Petit rappel historique des négociations entre assureurs et banquiers :
Alors que le contrat d'assurances risques exceptionnels du
cartel des banques arrivaient à expiration fin mars 2000, les assureurs n'avaient prorogés le contrat que pendant 45 jours.
Pendant ce temps, le GIE avait dû trouver un autre pool d'assureurs et la négociation du nouveau contrat s'était
mal déroulée, car le GIE peinait à montrer qu'il se comportait en bon père de famille,
il critiquait les assureurs de profiter des remous médiatiques pour augmenter les primes
alors que, selon les banques, la menace de Yescard n'était que du vent.
En mai 2000, un nouveau contrat d'assurance risques exceptionnels était souscrit par le cartel des banques,
mais la couverture des risques avait été réduite, les primes d'assurances augmentaient de 25 % et la franchise passait de 100 MF par an à 200 MF par an.
Dans ces conditions, les banques ont dû verser pas loin de 100 millions de francs de cotisations d'assurances depuis la souscription de ce contrat en mai 2000.
Suite à une réunion du Comité management des risques du cartel des banques la semaine dernière,
les banques ont bien l'intention d'être dédommagées des fraudes à la Yescard et
ont donc déclaré un sinistre aux assureurs.
Il est vrai que la fraude à la Yescard monte en puissance et le montant constaté correspondant approcherait
1 million de francs par jour actuellement. Le montant total de la fraude à la carte bancaire estimé à la charge des banques pour toute l'année 2001
serait ainsi estimé à 500 millions de francs.
Bien entendu, suite à cette déclaration de sinistre, le contrat d'assurance serait résilié et les banques se retrouveraient prochaînement sans assurance (à noter que la 2ème ligne d'assurance au delà de 600 MF de sinistre arriverait à expiration vers avril 2002).
Voir aussi news du 04/04/2001 : pb de renouvellement des assurances
Schéma couverture assurance (en mars 2000)
Un responsable du cartel des banques déclarait ainsi que cela est rapporté dans un article de la dépêche du midi qu'il espérait une chute de la fraude aux yescards à la fin de ce mois, du fait que la plupart des cartes bancaires émises depuis novembre 1999 comportent "une clé allongée" de 768 bits.
Nous allons étudier si cette estimation de la chute de la fraude aux Yescards est probable ou pas.
D'abord, il faut remarquer que les prévisions publiques du cartel se sont toujours révélées erronées.
Ensuite, les responsables du cartel remarquent eux-mêmes que les attaques à la Yescard "se démocratisent" et on peut noter que
le "kit" de fabrication de Yescard mentionné dans cet article est toujours actuellement diffusé publiquement sur Internet.
Le premier problème technique est que les cartes émises depuis novembre 1999 comportent aussi une valeur d'authentification de 320 bits qui a été cassée.
Il faudrait donc, au moins pour que la fraude à la Yescard se termine que les terminaux de paiement ne lisent pas la valeur d'authentification de 320 bits.
Le deuxième problème technique, les cartes émises depuis novembre 1999 restent clonables sans avoir besoin du code secret à 4 chiffres.
L'opération de clonage du carte bancaire à puce peut être rapide mais elle requiert de disposer d'une vraie carte source (notamment suite à une perte, un vol, subtilisation momentanée, ou interception des échanges),
ce qui limite dans une certaine mesure la fraude vu que ce type de fraude requiert l'association d'une criminalité traditionnelle à des compétences en informatique et est plus risquée.
En effet, la plupart des Yescard actuellement en circulation peuvent être fabriquées sans avoir besoin de modèle.
Ce qui est vraiment déterminant pour réduire les attaques à la Yescard c'est donc de savoir
si les banques ont répudié la clé de 320 bits afin que les terminaux de paiement n'en tiennent plus compte,
la proportion de vraies cartes comportant la seule VA 320 bits importe peu.
A ce niveau là, les responsables du GIE n'ont nullement annoncé la répudiation d'une telle clé (pourtant nous l'avons réclamé à de multiples reprises),
les banques continuent donc leur attitude passive, comptant sur le renouvellement naturel des cartes et des terminaux de paiement.
Elles refusent de payer pour accélerer la migration, encore moins de voir une baisse du nombre de transactions (et donc des commissions).
Vu le silence des banques à ce sujet, on peut penser que la date du 1er mars 2002 tient toujours
prise par le comité de direction du cartel des banques du 03/03/2000.
A compter du 1er mars 2002, un droit à impayer serait instaurer par les banques dans le cas de fraudes
à la Yescard utilisant une Valeur d'authentification forgée de 320 bits.
Cela ne signifie donc pas que tous les terminaux de paiement n'accepteront plus la clé courte à cette date.
D'ailleurs, les banques notaient ainsi le 16 octobre 2001 sur leur site web : "Paiement par carte bancaire à J-80 de l'euro Les commerces de proximité s'équipent lentement".
La meilleure preuve se trouve sur les facturettes : cela devrait faire au moins un an que
le numéro à 16 chiffres complet aurait dû être éradiqué selon les banques, si le terminal de paiement affiche toujours le numéro au complet,
on peut douter qu'il ait le dernier patch sécuritaire.
Cependant, outre l'intérêt discutable d'une telle mesure.
Il suffit toujours de se baisser pour trouver par terre et par hasard des facturettes avec de tels numéros.
Par exemple sur une facturette émise le 27/10/2001 par une crêrie des Hauts de Seine, il y a le numéro à 16 chiffres complet et la date d'expiration
(on en fait la collection, il y en a même avec le nom du porteur,
cela fait au moins quelques facturettes de moins qui ne tomberont pas dans les mains des petits escrocs).
Tout cela nous amène à avoir des doutes sur une baisse sensible à court terme des
exploitations lucratives de Yescards.
Mais encore une fois : ne piratez pas, ne fraudez pas, c'est risqué, c'est compliqué, cela requiert du matériel informatique coûteux,
cela ne rapporte pas beaucoup
et la répression policière est sans pitié, certains se sont déjà fait pincer.
Un informaticien pillant les distributeurs de cassettes video, de DVD et même de pizzas a été arrêté selon la dépêche du midi.
Il utilisait une Yescard et aurait fait chaque soir la tournée des distributeurs de la ville,
il a été arrêté par le patron du magasin de loacation de video qui faisait la planque !
A noter que nous indiquions il y a quelques semaines qu'il y avait de tels
agissements à Toulouse.
Mais l'utilisation lucrative de Yescard s'étend toujours un peu partout en France et touche notamment les loueurs de cassettes video et de DVD.
Surtout que ces derniers ne sont nullement remboursés par les banques de la perte des cassettes détournées.
On trouve de depuis peu de nouveaux sources de programme de Yescard, certains dits "opérationnels sur certains terminaux".
Les recherches et les études sur la Yescard semblent avoir laissé la main aux applications pratiques plus ou moins discutables.
Ainsi, un nouveau logiciel, nommé "Lhulu" permet de personnaliser rapidement des Yescards pour les rendre utilisables.
Ce logiciel est actuellement diffusé publiquement et gratuitement sur Internet mais nous ne dirons pas où.
L'accueil de ce logiciel est le suivant :
Il est vrai que les programmes de Yescard qui circulent sur le Net depuis plusieurs mois fonctionnent toujours
mais les banques n'ont toujours pas mis en place de contremesures.
Tout cela est consternant, il faut tout de même rappelé que cette faiblesse des cartes bancaires avait été mise en évidence dès
1988.
Le cartel des banques lui même, prévoyait l'arrivée de Yescard (risque classé très probable et gravité classée très dangereuse)
Voici la copie de l'écran principal de ce logiciel :
Bien entendu, nous déconseillons d'utiliser ce logiciel, surtout à des fins lucratives,
(nous ne l'avons pas essayé complètement nous même, nous n'avons pas le matériel correspondant,
inutile aussi de nous demander des conseils ou de l'assistance).
RSB, c'est l'acronyme du futur "Réseau de Services aux Banques", d'après le planning initial, le développement de ce projet initiée en janvier 2000 aurait dû terminer en septembre 2001 soit le mois dernier, pour commencer une phase de recette de plusieurs mois.
Comme les banques insistaient sur la précision du planning, on n'a pas de raison de penser qu'il y ait dérapage.
Le coût planifié des infrastructures informatiques de ce projet était lui totalement exorbitant : 94 995 090 francs
(sans les options, ni les coûts de fonctionnement, ni les frais immobiliers mais ne comprend que les frais de matériels, logiciels,
liaisons réseaux, progiciels spécifiques), espérons que lui non plus ne dérape pas !
Le RSB devait apporter des performances améliorées, on verra, mais aux dernières nouvelles, les interfaces cryptographiques étaient lentes.
Officiellement ce réseau, composé de 3 sites de services interchangeables (chacun des sites ayant 2 ordinateurs IBM S80 sous AIX, base de données Oracle et un middleware Oasis), servirait à accueillir plus de demandes d'autorisation de paiement ou retrait par carte bancaire et de nouveaux services bancaires (va t'il être ouvert à la concurrence ? Les rechargements de porte-monnaie électroniques à l'aide de ce réseau n"est il pas de l'abus de position dominante)
Voir aussi Les avatars du futur réseau de services bancaires
01Net architecte du futur réseau cartes bancaires
Depuis la mi-septembre, les utilisations lucratives de Yescards se multiplient, de nombreux cas de Yescard ont nos informations
font état de cas dans toute la région parisienne, la Seine maritime, la Haute Garonne (notamment Toulouse).
Au Havre, le trafic de Yescard a donné lieu à une industrialisation depuis août 2001 et le GIE aurait porté plainte.
Ce sont notamment les automates entièrement robotisés qui en sont victimes, notamment les pompes à essence automatiques,
les distributeurs de cassettes video ou DVD en location, les automates distribuant des tickets de métro ou de train.
Un détenteur de Yescard se serait fait séquestré dans une cave afin de remettre sa carte à des criminels.
D'un autre côté, un manuel complet de fabrication de Yescard avec logiciel d'accompagnement circulent discrètement,
ce manuel s'adresse aux novices et détaille chaque étape de la fabrication de Yescard.
Pour les plus expérimentés, des fichiers sources de programmes de Yescard opérationnels ont été également diffusés publiquement sur Internet.
Par contre, la clé DES cassée, ne semble détenue que par quelques chercheurs.
Certains commerçants victimes sont totalement démunis face à ce fléau et envisagent de cesser leur activité.
Par exemple, la location d'une cassette video n'est facturée que 15 francs mais l'achat d'une cassette video avec droits locatifs
coûte 500 francs (les cassettes video vendues dans le commerce traditionnel pour un usage familial ne peuvent être mises en location).
Par exemple, en 3 semaines, un loueur de cassettes video en Région Parisienne a perdu 15 cassettes
ce qui représente un coût de 100 % des revenus du distributeur, ce qui justifie le passage en Defcon 4.
Il est totalement scandaleux que les banques n'assument pas leur responsabilité et n'indemnisent pas de telles victimes.
Les commerçants doivent prendre également à leur charge les frais de mise à jour de leur terminaux
dont l'efficacité dans la lutte contre la Yescard n'est pas établie.
On peut ainsi toujours lire dans un communiqué cynique
du Cartel des Banques, que
"Les commerçants et les porteurs sont entièrement couverts par rapport à ces agissements [le piratage de carte à puce]" et qu'il n'y a donc
aucun "risque financier"
Comme la plupart des Yescards utilisées sont blanches ou dorées, elles ne contrefont pas les logos et hologrammes présents sur les cartes bancaires, les utilisateurs occasionnels de Yescards préfèrent donc agir discrètement, notamment la nuit.
La répression policière se met en oeuvre, mais cependant, celle-ci ne semble pas toujours pertinente car au lieu de s'attaquer à ceux qui en font une exploitation lucrative, elle s'en prend à des chercheurs qui ont eu une démarche éducative et préventive afin de démontrer l'existence de failles et de pousser les banques à changer leur système obsolète.
De leur côté que font les banques ?
Rien !
Elles considèrent que le prix de la fraude est plus faible que le prix de l'amélioration de la sécurité :
normal, c'est pas elles qui payent et s'enrichissent grâce à la fraude.
Elles comptent sur la migration une nouvelle forme de puces, dites "EMV", pour pallier à cette vulnérabilité.
Cependant, ce n'est qu'à partir de juillet 2004 que le clonage de cartes B0' possible avec les yescards actuelles sera éradiqué.
Bien entendu, d'ici là les hackers se seront attaqués à la puce EMV, car contrairement à ce que prétendent les banques,
les cartes bancaires EMV d'ores et déjà sont également aisément clonables.
Conclusion, cela fait plusieurs années que nous dénonçons ce scandale des cartes bancaires, les banques n'ont strictement rien fait et s'engagent obstinément dans la politique du pire.
Alors que la CIA a déclaré qu'elle n'avait pas détectée les menaces terroristes parce que les terroristes islamistes n'utilisaient pas les nouvelles technologies, le gouvernement veut en rajouter une louche en matière de mesures liberticides.
Cette loi contient déjà suffisamment de mesures répressives et liberticide
(interdiction de diffusion des failles de sécurité des cartes bancaires :
les victimes devront payer et les experts techniques priés d'aller voir ailleurs,
des commissions administratives sans compétence technique noyautée par des politiques étoufferont
les débats.
Rappelons que "démocratie" signifie la participation du citoyen à la vie et aux débats de la société.
Va t'on revenir plus de 2500 ans en arrière avant même les grecs ?
Si le gouvernement voulait vraiment améliorer la sécurité des cartes bancaires avec une loi, c'est très simple,
il suffit d'interdire (par exemple sous peine de prison) l'émission ou l'acception de moyen de paiement
comportant des failles de sécurité.
Au lieu de cela, il ment sur la sécurité de la carte bancaire
et il en fait de la pub à la télé (au frais du contribuable) sous prétexte de passage à l'euro.
Par exemple, les socialistes veulent mettre au menu la fouille des véhicules par la police
alors qu'une telle disposition
avait été jugée anticonstitutionnelle... suite à un recours des socialistes !
D'ailleurs cela sert à quoi de telles mesures ?
Les terroristes dans les avions américains n'avaient que des couteaux (c'est pas interdit d'en avoir dans son coffre) et
ils ont réussi à passer à travers les contrôles au rayons X des aéroports.
Autre projet en vue : la surveillance électronique avec la conservation pendant un an des données de connexion par les fournisseurs d'accès.
Voilà donc Big Brother Jospin dans toute sa splendeur, il s'agit d'une mesure attentatoire aux libertés fondamentales par excellence.
C'est bien connu, cela ne gène personne et tout le monde surferait sur Internet depuis le commissariat de police !
Le même jour où Big Brother Jospin parle de surveillance électronique, on apprend un
très grand arrêt de principe de la cour de cassation interdisant la cybersuveillance au travail.
(Voir aussi l'excellent mémoire de l'avocat général dans cette affaire)
A quoi tout cela rime ? Les fournisseurs d'accès et
les grandes entreprises qui ne passent pas par un fournisseur d'accès à Internet
devraient enregistrer des données pendant un an pour le compte de l'Etat et bien entendu, il leur est fort heureusement
totalement interdit de les exploiter !
C'est nous qui paieront encore à coup sûr. Pour une efficacité qui sera sûrement limitée
(on sait par exemple que les caméras de surveillance généralisées à Levallois-Perret n'ont permis d'élucider qu'une affaire en 10 ans).
Le double language est une double nature chez Big Brother Jospin.
Il parle ici de libéralisation
de la cryptographie, et dans le projet de loi dit LSI par exemple de
"Est puni de trois ans d’emprisonnement et de 300 000 F d’amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour la préparation, la facilitation ou la commission d’un crime ou d’un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités."
Il parle de présomption d'innocence là dans une loi dite sur la présomption d'innocence
et présomption de culpabilité dans la loi LSI : on doit révéler le contenu de ses messages chiffrés, sinon en prison !
Totalement illisible et pourquoi faire ? Alimenter en information les réseaux francs-maçons ? (On plaisante bien sûr).
Dans le même discours démagogique, Big Brother Jospin, n'hésite pas à relayer de fausses informations comme quoi les réseaux Ben Laden utiliserait la cryptographie et la stéganographie (Informations venant d'un journaliste ayant admis publiquement que ses scoops venaient de Dieu).
Bref, la conjonction démagogique est actuellement au plus fort, crainte supposée d'attentat et approche des élections présidentielles.
Ce que l'on craint surtout et de plus en plus, c'est l'insécurité juridique : fasse à l'omnipotence des banques et le gouvernement inquisiteur prêt à bafouer les libertés fondamentales pour mieux contrôler les citoyens et l'asservir, cela fait peur.
Comme le dit Thomas Jefferson, "quand les gouvernements ont peur du peuple, c'est la démocratie, quand le peuple a peur du gouvernement, c'est la tyrannie."
Les terroristes auraient gagné en nous forçant à renier nos libertés.
Qui peut croire un seul instant que de telles mesures serviraient pour lutter contre "le terrorisme" ?
Paradoxalement, ce sont des mesures politiques injustes qui souvent attisent les haines et les rancoeurs.
Depuis, les grecs, on sait que l'on ne répond pas à la violence par la violence ou la revanche
mais par la justice impartiale.
Face à cela, il faut résister, payez cash,
utilisez PGP pour chiffrer tous vos messages (clé perso ici)
Voir aussi http://www.lsijolie.net/
