Rappelons que les cartes bancaires EMV sont prévues pour être utilisées en France à partir de 2004.
Il s'agit de spécifications bancaires internationales, qui ne sont pas plus sûres que les
cartes bancaires françaises actuelles mais simplement différentes.
Dans un article d'une page dans la revue "Electronique International Hebdo", un dirigeant de société de
conseil en monétique dit que les cartes bancaires à puces EMV seront clonables.
Il dit que cela est dû au fait que la méthode d'authentification statique sera utilisé
par ces cartes normalement, alors que seul une méthode d'authentification dynamique (utilisable en option et de temps en temps) éviterait des
clonages de la puce.
C'est exactement ce que nous disions il y a plus d'un an dans un article du 07/06/2000 !
Cette personne se plaint aussi de l'inconscience des banques
et de la décrédébilisation faite par les banques à l'industrie de la carte à puce
du fait de l'utilisation de technologies obsolètes.
Encore une fois, nous rappelons également que l'adoption du standard EMV ne changera rien du tout,
les cartes bancaires ne sont pas plus sûres, la fraude et les victimes subsisteront.
Qu'ont fait les banques françaises depuis notre avertissement ? Rien.
Elles auraient
très bien pu augmenter le niveau de sécurité en forçant systématiquement l'authentification
dynamique en France,
ce qui engendre un coût supplémentaire dérisoire mais elles ne le font pas :
la plupart des banques rechignent à équiper les cartes à puce EMV de cryptoprocesseur RSA
car le cartel des banques a juste "recommandé" son utilisation comme on peut le voir dans ce
document.
Les banques persistent donc à utiliser les puces comme des gadgets marketing.
Article lié :
Polémique sur le masque mixte B0' /EMV
Les Yescard (simulacres de carte bancaire reconnus par les terminaux de paiement comme émanent de l'autorité bancaire) fonctionnent toujours et les banques n'ont mis en place aucune contremesure.
De plus, Comme nous l'indiquions il y a 2 semaines,
certains hackers peuvent les utiliser pour faire des achats SANS LIMITATION DE MONTANT et au dépens des porteurs de carte.
En effet,
la clé DES 56 bits ornant les cartes émises en 1999 a été cassée,
Cela constitue une petite prouesse.
Les Hackers ont en effet à leur disposition du matériel très puissant.
Une personne ayant dernièrement fait un retrait de 200 francs dans un distributeur de billets parisien s'est fait débiter 200 euros, soit 1311.91 francs
Bien entendu, il est absolument impossible qu'il y ait un bug dans le système infaillible
des cartes bancaires.
Il n'y a donc que 2 possibilités soit ce porteur de carte
a reçu des billets en euros, soit ce distributeur permet de retirer aussi des pièces jaunes.
Pendant quelques jours début septembre, des demandes d'autorisation plus fréquentes (seuil de demande d'autorisation abaissé ou appel systématique dans certains cas) ont eu lieu,
ce qui a augmenté la facture téléphonique des commerçant et était censé réduire la fraude à l'utilisation des yescards.
Cependant, cela a été l'occasion d'un nouveau défi pour les Hackers, et ils l'ont contourné : en
cassant la clé DES 56 bits utilisée par la puce pour calculer les certificats de paiement imprimés sur les facturettes.
Il semble que maintenant les demandes d'autorisation ne sont plus systématique, mais qu'un nouveau dispositif
visant à tromper les Yescard a été introduit : il s'agissait d'envoyer à la Yescard des informations invalides.
Une nouvelle fois, les mesurettes bancaires se sont révélées facilement contournables et inutiles.
Le bilan de tout cela est assez catastrophique : non seulement, il n'y a plus de seuil limite à l'utilisation de Yescard,
mais comme le clone parfait est obtenu, les banques ne peuvent plus déceler l'utilisation d'une Yescard par rapport à l'utilisation d'une vraie carte bancaire et
les porteurs de cartes se font débiter sans aucun recours possible.
Tout cela est un véritable scandale bancaire,
les banques doivent immédiatement retirer les cartes bancaires du marché et cesser de mentir en prétentant que les "Yescard ne réprésente aucun risque financier pour les porteurs et les commerçants".
La chaine de magasin américaine Walmart
(voir communiqué du 4/9) n'accepte plus les cartes Visa sur aucun de ses magasins.
Raison invoquée : trop cher, les tarifs ont augmenté de plus de 100 % avec un coût fixe de 0.45 $ par transaction.
Nous proposons maintenant calculateur de clé Iban (en plus d'un générateur de Siret, un vérificateur de format de numéro de carte bancaire, un vérificateur de clé de numéro de sécurité sociale et un calculateur de clé RIB !).
Hier, outre les dramatiques attentats à l'aide d'avions kamikazes à New York et à Washington,
c'est tout les Etats-Unis qui ont été frappés par un certain chaos.
En ce qui concerne les infrastructures de télécommunications, les communications téléphoniques (fixe et mobiles)
ont connu un engorgement important comme l'indique cette dépêche Reuters parlant de noeud de congestion.
Cela, non seulement dans les villes touchées mais aussi pour les communications longue distance et transatlantiques.
Cependant le réseau Internet n'a pas été affecté globalement, certains ont du avoir recours à l'Email.
C'est normal, le réseau Internet a été conçu pour résister à des attaques nucléaires,
la topologie globale du réseau Internet est en forme de toile d'araignée
et est fortement maillé [sauf certaines parties(*)]de sorte qu'il existe de nombreux chemins pour envoyer un message d'un point A à un point B.
Un obstacle insurmontable en un point peut donc être contourné et les points de congestion sont au maximum évité.
Par contre, le réseau carte bancaire a une topologie de grappe : les demandes d'autorisations interbancaires passent toutes par le même point (géré bien entendu comme d'habitude par le Cartel des banques).
Ce point central du réseau des cartes bancaires ou ses 13 noeuds de transit régionaux sont ainsi
particulièrement sensibles en terme d'impact en cas de catastrophes insurmontables : le réseau pourrait être paralysé pendant de longues semaines.
Ils pourraient ainsi constituer des cibles de choix pour
des attaques physiques ou logiques malveillantes.
De même, de simples défaillantes insurmontables peuvent avoir des incidences très importantes. Comme cela fut le cas le 24/12/2000 lors d'une panne générale du réseau Eurocard en Suisse.
Bien entendu, la refonte prévue du réseau des cartes bancaires en un "réseau de services bancaires" (dit RSB - projet qui a d'ailleurs subi quelques accrocs) ne semble pas prendre en compte ce type de problème : une architecture en grappe semble toujours de mise.
La seule façon de permettre une évolutivité à long terme, d'éviter les points de congestion et de résister à de telles attaques est de faire un fort maillage avec une topologie en forme de toile araignée.
A une moindre échelle, d'autres activités malveillantes peuvent être particulièrement perturbantes
(il suffit de 100 francs de colle néoprène pour neutraliser tous les distributeurs de billets d'un quartier).
Bien entendu, nous condamnons par avance toute sorte de dégradation, violences ou perturbation de système informatique.
(*) Certaines parties du réseau Internet ne sont pas très maillé, par exemple, les abonnés au câble à Paris,
utilisent de vieilles architectures prévues seulement pour la télévision.
Ce qui fait que la topologie du réseau parisien Noos est hiérachique et toutes les connexions
avec Internet passent par un noeud central.
De même, il est conseillé aux villes qui s'équipent d'un réseau d'utiliser une topologie en forme de toile d'araignée,
cela permet d'éviter les points de congestion, l'évolutivité,
des applications haut débit entre différents points de la ville
et d'être moins sensibles aux attaques sur les points sensibles.