LCI le 20/07/2001 Essai réussi d'une Yescard sur un automate distributeur de tickets de métro
Les 4 octets du numéro de série inscrit sur la carte bancaire à partir de l'adresse 09 EC comportent 11 bits de numéro de série et 5 bits de code
de redondance cyclique.
De même les séries de 4 octets dans la zone d'adressage à partir de 09 C8 ont un code de redondance cyclique (Voir notre explorateur nous nous intéressions aux 11 premiers bits de ces valeurs).
Les terminaux de paiement vérifient ces codes de redondance cycliques.
Plus gênant pour les Yescarders, les 11 premiers bits du numéro de série se retrouvent dans le motif redondant de 160 bits
[le nombre obtenu quand on élève la valeur d'authentification 320 bits à la puissance 3 modulo la clé publique] (voir ici).
Pour faire une Yescard valide, il faut donc que la redondance de 160 bits de la valeur d'authentification soit cohérente avec le numéro de série
et que le code de redondance du numéro de série soit cohérent.
En effet, il ne suffit pas de recopier des informations existants sur des cartes réelles :
les numéros de série utilisés pour des Yescard sont mis en opposition et ensuite, il faut en utiliser d'autres !
Bien entendu, un logiciel est disponible sur Internet (fait par Geoli) pour générer automatiquement des codes de redondance cyclique cohérents.
Les yescard qui intègrent cela fonctionnent donc sur toutes les versions des terminaux de paiement lorsqu'il n'y a pas de demande d'autorisation.
Petit jeu pour passer l'été si vous vous ennuyez.
Trouver P et Q, 2 nombres entiers premiers tels que
cle_pub_768 = P * Q = 1550880802783769298423921500751307878471020215206 71110279311199011387539455345999975760530467173585609 15975553897974089381733440436747047809863900699066790 96728933081405044935969514508676239942493440750589270 015739962374529363251827
Par exemple, voici un détail d'un essai de vérification de la VA768 sur une carte ayant pour expiration avril 2003 (Les X visent à masquer le numéro de carte réel) :
Prestataire 16 (lecture h74 octets à partir de l'adresse 08 D8)
2E 16 70 3A 30 00 06 49 3F 06 FD 86 34 CC 0C B5 37 C4 79 5D 36 A2 69 8A 36 83 2D 08 3B 35 F4 CC 33 26 21 71 39 0F 9E 78 38 6C 74 89 3A E0 B1 16 32 7F 4B 16 3D CE 37 5F 30 BA 0E 4E 3B 38 41 34 33 33 D4 9E 34 08 9F 78 36 4D 21 98 34 E7 5C 88 3B 2D 18 BC 3C ED 6A 93 37 57 04 24 3E FC EB A1 3D 0C 22 D1 31 90 3D EA 34 24 7A CD 3X XX XX XX 3X XX XX XX
On enlève les 3 tous les 8 quartets :
on obtient 0 00 06 49 F 06 FD 86 4 CC 0C B5 7 C4 79 5D 6 A2 69 8A 6 83 2D 08 B 35 F4 CC 3 26 21 71 9 0F 9E 78 8 6C 74 89 A E0 B1 16 2 7F 4B 16 D CE 37 5F 0 BA 0E 4E B 38 41 34 3 33 D4 9E 4 08 9F 78 6 4D 21 98 4 E7 5C 88 B 2D 18 BC C ED 6A 93 7 57 04 24 E FC EB A1 D 0C 22 D1 1 90 3D EA 4 24 7A CD X XX XX XX X XX XX XX
soit 0000649F06FD864CC0CB57C4795D6A2698A6832D08B35F4CC326217190F9E7886C7489AE0B1 1627F4B16DCE375F0BA0E4EB384134333D49E4089F7864D21984 E75C88B2D18BCCED6A937570424EFCEBA1D0C22D11903DEA4 247ACDXXXXXXXXXXXXXX
Maintenant sous Maple : >VA_allongee768:=convert(`0000649F06FD864CC0CB57C4795D6A2698A6832D08B35F4CC326217190F9E7886C7489AE0B11627F4B16DCE375F0BA0E4EB384134333D49E4089F7864D21984E75C88B2D18BCCED6A937570424EFCEBA1D0C22D11903DEA4247ACDXXXXXXXXXXXXXX`, decimal, hex); >sign_allongee768:=VA_allongee768 &^ 3 mod cle_pub_768; >hex_sign_allongee768:=convert(sign_allongee, hex768, decimal); hex_sign_allongee112001 := 1FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF\ FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF\ FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF0084B2C6DB\ FF2E8C062E4F81F9B71456AE39XXXXXX >hex_Inv_sign_allongee768:=convert(2^753 -sign_allongee768, hex, decimal); hex_Inv_sign_allongee768 := FF7B4D392400D17XXXXXB07E0648EBA951C6AXXXXX On voit donc un motif de 41 octets commençant par FF puis 2 signatures SHA-1 de 20 octets chacune. Ensuite sous Maple : >ifactor(cle_pub_768, 'lenstra'); 2 jours après toujours rien, on peut toujours rêver, peut être qu'au bout de 1000 ans sans éteindre l'ordinateur. Cette instruction a pour objet de faire la factorisation de la clé publique, Maple est très lent pour factoriser de grands nombres entiers même avec la méthode Lenstra (Courbes elliptiques)
Ce procédé de signature ne permet pas non plus, à première vue, de faire des signatures forgées sans connaître la clé privée (même si des collisions sont trouvées sur l'algorithme de hachage SHA-1 utilisé)
Le cassage de la clé 768 bits reste envisageable, à condition de disposer de beaucoup de ressources de calcul et d'avoir de l'imagniation : ce serait le record du monde de factorisation.
Pour les néophytes qui n'auraient rien compris, ne soyez pas rassurés :
la voie du clônage de carte bancaire (y compris celles émises depuis novembre 1999)
reste beaucoup plus simple, possible par les fraudeurs dès aujourd'hui et le restera pendant de nombreuses années si les banques ne retirent pas les cartes actuellement en circulation.
Cette méthode a moins d'intérêt scientifique.
De plus, d'après des documents internes du cartel, l'attaque de la Yescard 320 bits
avec des numéro bidons fonctionnera au moins jusqu'au 1er mars 2002.
C'est LCI qui l'a fait en premier : la démonstration par l'image à la télévision de l'efficacité d'une Yescard pour effectuer une transaction réelle :
le pirate insère la carte à puce programmable blanche (ou dorée) dans le lecteur, il tape n'importe quel code à 4 chiffres et Hop ! La transaction est acceptée.
Le reportage montre deux essais réussis, l'un dans un automate de la RATP et l'autre dans une cabine téléphonique (toutes les cabines téléphoniques acceptent les cartes bancaires).
Cela fonctionne aussi bien entendu chez les les commerçants traditionnels mais comme la yescard n'est pas décorée,
cela peut attirer la méfiance du commerçant.
A noter que quelques heures avant, l'administrateur du Groupement Cartes Bancaires
niait encore que ces cartes puissent fonctionner pour des transactions réelles !
Le cartel des banques n'aurait rien remarqué alors que cela fait 2 mois qu'un gros groupe de Hackers fait ouvertement des recherches et des essais en environnement réel.
Bref non seulement il laisse de grosses failles béantes mais leur système de surveillance et de détection des fraudes est une grosse passoire
(ils n'hésitaient pas à raconter que l'utilisation de Yescard se détecterait immédiatement et que les numéros à 16 chiffres bidons utilisés mis en opposition dans les 24 heures).
Le cartel des banques est au pied du mur et ses mensonges sautent aux yeux, il doit répudier les cartes !
Ajouté le 25/07/2001 : Infos pour télécharger l'enregistrement du reportage (19 Mo en DIVX)
28/07/2001 : Pour ceux qui ont des difficultés pour le téléchargement, il est aussi possible de télécharger la video par morceaux.
Certains pensaient que les banques étaient des forteresses inviolables et pourtant, un à un, ce sont tous les verrous qui sautent successivement !
Le bureau de l'administrateur du Groupement Cartes Bancaires, situé en haut d'un immeuble de verre
a été visité de fond en combles début juin 2001 par un ou plusieurs cambrioleurs qui courrent toujours.
Tout a été retourné dans le bureau et le coffre fort situé dans ce bureau a été fracturé !
Que contenait ce coffre, qu'a pris le ou les cambrioleur(s), que cherchai(en)t il(s) ?
Nul ne le sait, selon l'administrateur du groupement, rien n'aurait disparu ! De toutes façons, la principale clé des cartes bancaires se trouve sur Internet
On ne peut donc que s'interroger sur les conséquences de cet acte. Si le(s) cambrioleur(s) avai(en)t voulu du cash,
il(s) aurai(en)t mieux fait de s'attaquer à un autre coffre fort :
celui du Directeur Administratif et Financier situé à un autre étage, ce dernier coffre contient en effet un "fond spécial"
avec des centaines de milliers de francs en liquide
pour des opérations spéciales et confidentielles.
En conséquence de cette désagréable surprise, l'ambiance s'est encore dégradée
au Cartel des banques, les proches sont suspectés !
De plus l'étage de l'administrateur est désormais équipé d'un réseau de caméra videos (sûrement pour contrôler le Directoire)
et la surveillance se généralise.
En effet, depuis le rapport d'Olivier Foll, un barbouze qui a vainement
cherché une taupe, les photocopieurs avaient déjà été tous remplacés
et les imprimantes personnelles supprimées pour éviter la fuite de documents.
Plusieurs hautes institutions françaises, certains confrères et nous mêmes, avons reçu un étrange message électronique ou fax le 9 juin 2001.
Celui-ci prétendait émaner de Serge Humpich qui disait, que pour se venger il allait tout casser
et mettre à bas l'économie française.
Bien sûr, comme nous l'avons reçu, il ne nous a fallu que quelques minutes pour constater qu'il s'agissait d'une manipulation
et qu'il usurpait l'identité de Serge Humpich, nous avons prévenu ce dernier
qui a également trouvé cela amusant. Nous avons alors ignoré le message.
Voir une reproduction du message en cause dont l'auteur se fait passer pour Serge Humpich.
Quelques jours après, un confrère journaliste nous fait part qu'il a reçu le même message surprenant.
Nous avons alors porté plainte contre X le 18 juin 2001 auprès du Procureur de la République de Paris
pour "Usurpation d'identité dans des circonstances pouvant entraîner des poursuites pénales" (article 434-23 du code pénal)
Serge Humpich est ensuite convoqué par la police quelques semaines après comme témoin.
Puis un autre journaliste, Guillaume Dasquié, du "Monde du Renseignement",
nous indique qu'un fax reproduisant ce message a été envoyé le 9 juin à l'Elysée,
cela devient de la manipulation professionnelle !
Suite à cela, les autorités françaises (police, DST) ont enquêté discrètement, et ont établi, que le message était bidon.
Toutefois, ces autorités ont conclu que l'apparition effective et établie des Yescard
constitue une menace majeure pour le système bancaire du fait des possibilités d'industrialisation
de la fabrication de Yescard par des organisations criminelles.
A noter qu'actuellement, les Hackers qui étudient et fabriquent des Yescard le font plus pour des raisons techniques, académiques
ou par défi afin de mettre en évidence la faille et non à des fins lucratives ou criminelles.
La police a toujours tendance à voir le mal partout pour justifier des mesures répressives.
Si une telle attaque se développe, cela ne peut être
que par négligence des banques qui n'ont toujours pas répudié les cartes ni rien fait pour empêcher
l'exploitation du problème d'authentification des cartes bancaires.
Voir éditorial du 10/06/2001
This story is also available in English (#410 of Intelligence online)
Un polytechnicien, préparant une thèse en cryptographie à l'Ecole Normale Supérieure ("rue d'Ulm") dans l'équipe de Jacques Stern, se prétend cryptographe et entendant faire la leçon à Serge Humpich . Il a sorti un bien curieux rapport en février 2001 sur la sécurité des cartes bancaires.
Malheureusement pour lui, ce rapport est truffé de contre-vérités manifestes et montre un parti pris détestable. Une simple documentation de base aurait pourtant permis d'éviter d'écrire de telles inexactitudes comme nous allons le voir.
Ce rapport indique que la Signature S de la carte à puce est liée à l'identifiant I (composé du numéro de carte, date d'expiration et nom du porteur)
par la relation I^3=S modulo clé publique.
C'est inexact, depuis 1988, on sait que S^3 modulo la clé publique est égal à une redondance d'un identifiant.
Cet identifiant n'est pas composé du nom du porteur mais du numéro de carte à 16 chiffres, de la date de début de validité et de la date d'expiration de la carte
(voir la relation exacte dans cet exemple).
Passons sur ce point qui aurait mérité plus de précisions de la part d'un "cryptographe" qui prétend donner des leçons de rigueur.
Nous avons bien aimé le passage en annexe B où est "révélé" la clé publique 768 bits ornant
les cartes bancaires françaises depuis novembre 1999.
L'auteur de ce rapport confond la clé allongée VS des cartes
B0' de 768 bits et la clé publique 768 bits EMV de VISA :
en annexe ils donnent des clés inutilisées actuellement. Quand nous avons
exploré une carte bancaire, il y a au moins 6 mois, nous avons bien entendu
essayé de voir si cela correspondait à la clé publique EMV 768 bits présente sur le site Internet de VISA.
Mais non, cela n'a rien à voir : les cartes EMV utiliseront un procédé différent de celui des cartes B0' franco françaises.
Dans l'architecture EMV (s'inspirant des PKI), les clés secrètes EMV de Visa ne servent qu'à certifier des clés publiques
de banques émettrices de cartes bancaires. Les banques émettrices créeront ensuite (quand les cartes EMV seront émises)
des cartes bancaires personnalisées avec la clé privée de la banque.
Le terminal de paiement EMV (qui dispose de la clé publique VISA), vérifiera, s'il ne connait pas la banque émettrice de la carte (qui contient la clé publique de la banque et une signature personnalisée),
que la banque dispose bien d'un certificat RSA signé par VISA puis vérifiera que le certificat de la carte a bien été fait avec la clé privée de la banque émettrice.
Mais cela, c'est du futur car la norme EMV n'est pas actuellement utilisée en France.
Pour info, la dernière version des terminaux de paiement électronique (version 5) actuellement utilisés
peuvent stocker jusqu'à 8 clés publiques 768 bits pour les cartes B0'. Les concepteurs ont anticipé que ces clés puissent être cassées...
En attendant, nous ne connaissons pas la clé publique 768 bits du système B0' (les responsables du cartel vont jusqu'à cacher des clés "publiques", on ne voit pas pourquoi).
Dans un autre passage, ce rapport reproche à Serge Humpich ,le fait que les
Yescard qu'il a expérimenté avec succès en 1998 n'auraient pas fonctionner pas lors d'une demande d'autorisation (au
delà de 600 F) alors qu'il n'est nullement établi que cela ne fonctionnait pas !
Il n'a été décidé de mettre un contrôle de la véracité de la carte
que bien plus tard par les banques et ce n'est toujours pas complètement opérationnel.
En effet, la mesure d'authentification dynamique online de la
véracité de la puce bancaire par contrôle du "CAI" (certificat DES ou
triple DES selon les cartes et les banques) n'était pas encore au
point en mars 2000 selon les documents internes du GIE diffusés sur
notre site depuis cette date. Cela est confirmé par une lettre interne de la Banque de France
(voir aussi cette page, mais vaut mieux tout lire pour bien comprendre les détails techniques).
Il s'agit un des rares documents du GIE qui ne fait pas de langue de bois (il
est "interne") : on y apprend par exemple qu'il n'est prévu de révoquer la clé 320 bits complètement obsolète et exploitée par les attaques actuelles sur la Yescard
qu'en mars 2002.
Concernant la fraude à la White Plastic, on nous explique que
le fraudeur ne peut pas pirater plus de 2 ou 3 cartes sans être repéré à coup sûr.
Cependant, les fraudeurs semblent plus malins que l'autoproclamé expert en cryptocraphie auteur de cet éminent rapport.
puisqu'ils arrivent à copier des centaines des cartes impunément :
Pour contourner ce problème de traçabilité du fraudeur à la White Plastic ,
il suffit que le fraudeur enregistre par exemple les pistes magnétiques des cartes et codes pendant quelques semaines PUIS vident les DAB (mais pas simultanément)
PUIS disparaissent à l'étranger. Nul besoin d'avoir fait Polytechnique pour trouver cela.
Il est aussi reproché, sans rire, à Serge Humpich qu'il ne soit pas cryptographe,
mais qu'il serait excusé par son "ignorance" !
Il est consternant que dans ce microcosme, il semble plus important de casser théoriquement une clé longue
(ce qui est incompréhensible du commun des mortels et totalement inutile vu les répercussions en 1988
qu'a eu la révélation d'une faille,
heureusement que l'on était là pour ressortir les archives)
que de démontrer publiquement la faillabilité pratique d'un système mettant en jeu l'argent de millions de gens.
Mais ce "rapport" explique pourquoi tant de complaisance vis à vis des banques : craquer une carte bancaire "nuit à l'image du labo".
Et à son financement aussi ? Merci pour l'objectivité.
Après avoir lu tout cela, rien appris mais franchement bien ri, on ne peut que conclure que la cryptographie est un sujet trop sérieux
pour le laisser aux seuls cryptographes reconnus par le "milieu".
Ce qui est bien avec les banques, c'est que quand on leur dit qu'il y a des failles, elles répondent toujours qu'elles n'ont jamais existé, quand on le prouve, elles disent qu'elles
ont été colmatées, quand on prouve qu'il n'en est rien, elles racontent que ces failles ne subsisteront plus dans le futur.
Cependant comme les failles décrites en 1988 par des chercheurs
subistent toujours aujourd'hui et sont exploitées par les hackers.
Le colmatage décidé par les banques en mars 2000 (voir paragraphe 3 "actions sur les automates") ont été contournés en quelques jours par les Hackers.
Maintenant, que plus rien n'arrête la Yescard, les banques disent à qui veut l'entendre
qu'elles investissent 7 milliards de francs (on a des doutes sérieux quand même sur ce chiffre, ce sont les commerçants et fabricants qui font les investissements)
pour le développement d'EMV, des réseau bancaires, les systèmes d'autorisation, la cryptographie.
Et les banques disent que le système EMV est plus sûr. Mais en quoi ? Si le système EMV d'authentification des cartes bancaires
est différent du système actuel car conçu par les américains,
les cartes bancaires EMV utiliseront toujours de l'authentification statique offline
qui a un niveau très faible de sécurité.
En clair, il sera toujours possible de cloner une carte bancaire à puce à l'insu de son porteur ! Un amuse-gueulle pour Hackers !
Bref, avant que les banques et surtout, porteurs, fabricants et commerçants ne gaspillent de l'argent pour rien, faudrait réfléchir à quelque chose de plus sérieux...
Toujours aussi farceurs ces parlementaires, pour rassurer les consommateurs,
au lieu de préconiser l'amélioration de la sécurité des cartes bancaires,
ils sortent un rapport !
L'auteur de ce "rapport d'information", le député Jean-Pierre Brard,
continue de s'enfoncer dans le ridicule (Il n'hésitait pas à mentir sur la sécurité des cartes bancaires à puce)
De plus, il préconise le fichage électronique généralisé des citoyens (après avoir été l'instigateur de l'interconnexion des fichiers administratifs à des fins d'inquisition fiscale).
Le Groupement des cartes bancaires subventionne les jeunes talents.
Jérôme Blois et Joseph Herveau sont des musiciens très connus... par leur famille. Ils sont les auteurs d'un disque intitulé "Après l'orage"
Heureusement, les relations et l'amitié, cela aide à faire découvrir subitement
une âme mélomane aux dirigeants du Groupement des Cartes Bancaires.
Nous nous sommes ainsi procurés "ce disque réalisé grace au soutien du Groupement des Cartes Bancaires"
qui permet de faire de jolis cadeaux entre amis.
Comme ce n'est pas vraiment un tube cosmoplanétaire alors qu'est ce qui a réellement motivé cet aimable soutien ?
L'administrateur du cartel l'explique lui-même : "l'esprit d'équipe".
C'est sûr qu'au niveau copinage, ils sont très forts !
Par contre au niveau de la "volonté de vivre en harmonie avec les exigences de l'époque" on a des doutes (transparence, justice, concurrence ?).
Scoop : d'après nos informations, l'édition 2001 des récompenses du cartel des banques aux jeunes talents aurait les thèmes suivants :
1er prix pour la meilleure programmation de Yescard
2ème prix pour le duplicateur de puces le plus efficace
3ème prix pour la plus belle décoration de Yescard
Prix spécial du Randoux à celui qui cassera le premier la clé 768 bits !
Le prochain rassemblement de Hackers organisé par 2600 France a pour thème : la Yescard pour approfondir leurs connaissances sur la Yescard.
Les banques sont remarquables, elles ont réussi, en formant un gros cartel, à imposer aux commerçants une stratégie "gagnant-gagnant-gagnant" pour les banques :
Les commerçants PAYENT et INVESTISSENT pour s'équiper en terminaux de paiement et les commerçants PAYENT les commissions, les porteurs de cartes PAYENT les cotisations, la fraude et des assurances inutiles,
les fabricants INVESTISSENT pour concevoir des terminaux de paiement et PAYENT les banques pour être agréées, les encarteurs PAYENT à leurs frais des études sur les masques de puce dans l'espoir de vendre la licence aux concurrents !
Quant aux banques, elles sont censées améliorer la sécurité des cartes bancaires, avec l'argent des commerçants puisque
la formule de rétrocessions des commissions entre les banques indique qu'une partie de cette commission
"correspond à la contribution apportée aux mesures collectives de sécurité et de lutte contre la fraude".
Les banques qu'ont elles fait ? Rien, la conception intiale de la carte à puce a été faite par France Télécom qui
a dû convaincre entre 1983 et 1988 les banques
(la carte France Télécom, ex Carte Pastel utilise le même protocole d'authentification ; par contre cela ne doit pas être la même clé publique de 321 bits) .
Donc pendant de nombreuses années, les commerçants ont payé des commissions censées payer l'amélioration de la sécurité
et les banques s'en sont servi uniquement pour s'enrichir et n'ont rien fait pour la sécurité des cartes bancaires à puce.
Plus grave, les banques imposent maintenant le renouvellement des terminaux de paiement (car bien entendu, les banques ont conçu des systèmes propriétaires non évolutifs) et ce nouvel investissement se fait aux frais des commerçants !
Bien entendu, dans le cas de la vente à distance, alors qu'il n'y a pas de garantie de paiement par les banques (l'une des justification de la CIP), les commissions payées par les commerçants devraient être plus faibles mais elles sont plus grosses : les commerçants à distance payent même des commissions (parfois doubles) aux banques sur les opérations frauduleuses : du recel de fraude !
Quelles mesures de sécurité a pris le cartel des banques concernant l'apparition inéluctable de Yescards et prévue depuis 1988 ?
Cela se résume à des voeux pieux :
cela ne "dispense pas porteurs et commerçants de rester vigilants à l'égard des fraudeurs".
On croit rêver ! Toujours le culot de reporter la responsabilité de ses propres fautes sur les autres !
Tout le monde paye les banques, mais les banques ne font rien, se contentent de dire, "c'est pas grave, circluez ya rien à voir".
Des voix s'élève contre le masque de carte à puce hybride B0'/EMV censé équipé les cartes bancaires à puce franco-françaises
de façon transitoire jusqu'à fin 2003.En effet, les investissements pour une période si courte ne sont guère rentables. On peut s'étonner également d'une période transitoire si longue alors qu'il y a plutôt urgence à abandonner dès maintenant la carte B0' complètement obsolète.
Enfin, curieusement, les portes monnaie électroniques Moneo (fusionné avec Modeus) ne seront pas compatibles avec la norme EMV. Pour tester les standards EMV et CEPS, le cartel des banques a écarté Moneo et préfé le porte-monnaie électronique espagnol de Sermepa.
Bien entendu, la "Blue Card" du concurrent American Express, censée être à la norme EMV ne sera pas compatibles avec les terminaux de paiement version 5.2 censés acceptés la "norme" EMV.
De notre côté, on ne voit pas trop ce qu'apporte EMV en matière de sécurité, il y a aura toujours de l'authentification statique offline, qui est totalement obsolète et spécialement adapté au clonage !
Enfin, il parait que EMV est une "norme", en tout cas, c'est si ouvert que ce n'est compatible avec rien !
Sale ambiance en ce moment chez Gemplus,encarteur de cartes à puce : 430 suppressions d'emplois, prévues à l'étranger.
On reprochait également aux dirigeants une rémunération excessive, de grosses attributions de stock-options et des prêts dissimulés.
Une guerre larvée des syndicats contre la Direction a été déclarée et en plus, le PDG, Marc Lassus, c'est mis du côté des salariés en critiquant les suprressions de personnel, les attributions excessives de stock-options aux dirigeants, la stratégie et réclame un audit !
Plus surprenant encore, le PDG se fait Harakiri en déclarant renonçant à ses stock-options pour montrer l'exemple.
L'action Gemplus fait grise mine, son cours a fortement baissé depuis son introduction en Bourse.
De plus, Gemplus, qui s'est vu attribuer le marché du masque EMV des cartes à puce française, risque de se trouver avec un cadeau empoisonné car les concurrents (Oberthur)
ne souhaitent pas leur acheter la licence et préfère développer leurs propres masques.
L'attribution du marché de la conception du masque de la puce hybride transitoire B0'/EMV à Gemplus par le Cartel des banques
s'était fait dans des conditions opaques.
Cela avait surpris Bull CP8, racheté depuis par Schlumberger,
en effet, Bull CP8 était l'auteur du masque initial B0'
et les concurrents, mauvais joueurs, ont soupçonné Gemplus d'avoir été favorisé
et avait vivement protesté
Espérons que les dirigeants du cartel des banques n'en avait pas profité pour grossir leur portefeuille boursier en actions Gemplus, car sinon ils regretteront la baisse des cours !
Depuis juillet 2000, 10 000 mots de passe et login de la Banque Directe ont été accessibles publiquement.
Depuis, les mots de passe n'ont pas changé, du coup, le site Kitetoa se décide de révéler le nom du site concerné : Banque Directe, la
banque en ligne de BNP-Paribas !
L'article 226-17 du code pénal prévoit 5 ans de prison pour les responsables de Banque Directe, même si la cause semble provenir d'ATOS.
