le disions il y a quelques jours, les logiciels et informations que souhaiteraient voir interdire le cartel des banques sont toujours diffusées PUBLIQUEMENT depuis le début de la semaine (voir copie d'écran de cette page web)
Comme indiqué dans notre éditorial, après avoir fait marcher une Yescard (émulateur de carte bancaire à puce) dans un décodeur de télévision pour "s'offrir" des jetons, ils ont réussi à effectuer une transaction à l'aide d'une Yescard dans une cabine téléphonique.
Rappelons que les décodeurs de télévision ne vérifient même pas la valeur d'authentification lors de la transaction alors que les cabines téléphoniques vérifient la valeur d'authentification lorsqu'une transaction par carte bancaire est faite (il est possible non seulement d'utiliser des télécartes dans les cabines téléphoniques mais aussi les cartes bancaires après achat d'unités).
Une autre personne prétend avoir "expérimenté" avec succès sa Yescard sur une pompe à essence.
Les Hackers fulminent aussi les entraves à la liberté d'expression et de recherche,
surtout qu'un forum qui regroupait 6000 personnes intéressés par les cartes à puce pour les décodeurs de télévision par satellite a été fermé
(y compris la petite section qui était consacrée à la carte bancaire).
Ces entraves à la liberté d'informer sur la carte bancaire sont d'autant plus scandaleuses que rien n'interdit en soi,
la diffusion d'informations ou de logiciels sur la carte bancaire.
De plus, les Hackers ont des intentions didactiques et nullement criminelles.
Mais l'activité de recherche sur la Yescard bancaire n'a pas baissé tout au contraire :
certaines personnes ne pouvant plus discuter des décodeurs de télévision s'intéressent maintenant à la carte bancaire !
Certains s'auto-censurent pour bien montrer leurs intentions didactiques et nullement criminelles, alors que d'autres, pour contourner la censure,
ont diffusé les docs et les logiciels (y compris le prometteur geZeroLee Box version 1.0 jusque là diffusé en cercle
très restreint)
en accès libre sur le web (non, nous ne révélerons pas l'adresse) !
Autre point curieux : certains prétendaient que la Yescard d'Humpich
ne fonctionnait que sur les terminaux de paiement entièrement autonomes de la RATP.
Or les cabines téléphoniques ne sont normalement pas des terminaux de paiement totalement autonomes
car elles sont connectées... au réseau téléphonique. Bizarre, nous aurait on menti ?
A moins bien sûr que l'opérateur téléphonique fasse des économies sur les factures téléphoniques qu'il se
paye à lui-même.
La conséquence de tout cela est simple : presque plus rien n'empêche l'utilisation des Yescard dans les terminaux de paiement électroniques normaux des commerçants si ces derniers ne vérifient pas visuellement l'hologramme.
Petit jeu concours : trouver le commerçant en France qui s'amuse à vérifier l'hologramme de la carte lors du paiement ? L'heureux gagnant se verra offrir une Yescard ! (C'est une blague bien sûr)
Jeune mais cryptologue déjà réputé, Julien Stern, indique dans le magazine Transfert (repris par Libération des 16 et 17 juin 2001) qu'interdire la publication des failles de sécurité nuit au consommateur.
Bien entendu, tout le monde pense la même chose, sauf le Groupement des Cartes Bancaires, qui pris de panique par l'arrivée de la Yescard se lance dans une inutile entreprise de censure : pressions délictuelles tout azimut.
Pourtant cela était prévu depuis 1988, que l'on ne nous dise pas qu'ils n'étaient pas prévenus !
La censure, dans ces conditions, cela ne sert qu'à empêcher le consommateur d'avoir accès à l'information qui lui permet de se défendre et de faire valoir ses droits, les Hackers ont déjà toutes les informations qu'ils veulent.
Nous avons reçu des informations alarmistes concernant le projet de remplacement de l'actuel réseau cartes bancaires (RCB) pour le remplacer par un projet de Réseau de Services Bancaires (RSB) lançé en grande pompe en avril 2000 par le Cartel des banques.
L'objectif de ce projet était de supporter de nouveaux services
(rechargement de porte-monnaie électronique, authentification dynamique online de cartes bancaires)
et de permettre une augmentation accrue des demandes d'autorisation
des transactions (2 à 10 milliards d'autorisation par an contre 1 milliard de demandes d'autorisations de retrait et paiement actuellement).
En effet, ce projet, d'un coût très important n'est pas très bien parti
et semble voué au sort des grands projets usines à gaz tels que la Très Grande Bibliothèque.
Ainsi, le principal maître d'oeuvre de cet ambitieux projet, CS Communication et Système
(ex Compagnie des Signaux) connait de grosses difficultés
financières, et ne peut soutenir ses filiales en situation de redressement judicaire comme l'annonce ce
communiqué de presse de CS
et le cours de l'action de la maison mère a plongé ces derniers mois.
Cela se ressent au niveau de ce projet RSB qui subit de nombreux départs et turn-over d'intervenants de CS Communications et Systèmes.
De son côté, Thalès (ex Thomson CSF Comsys), en charge de la partie sécurité du projet, connait de nombreuses difficultés techniques au niveau des interfaces (notamment au niveau des temps de réponse des authentifications dynamiques),
Le système qui devait être livré en septembre 2001 semble donc avoir un peu de plomb dans l'aile.
Un commerçant avait accepté des cartes bancaires étrangères pour vendre, fin novembre 2000, des montres.
Il avait obtenu des autorisations bancaires et vérifié l'identité du porteur à l'aide d'une pièce d'identité,
mais surprise, quelques jours après, la Banque reprend les sous (578 145 francs !) sur le compte.
Les raisons : la banque parle devant le juge de contrefaçon de la carte bancaire mais il y a peu d'éléments.
Quoi qu'il en soit, le contrat cartes bancaires précise clairement que la banque garantit les transactions.
Le commerçant est contraint de poursuivre en justice sa banque mais il échoue devant le Tribunal de Commerce de Lyon en référé.
Par contre, le Tribunal de Commerce de Lyon donne raison au commerçant sur le fond. La banque n'aurait pas fait appel.
Décision du Tribunal de Commerce de Lyon du 13 avril 2001 sur le fond
| Page 1 | Parties au procès, curieusement, le Groupement Cartes Bancaires n'est pas partie alors que c'est une partie du contrat commerçant |
| Page 2 | Rappel des faits et de la procédure |
| Page 3 | Les moyens de la banque Crédit Mutuel et du bijoutier |
| Page 4 | Discussion : arguments du jugement : le bijoutier "a appliqué toutes les mesures de sécurité exigées pour la couverture liant les parties". |
| Page 5 | Par ces motifs (dispositif de la décision) : condamnation du Crédit Mutuel au remboursement de 578 145 francs, exécution provisoire, 20 000 Francs de frais d'avocat et dépens. |
L'ordonnance de référé précédente dans la même affaire était largement plus favorable à la banque : le juge s'étonnait de la répétition des paiements par le même clients pour justifier une contestation sérieuse ! Bientôt pour être sûrs d'être payés, les commerçants devront ils refuser les cartes des gens louches (genre basané) ?
Décision du Tribunal de Commerce de Lyon du 10 janvier 2001 en référé
| Page 1 | Parties au procès. |
| Page 2 | Motifs de l'ordonnance : le juge trouve l'affaire ténébreuse car le même client a fait plusieurs achats sur des jours différents. |
| Page 3 | Par ces motifs : le bijoutier débouté et doit payer 5000 francs de frais d'avocat |
Comme indiqué dans notre éditorial, des Hackers ont fait un log des échanges entre un terminal de paiement normal et une carte bancaire.
Ce log commenté par les Hackers permet d'ores et déjà de confirmer certaines failles. Entre autres, le fait que le terminal reboote en plein milieu de la transaction confirme l'existence d'une nouvelle faille décrite dans le livre de Serge Humpich (Substitution puce au moment vérification code secret : il suffit de changer de carte au milieu de la transaction
Voir aussi
le log d'un échange lors d'une transaction carte bancaire sur une cabine téléphonique.
Cette dernière manipulation a donné du fil à retordre
aux Hackers se balladant avec un ordinateur portable en bandouillière :
en effet, les cabines seraint munies d'un TOS mètre, c'est à dire un
détecteur d'ondes stationnaires qui empêcherait l'interception du signal.
Ces 2 documents permettent d'établir que les verrous additionnels ajoutés par le cartel des banques ne sont guères sérieux
et relèvent de la catégorie des replâtrages de dernière minute.
Faute d'avoir voulu investir véritablement dans un nouveau procédé d'authentification dynamique des cartes bancaires à puce,
les banques n'auront pu éviter le clash.
Certes, ce groupe de Hackers ne semble pas avoir déjà fait une Yescard universelle mais en attendant, on peut espérer que les banques aient prévues un plan de secours au point et efficace.
Cependant, vu l'insistance avec lesquelles elles se battent à l'Assemblée Nationale pour empêcher la Banque de France de pouvoir publier une simple recommandation de retrait de carte bancaire insuffisamment sûres on peut douter qu'elles aient la volonté de retirer les cartes du marché comme elles l'avaient promises (Un telle recommandation de la BdF n'a de toutes façons aucune chance d'apparaître : la Banque de France est juge et partie : membre du cartel des banques et émet elle-même des cartes bancaires).
Alors que cherchent à faire les banques par leurs outrances et leur mensonges ? Economiser 3 francs 6 sous et grapiller des misérables petits profits grâce à la fraude
pour finalement perdre 1000 fois plus ?
En tout cas leur inconscience n'évitera pas leur responsabilité dans la catastrophe qui s'annonce.
Ca y est !
Des Hackers ont expérimenté avec succès la Yescard (émulateur de carte bancaire) et ont même développé des logiciels et boîte à outils intégrés permettant en quelques clics, de faciliter la lecture de carte bancaire, le décodage et la présentation des informations, les calculs cryptographiques, le clonage de carte bancaire, l'émulation des cartes bancaires
Les hackers semblent déterminés à partager leur connaissance puisque leurs intentions
sont purement éducatives et nullement lucratives (les logiciels et outils sont gratuits et diffusés sur Internet).
Les promoteurs de ce projet de Yescard indiquent que leurs intentions sont purement didactiques, il est impossible que la Yescard serve réellement
à frauder puisqu'il y a des protections empêchant son utilisation (notamment la vérification visuelle de l'hologramme sur la carte par le commerçant)
et nos gouvernants ne nous aurait tout de même pas menti pour protéger des intérêts purement privés ?
Bien entendu, il est primordial que les banquiers n'incitent pas à nouveau les fraudeurs à utiliser frauduleusement de tels outils en laissant subsister toutes les failles connnues depuis plusieurs décennies. Pour cela, il n'y a pas 36 moyens : il faut révoquer immédiatement la puce de la carte bancaire. Toute nouvelle émission de carte bancaire en l'état est un dol caractérisé.
Enfin, le projet de loi sur la "sécurité quotidienne" et ses dispositions liberticides, telle que l'article 9, devient totalement sans objet maintenant que les programmes de Yescard sont tombés dans le domaine public.
Tous les détails de l'histoire dans notre éditorial
Sur ce site, nous avons beaucoup ironisé de la sécurité des cartes bancaires à puce,
cependant, le jour est venu de faire un mea culpa car nous avons fait une petite erreur
par ignorance.
En effet, nous avions surestimé la sécurité des cartes bancaires à puce et cela est totalement irresponsable et inacceptable
de faire croire qu'un moyen de paiement est plus sûr qu'il n'est.
En effet, nous disions que les terminaux de paiement vérifiaient la valeur d'authentification pour vérifier l'authenticité de la carte bancaire.
En fait pas toujours, parfois la valeur d'authentification n'est pas vérifiée, il n'y a aucun contrôle, aucun verrou ni sécurité !
Par exmple, pour les décodeurs de la 4ème chaine de télévision par satellite, le décodeur ne lit pas la valeur d'authentification,
c'est ce qui apparait d'après la trace des échanges entre le décodeur et une Yescard d'une transaction réussie opérée par un Hacker (nom du porteur "Jean Bonheur").
La seule vérification que fait le décodeur est de demander le code secret mais le propre de la Yescard est d'accepter n'importe quel code secret à 4 chiffres,
le code secret n'est nullement une protection pour la puce.
Il existe donc une nouvelle vulnérabilité par émulation comportement carte bancaire sans vérification valeur d'authentification
Veuillez accepter nos excuses !
L'autre faille concerne les automates de pompes à essence automatique : il semble que quel que soit la quantité d'essence délivrée, le montant de la transaction
inscrit sur la puce bancaire (le seul qui devrait faire foi en cas de litige) est toujours de 200 francs !
Cela ouvre la voie à des Contestations du montant supérieur à 200 francs débité
Dans notre page sur l'exploration des cartes bancaires, nous détaillons les différentes zones de la mémoire des cartes bancaires mais le décodage de ces informations peut paraître fastidieux manuellement
Cependant, certaines personnes ont développé des logiciels permettant d'automatiser le décodage et la présentation des informations.
Ainsi un docteur en informatique a développé un
logiciel en Perl sous Unix qui dumpe les informations d'une carte bancaire
(ce logiciel requiert un lecteur Gemplus, non testé par Parodie.com).
De leur côté, d'autres personnes ont développé un script spécial carte bancaire fonctionnant avec le logiciel WinExplorer (non testé par Parodie.com non plus).
Voir aussi :
Cartographie carte Bull CP8
Editorial du 10/06/2001 : le logiciel geZeroLee explorateur de carte bancaire et autre
Dans notre page sur l'exploration des cartes bancaires, nous disons comme explorer une carte bancaire à l'aide d'un lecteur Cybermouse sur port série.
Sachez que l'exploration est également possible avec un lecteur Cybermouse branché sur port USB
mais il faut pour cela installer les drivers ACR Installer du site d'ACS et non ceux de Zeitcontrol
et utiliser un programme d'exploration Scard.exe (qui ne fonctionne pas sous Windows 2000 mais fonctionne sous Windows 98) ou le logiciel PCSC.exe fourni avec les pilotes ACR (et non le logiciel CardEasy qui ne fonctionne pas avec un lecteur PC/SC).
A noter qu'il va de soi que cela ne permet pas du tout de fabriquer une Yescard mais juste l'exploration d'une carte bancaire.