27/12/2000 ZDNet : 3,7 millions de numéros de cartes bancaires piratés sur egghead.com
Un pirate s'est introduit dans la base de données du le site de commerce électronique egghead.com.
Qu'a t'il pris ? Mystère, les responsables ne sont même pas capable de le savoir.
Il est ainsi probable que le pirate s'est emparé de la base de 3,7 millions de numéros de cartes bancaires.
En tout cas, cette afftre montre bien l'obsolescence totale du système de paiement à l'aide des numéros de cartes bancaires.
18/12/2000 AP : Des faux policiers extorquent une carte bancaire et son code à une vieille dame
Encore un nouveau scénario éprouvé d'escroquerie à la carte bancaire.
Celui-ci est particulièrement tordu : un faux agent du service des eaux se rendent chez une vieille dame pour une soi-disante inspection des conduites d'eaux.
Il subtilise alors bijoux et une carte bancaire.
Une fois repartis, 2 faux policiers se présentent pour prévenir la vieille dame que de faux employés du service des eaux rodent et de vérifier que la dame a toujours
sa carte bancaire. La vieille donne alors son code secret.
Ne riez pas, ces escrocs ont opéré de la sorte à 58 reprises dans l'Hérault !
15/12/2000 : Combien rapporte la fraude à la White Plastic ?
Le cartel des banques avait reconnu 14 affaires de "White plastic" (contrefaçon de la piste magnétique et interception code tapé sur le terminal)
cette année.
Pourtant derrière chacune de ces affaires, c'est jusqu'à plusieurs centaines de cartes bancaires qui sont contrefaites.
Ces affaires se multipliant, il ne faut pas s'étonner que de plus en plus de
gens se plaignent de débits mystérieux alors qu'ils n'ont pas perdu leur carte et qu'ils n'ont pas été volés.
Les banques remboursent rarement dans ce genre d'affaires.
Donc voici une réponse sous forme humoristique : combien rapporte cette fraude
Comme on peut le voir, c'est petit investissement mais gros bénéfices !
Question subsidiaire : pourquoi les distributeurs de billets ne lisent pas tous la puce ?
13/12/2000 Le Parisien : Une banque condamnée à rembourser une cliente victime d'un retrait frauduleux
Une vieille dame avait vu son compte débité de 5000 Francs suite à des retraits effectués par un tiers alors qu'elle restait en possession de la carte.
Comme d'habitude dans ce genre de cas,
la banque prétendait que la cliente était responsable de l'utilisation car elle n'avait pas fait opposition.
La Société Générale avait ainsi refusé de rembourser cette cliente qui a donc dû saisir la justice.
De plus, le plafond de retrait quotidien avait été dépassé (ce plafond est très souvent dépassé par les fraudeurs), le tribunal s'est fondé sur ce dépassement pour justifier
un dysfonctionnement du distributeur de billets et ordonner le remboursement intégral de la victime.
La banque a cependant été condamné à payer la somme frauduleusement retirée et à payer des dommages et intérêts supplémentaires.
Moralité : "Société Générale : et si on remboursait ?"
Espérons que cette décision va faire école, tout comme l'arrêt de la Cour d'appel de Versailles du 21/12/1990 qui disait
"l'expérience a hélas révélé, qu'une carte bancaire peut être utilisée dans les billetteries sans connaissance par le fraudeur du code confidentiel".
Dépêche AFP
Dépêche Reuters
13/12/2000 MSNBC : numéros de cartes bancaires volés sur le site CreditCards.com
Ce site "CreditCards.com" se prétend très sécurisé et pourtant il a été piraté comme les autres.
Certains de ces 55000 numéros ont été utilisés pour certains achats frauduleux. Le pirate souhaite marchander son butin.
Et dire que certains prétendent encore que leurs systèmes de sécurité sur Internet sont infaillibles.
07/12/2000 Humpich : Désistement en appel confirmé
Comme nous vous l'annoncions, Serge Humpich s'est désisté de son appel en correctionnel,
la peine de 10 mois de prison avec sursis est donc confirmée.
Il sortira un livre prochainement.
06/12/2000 Gemplus : polémique sur la cagnotte de bienvenue de 735 millions de francs du nouveau directeur général
Alors que l'invention de Roland Moreno lui a rapporté 700 millions de francs en 25 ans,
voici que le directeur général de Gemplus recruté en juillet 2000 s'est vu octroyé en guise de cadeau de bienvenue
une abondante quantité de stock-options à prix bradés représentant une cagnotte de 735 millions de francs.
Gemplus doit être introduit en bourse le 8 décembre 2000.
La preuve que cette prime est méritée, c'est que ce Directeur Général a énormément bossé sur la stratégie puisque aucun Business Plan
ni prévisions n'ont été divulgués à l'occasion de cette introduction en Bourse.
Il a sûrement dû être distrait par le soleil marseillais et
il a dû s'inspirer sur le cartel des banques pour la transparence de la communication.
Le PDG s'était également lui-même octroyé la même cagnotte de stock options.
De telles pratiques jettent un trouble sur le résultat de cette introduction en Bourse,
surtout que l'action n'est pas exigible au PEA car de droit luxembourgeois.
Moralité : y aurait-il des actionnaires plus égaux que d'autres ? En tout cas, certains semblent avoir compris que l'objectif de la bourse n'était
pas de financer des projets mais de s'enrichir le plus possible sur le dos des autres en un minimum de temps.
A noter aussi que l'action Oberthur a perdu la moitié de sa valeur en 3 mois.
02/12/2000 E-commerce : les consommateurs en ligne de l'Union Européenne pourront saisir la juridiction de leur pays
Les ministres de la justice ont adopté le principe de la compétence des tribunaux du pays de résidence du consommateur dans le cas d'un litige avec
un site marchand établi dans un autre pays de l'Union Européenne.
Ce texte devrait entrer en vigueur en mars 2001.
Cependant d'autres problèmes ne sont pas résolus car les cybermarchands devront se plier à la réglementation des 15 pays,
sauf s'ils disent explicitement ne visent que certains pays
(s'ils en ont le droit car il y a aussi le principe de la libre circulation des marchandises)
02/12/2000 Projet de convention sur la cybercriminalité
La 24ème version du projet de convention internationale sur la cybercriminalité est parue.
Cette convention devrait être ratifiée par les pays
membres du conseil de l'Europe (comportant notamment les 15 pays de l'Union européenne) vers septembre 2001.
Ce projet traite de coopération internationale dans le cadre de procédures pénales ou criminelles de
constatation, élucidation et repérage des atteintes aux systèmes informatiques,
la diffusion d'images de pornographie infantile, la violation de droits d'auteur.
Ce projet prévoit notamment que les fournisseurs d'accès devront conserver les correspondances entre adresses IP et identité réelle
(pas le contenu ni le trafic du connecté).
Il prévoit aussi des possibilités d'interception ("écoutes") de trafic de client d'un fournisseur d'accès à Internet à des fins d'enquêtes
et de procédure pénale.
Cette version de la convention est donc plus respectueuse des libertés publiques que la version précédente,
suites à l'intervention de
diverses associations de défense des droits des internautes qui estiment qu'il "pourrait finir par ralentir la libre circulation de l'information et des idées"
et l'ont jugé "contraire aux normes bien établies de protection de l'individu".
Les fournisseurs d'accès ne devront donc pas stocker le trafic sauf en cas d'interception réclamée dans le cadre d'une procédure pénale.
Il est effectivement normal de respecter la vie privée des internautes (en vertu article 8 convention EDH),
le principe de libre circulation des idées et des informations (en vertu article 10 convention EDH) et le principe de neutralité du fournisseur d'accès vis à vis
du contenu des messages transmis (prévu par la loi de réglementation des télécoms et la directive européenne sur la libéralisation des télécoms).
Il reste quand même l'article 18.1.a qui est assez inquiétant, il faudrait préciser ce que recouvre "autorités compétentes" et dire
que seul un juge d'instruction national
peut communiquer la transmission de données venant du fournisseur d'accès.
Il faudrait aussi nuancer les atteintes à la propriété intellectuelle car le surfeur qui consulte une oeuvre piratée sur Internet commet
aussi une contrefaçon puisqu'il l'a copie au moins temporairement sur son ordinateur. S'il est légitime de poursuivre les diffuseurs d'oeuvres piratées,
des poursuites internationales contre les visiteurs semblent abusives.
Cette convention ne concerne pas les interceptions gouvernementales de correspondances privées (dites "interceptions de sécurité").
29/11/2000 Dernières nouvelles d'Alsace : 3 personnes interpellées à la frontière suisse avec un faux distributeur de carte bancaire
Les douaniers suisses ont découvert, en contrôlant une voiture,
un ingénieux système de faux clavier pour distributeur de billets, permettant de coincer des cartes bancaires et
d'intercepter le code secret.
Les 3 occupants ont été remis à la police française, mis en examen et placés en détention provisoire.
En effet, 2 cartes bancaires détournées ont été trouvées sur l'un d'eux, ce dernier avait été déjà mis en examen pour des faits similaires.
27/11/2000 : Humpich renonce à son appel
Serge Humpich renonce à son appel de son procès en correctionnelle
car il ne compte pas sur la Justice et garde sa conscience pour lui.
Il compte se défendre et rétablir la vérité en sortant un livre prochainement.
C'est tout de même dommage car il avait des raisons sérieuses d'être relaxé en appel et on était persuadé qu'il gagnerait.
24/11/2000 Tribunal Correctionnel de Grasse : Des failles du système des cartes bancaires mises en évidence
Dans cette affaire, plusieurs personnes ont été condamnées à de lourdes peines de prison pour escroquerie à la carte bancaire en bande organisée.
Un système de fraude avait été mis en place en s'appuyant sur une faille du système des terminaux de paiement :
l'absence de demande d'autorisation pour des montants inférieurs à 600 francs.
Des cartes étrangères volées étaient utilisées et échangées. Le butin s'est élevé à 110 000 francs.
23/11/2000 AFP : Explosion du taux de fraude à la carte bancaire
Comme cela avait été annoncé il y a quelques mois sur ce site, le taux de fraude à la carte bancaire prévu pour l'an 2000
va fortement progresser selon les chiffres fournis par le cartel des banques.
Ainsi la fraude à la carte bancaire lors des retraits sur les DAB a doublé par rapport à 1999, notamment à cause de plusieurs dizaines d'affaires de "White plastic" (contrefaçon de la piste magnétique et interception code tapé sur le terminal) pour
lequel le porteur a bien du mal à dégager sa responsabilité. Officiellement, seuls 50 % des DAB lisent actuellement la puce.
En Ile de France et au Nord de la France, on observe une forte contrefaçon de cartes de porteurs anglais.
La fraude à la recharge de téléphonie mobile est estimée à une centaine de millions de francs pour l'année 2000.
Le cartel des banques a reconnu des retards importants dans son programme inutile de masquage partiel du numéro à 16 chiffres des facturettes émises par les terminaux des commerçants.
Bien entendu, ces chiffres restent invérifiables et ne prennent en compte que la fraude à la charge des banques.
Face à ce bilan calamiteux, on garde des doutes sur les mesures prises et le respect des échéances.
22/11/2000 La Tribune : Pour le cartel des banques, le code pénal, c'est comme le coran, chacun l'interprète librement !
En effet, le cartel des banques a décidé de poursuivre pour contrefaçon les internautes qui
utilisent pour des achats en ligne des numéros de cartes bancaires de tiers.
Voilà donc une nouvelle imposture qui ne manquera pas de surprendre, si le code pénal prévoit une peine maximale
de 7 ans de prison pour contrefaçon de carte bancaire, cela ne concerne nullement les numéros de carte bancaire.
Nous suggérons plutôt à ce cartel de poursuivre leurs détracteurs pour offense au chef de l'Etat :
nul doute que cet article du code pénal s'applique puisque le cartel des banques est un Etat dans l'Etat.
Ses dirigeants ont donc tôt fait de s'introniser pape, rédigeant sa propre bible et sa loi,
prenant exemple sur le roi du cartel bananaire, qui est parvenu à mettre fin aux productions parallèles de bananes en
exécutant lui-même toute personne ne vénérant pas le trône ou remettant en cause le dogme de l'infaillibilité papale.
Les inscriptions sur les cartes bancaires sont donc sacrées, les facturettes sont élevées au rang d'oeuvre de l'esprit et les impies qui les reproduisent sur Internet méritent le bûcher !
Les banques invoquent un droit privatif absolu sur les numéros de carte bancaire.
Ont-elles breveté la "formule de la clé de Luhn" ou
l'"addition de 8" au numéro de carte antérieur comme le fait La Passoire ?
Non heureusement, ce ne sont pas des inventions brevetables.
Les banques n'ont pas non plus déposé comme marque l'ensemble des
numéros de cartes bancaires possibles car à 1300 F le dépôt d'un numéro, les banques seraient en faillite.
Les gens sont donc prévenus : toute personne trouvant une facturette (celles ci traînent partout) pourrait se voir accusé de l'avoir dérobé.
Une jurisprudence constante dénie tout droit privatif sur les numéros et les informations notamment les pronostics de tiercé,
de loto, les prévisions météo, les cours de bourse.
Ce n'est certes pas la première fois que ces farceurs lisent le code pénal comme d'autres lisent le marc de café.
C'est une imposture de plus : après avoir invoqué un droit privatif absolu sur des noms patronymiques de personnes physiques, sur
la lettre C, la lettre B, les passoires.
Elles ont aussi poursuivi Serge Humpich,
inventeur d'un simulacre de carte bancaire sous forme de carte blanche pour contrefaçon de carte de paiement, va t'on donc poursuivre
pour contrefaçon,
ceux qui payent avec des billets de Monopoly ?
Serge Humpich est également poursuivi pour introduction frauduleuse dans un système automatisé de traitement par
le cartel des banques alors que ce dernier
n'est ni le concepteur, ni le réalisateur des terminaux de paiements et n'est pas non
plus le propriétaire des automates de la RATP.
Plus grave, on peut s'étonner que le parquet prête son concours, avec l'argent du contribuable, à de tels délires
alors que c'est aux banques seules qu'incombent la faute de laisser subsister un système aussi obsolète.
22/11/2000 : Gemplus introduit en bourse le 6 décembre 2000
Le 6 décembre, c'est aussi et surtout la date du procès en appel de Serge Humpich
15/11/2000 : rétablissement de l'accès au réseau cartes bancaires pour le café restaurant Pandora
Suite à une bataille judiciaire, l'accès au service cartes bancaires, qui avait été
abusivement interrompu, a été rétabli.
14/11/2000 AFP : escroquerie à la carte bancaire pour un préjudice sur 170 000 F
3 personnes ont été arrêtées la semaine dernière à Paris en flagrant délit d'escroquerie à la carte bancaire. Un couple volait des cartes bancaires étrangères
qu'ils utilisaient chez le même vendeur de vêtements complice pour des achats fictifs.
9 cartes bancaires auraient ainsi été volées pour un total de 170 000 francs.
11/11/2000 Prud'hommes : Humpich gagne contre GFI Informatique
Serge Humpich avait été licencié pour faute grave en août 1998 par la société de service informatique
GFI Informatique au prétexte qu'il aurait travaillé par une entreprise concurrente, ce que ne permettrait pas son contrat de travail.
L'affaire a été jugée le 10/11/2000 suite à l'audience du même jour. Le conseil des prud'hommes de Paris a constaté l'absence
de faute grave et la société GFI Informatique a été condamnée à verser 3 mois de salaire à Serge Humpich.
Cependant, Serge Humpich envisage de faire appel,
n'ayant pas obtenu tous les dommages et intérêts
qu'il réclamait.
09/11/2000 Opération barbouze au cartel des banques
Olivier Foll, à l'origine en 1996-97 d'un scandale politico-judiciaire,
s'est reconverti comme chasseur de taupes pour le compte du Groupement Cartes Bancaires.
Ancien chargé de mission pour la sécurité au cabinet d'Edouard Balladur et ancien directeur de la police judiciaire de la préfecture de police de Paris,
il s'était en effet illustré en ordonnant, le 27 juin 1996, aux policiers accompagnant le juge Halphen
de ne pas l'aider lors de la perquisition au domicile des époux Tibéri, place du Panthéon.
Ce petit juge téméraire avait tout de même réussi, malgré la volonté des grands flics, à saisir ce jour là
le fameux rapport de 20 pages de Xavière Tiberi sur la francophonie, facturé 200 000 francs malgré les fôtes d'orthographe.
Suite à cette sombre affaire, où la justice a été entravée à des fins politiques,
il avait été suspendu par la justice pendant 6 mois de
ces fonctions d'officier de police judiciaire pour "attitude incompatible avec sa fonction de directeur de la PJ",
mais il était resté à ses fonctions de directeur de la police judiciaire de Paris malgré le rejet de son pourvoi en cassation le 26 février 1997.
Cela avait provoqué les colères des syndicats de magistrats, de policiers, des verts et des socialistes,
qui dénonçaient les pressions du pouvoir politique sur la Justice,
tandis que Jean Louis Debré, ministre de l'intérieur,
lui affichait son soutien sans faille, affirmant qu'Olivier Foll avait donné "l'ordre qu'il fallait" lors de la perquisition
chez les Tibéri et dénonçait la chasse aux sorcières.
Les socialistes, ont tenu leurs promesses électorales et ont tout de suite muté Foll après leur retour au pouvoir en 1997.
Suite à cette saga, il part à la retraite en 1998 et fonde
une entreprise de détective privé,
il a alors travaillé en 1999 pour le groupe Suez-Lyonnaise des Eaux chargé d'une mission en "intelligence économique" et de conseil
en sûreté des installations et des personnes
[source : Journal en Toute Sécurité 15 mai 1999 (édition papier)]
profitant de ses amitiés suivies au sein du RPR avec Jérôme Monod, un des fondateurs du RPR, ancien secrétaire général du RPR et président du conseil de surveillance de Suez Lyonnaise des Eaux)
Recruté par le président du conseil de Direction,
on le retrouve donc depuis quelques mois au cartel des banques, assisté de plusieurs inspecteurs,
pour faire le boulot ingrat de démasquer des taupes et surveiller le personnel.
Cette vaine chasse aux sorcières désorganise le cartel des banques et
cela ne va pas améliorer l'ambiance de suspicion entre les personnes.
Selon certaines rumeurs, une taupe du cartel est même accusée de vendre à l'étranger des documents confidentiels !
Mais on n'a pas bien compris qui était assez bête pour acheter des documents publiés gratuitement sur ce site...
Donc tant que cette thèse du complot de l'étranger fait vivre des consultants en "intelligence économique", tant mieux pour eux.
A noter que suite à des dérives répétées de policiers adeptes de la "tricoche", le gouvernement a présenté lors du conseil des ministres du 14 mai 2000,
un projet de loi pour interdire l'embauche par des entreprises de sécurité des policiers partis de la fonction publique depuis moins de 5 ans.
09/11/2000 Visa sermone les mauvais élèves
Visa continue à rejeter la responsabilité de ses propres déficiences sur les autres, à savoir les commerçants en ligne.
Quand les banques comprendront-elles que le système de paiement à l'aide d'un simple
numéro à 16 chiffres est complètement obsolète ?
Le ridicule ne tue pas alors tant que les banques continueront à s'enrichir grâce à la fraude, elles ne seront
pas incitées à changer leur système. Maintenant Visa impose des pénalités financières
"pour éduquer les commerçants".
A quand une bonne condamnation des banques pour recel de fraude ? Par pour les éduquer car elles sont
irrécupérables mais juste pour réorganiser leur système pervers.
D'ailleurs l'objet de ces mesures n'est pas de diminuer la fraude mais de "restaurer la confiance du consommateur",
qu'il y ait des fraudes : les banques s'en moquent, ce n'est pas elles qui payent mais il est hors de question pour elles
que le chiffre d'affaires baisse du fait des réticences des consommateurs en ligne.
Quel cynisme ! Au moins pour nous, c'est clair, faut arrêter le système reposant sur l'utilisation du numéro à 16 chiffres.
Les conséquences de la baisse probable des ventes en ligne : Non seulement les gens sortiront de chez eux et seront moins gros (!),
mais la protection des consommateurs sera mieux assurée avec des systèmes reposant sur la signature électronique.
08/11/2000 Nouvelle défaite pour le Groupement Cartes Bancaires devant la cour d'appel
Le Cartel des Banques avait fait appel du jugement du tribunal de commerce de
Paris du 29/09/2000 devant le premier président de la Cour d'Appel de Paris pour en suspendre l'exécution provisoire.
C'est à dire que le Cartel des Banques avait été condamné à rétablir l'accès au système cartes bancaires
au restaurant Pandora et verser 150 000 francs de dommages et intérêts.
le Cartel des Banques aurait dû faire cela dès la mi-octobre mais
ne le voulant pas, il a alors tenté de s'affranchir de ses obligations en saisissant le premier président de la cour d'Appel.
Celui-ci a rendu son jugement le 7 novembre 2000, non seulement il rejette tous les arguments du Cartel des Banques,
mais il le ridiculise en retirant du dispositif du jugement la seule clause qui lui était favorable :
En effet, le dispositif du jugement disait "Cet accès [au système cartes bancaires auquel se connecte le terminal de paiement, ndlr] ne pourra être suspendu ou supprimé à nouveau pour quelque raison que ce soit
aussi longtemps que les défenderesses n'auront pas fourni à la société Pandora Station d'indications précises sur le taux
moyen de fraudes dans au moins cinq établissements comparables et situés dans un rayon de 300 mètres autour de son établissement)."
Cette clause est supprimée par le 1er président : l'accès ne pourra pas être suspendu pour quelque raison que ce soit !
C'est donc une nouvelle victoire pour David Bengana, gérant du restaurant Pandora, représenté par Maître Jean-Jacques Tabet,
et une défaite cuisante pour le Cartel des Banques
Les conséquences et les enseignements de ce jugement :
L'omnipotence du GIE DES CARTES BANCAIRES est juridiquement ébranlée ce qui
augure quelque chose de très positif en appel pour HUMPICH.
Le Premier Président de la Cour d'Appel de PARIS a en effet validé de façon
particulièrement explicite le jugement rendu le 29 septembre 2000 par le
Tribunal de Commerce de PARIS en indiquant que les juges ont fait une
parfaite application des règles de droit aux faits qui leurs étaient soumis.
Fondamentalement, l'Ordonnance confirme que :
L'exécution de ce jugement :
Nous espérons que le Cartel des Banques exécutera sans délai
ses obligations et ne continuera pas à se moquer de la Justice en se croyant au dessus des lois, échappant au contrôle des députés, du gouvernement,
pronant une justice à 2 vitesses.
Alors que ce cartel poursuit sans pitié des gamins chapardant des cartes ou des numéros de cartes bancaires pour
quelques centaines de francs, on ne peut que déplorer que le cartel qui doit verser 150 000 francs ne le fasse pas.
Ce serait tout simplement scandaleux si le cartel des banques essayait
une nouvelle fois de s'affranchir de ses obligations et cela serait injuriant pour la Justice
de la voir si ouvertement bafouée.
Reproduction de ce jugement :
| Page 1 | Parties au procès |
| Page 2 | Fin parties au procès, début présentation contexte |
| Page 3 | Fin présentation contexte, présentation dispositif décision attaquée, début procédure suspension exécution provisoire |
| Page 4 | Fin procédure suspension exécution provisoire, début discussion : rejet arguments du groupement cartes bancaires et de la BPROP |
| Page 5 | Fin discussion : retrait clause favorable aux banques mais floue. Dispositif du jugement. |
3 pages du document :
Quand un numéro à 16 chiffres est connu, il est aussi possible de retrouver d'autres numéros à 16 chiffres correspondant
à un autre compte en faisant varier
légèrement les derniers chiffres
avec notre extrapolateur.
Matrice des risques internes Probabilité/gravité par type de risque
Planning projets d''amélioration sécuritaires (Page 1)
Planning projets d''amélioration sécuritaires (Page 2)
(Les noms de certaines personnes ont été masquées suite à un droit d'opposition).
16/10/2000 Arrestation de 3 personnes ayant monté une fausse banque sur Internet
Trois personnes ayant monté quatre fausses banques sur Internet ont été interpellées à Paris dernièrement.
Cela leur permettait de recueillir des fonds en garantie de faux prêts.
16/10/2000 Procès en appel de Serge Humpich repoussé au 6 décembre 2000
Comme prévu, le procès en appel de Serge Humpich a été repoussé au 6 décembre 2000 (9ème chambre, section A, Cour d'appel de Paris, 36 quai des orfèvres, Paris 1er).
11/10/2000 Un hacker remporte les 1ères élections de l'ICANN avec 52.6% des voix
Le porte parole allemand du Chaos Computer Club militant pour la liberté absolue de transfert de l'information sur Internet remporte
les élections de l'ICANN pour la zone Europe. Cet aorganisme attribue les suffixes de premier niveau des noms de domaine sur Internet
(Nic codes : .fr, .com...).
Il sera cependant pratiquement seul avec l'américain Karl Auerbach parmi les 5 directeurs élus
(note du 02/11/2000 : 4 institutionnels présélectionnés ont autoproclamé la prorogation de leur mandat, ce qui est un coup d'état et jette un trouble sur le processus démocratique utilisé).
11/10/2000 Révélations calamiteuses sur les failles des numéros à 16 chiffres
Tremblez ! Notre logiciel surpuissant générateur / extrapolateur de numéro de carte bancaire permet de trouver
des numéros de cartes bancaires réels en exploitant des failles des banques françaises (Téléchargement).
3 failles classées par ordre de danger croisant :
Faille 1 : retrouver le numéro à 16 chiffres de la carte à partir du numéro à 9 chiffres sur la facturette
Toutes les cartes Ziva françaises ont un numéro commençant par 497, le 4ème numéro dépend de la banque.
9 chiffres sont affichés sur les facturettes des distributeurs ou des commerçants (quand il n'y en a pas 16).
Ces 9 chiffres correspondent aux 7ème à 15ème chiffres du numéro à 16 chiffres.
Le 16ème chiffre correspond à la clé de Luhn.
Donc quand la banque est connue, il n'y a plus que 2 chiffres manquant à retrouver (les 5ème et 6ème) correspondants.
Donc parmi les 100 nombres possibles, se trouve le bon qui correspond à un compte réel.
Le masquage partiel du numéro de carte bancaire sur les facturettes ne sert donc à rien !
Faille 2 : retrouver le numéro de carte banque La Passoire à partir du numéro de compte bancaire à 7 chiffres
Pour la banque La Passoire (celle qui distribue du courrier quand elle n'est pas en grève),
aussi surprenant que cela puisse paraître, quand une carte est renouvellée (suite à une expiration ou une opposition),
seulement les 3 derniers chiffres changent :
l'avant dernier chiffre est incrémenté de 1 et le dernier chiffre correspondant à la clé de Luhn se calcule facilement !
Le 14ème dernier chiffre est souvent un 0 (un 1 pour les clients de longue date),
les chiffres 7 à 13 correspondent au numéro de compte à 7 chiffres inscrit sur les chèques,
les relevés de compte, les RIB, on voit aussi celui des tiers clients de cette banque qui vous font des virements
ou que vous payez par chèque...
Les 5ème et 6ème chiffres correspondent au centre (soit un préfixe de 497050 centre de Paris, 497063 centre de La Source, 497068 centre de Lyon, 513020 Bastardcard La Passoire centre de Paris).
Donc quiconque connait le numéro de compte d'un client de cette banque et le centre a PLUS d'une chance sur 4 de trouver le numéro à 16 chiffres !
Oui vous avez bien lu, pour quelqu'un connaissant le préfixe du centre, et le numéro de compte bancaire,
il suffit dans la plupart des cas moins de 4 essais pour retrouver le numéro à 16 chiffres !
Pour cela il suffit d'utiliser ainsi
notre logiciel extrapolateur :
A) rentrer comme numéro à 16 chiffres de base
les 6 chiffres préfixes du centre puis les 7 chiffres du numéro de compte puis 000,
B) rentrer 20 comme nombre de numéros à générer
C) Appuyer sur Générer
D) Essayer les numéros générés dans l'ordre, les premiers numéros ont le plus de chance d'être les bons
(surtout pour les jeunes détenteurs de compte bancaire)
Nous avons pu observer ces propriétés sur plusieurs cartes de cette banque, par exemple, quelqu'un ayant des cartes bancaires depuis très longtemps
avait comme 14ème et 15ème chiffres le 14 pour sa dernière carte expirée et est passée à 15 pour la nouvelle carte,
les numéros 1 à 13 sont inchangés, les 6 premiers numéros correspondent au centre, les numéros 7 à 13 au numéro de compte et le 16ème numéro
est la clé de Luhn calculée comme expliqué dans l'algorithme.
Faille 3 : extrapolation du nouveau numéro de carte banque La Passoire après renouvellement carte
Encore pire, toujours dans le cas de cette banque La Passoire,
le porteur qui a fait opposition n'est pas protégé contre une utilisation ultérieure du numéro de la nouvelle carte,
puisque les numéros sont simplement incrémentés avec une logique très simple.
Il suffit de rentrer l'ancien numéro à 16 chiffres dans notre logiciel vérificateur de carte bancaire et appuyer sur le bouton "Suivant",
le numéro de la nouvelle carte bancaire remplace celui saisi.
Cela marche tout le temps et du premier coup !
Même pas besoin de logiciel pour cela, vous pouvez le faire mentalement : dans 9 cas sur 10,
le numéro à 16 chiffres de la nouvelle carte est égal à l'ancien numéro plus 8 (huit)
et dans un cas sur 10, au lieu de rajouter 8, il faut rajouter 18 !
Il est possible que d'autres banques présentent les même failles (nous ne les avons pas étudiées).
Conclusion : Arrêter l'utilisation du numéro à 16 chiffres
Ceux qui disent que le numéro à 16 chiffres
est confidentiel sont des menteurs ou des ignorants. Le masquage partiel des facturettes est une supercherie.
Ceux qui l'utilisent comme preuve et débitent des comptes avec sont des fous furieux.
Seule solution pour arrêter cette fraude à la carte bancaire : qu'il ne soit plus possible de faire un paiement à l'aide
du numéro à 16 chiffres ou résilier le contrat carte bancaire.
Note : ce logiciel n'est à utiliser qu'à des fins éducatives. Vous êtes responsable de l'utilisation.
10/10/2000 AVCB : 14 questions en suspend au GIE
L'association des victimes de la fraude à la carte bancaire repose, dans un communiqué,
14 questions toujours restées sans réponse au GIE.
10/10/2000 Fraudes aux recharges de téléphone mobiles : des chiffres explosifs
Les 3 opérateurs de téléphonie mobile ont annoncés conjointement en septembre 2000 qu'ils enregistraient 20 millions de transactions
par carte bancaire de recharge de téléphone mobile sans abonnement par mois. Le montant moyen de la transaction est de 200 à 300 francs.
Le taux de fraude annoncé par ces opérateurs pour la téléphonie mobile est supérieur à 10% car
fait à partir du simple numéro à 16 chiffres.
Pourtant certains opérateurs mobiles affirment refuser 40% des transactions avant la demande d'autorisation bancaire
pour éviter cette fraude
(limitation à 2 ou 3 rechargements par mois, limitation à 1 compte de rechargement par carte bancaire),
mais ils affirment ne pas utiliser la liste noire des abonnés à la téléphonie mobile.
D'après l'observatoire des mobiles,
il y avait 9 600 000 abonnements téléphoniques à cartes prépayées en France en juin 2000.
Nous avons donc fait la multiplication : 4.8 milliards de francs de fraude à la recharge de téléphonie mobile (estimation basse).
C'est énorme, cela mériterait une estimation plus précise mais les opérateurs de téléphonie mobiles ne veulent pas que l'on parle de la
fraude dont ils sont victimes.
C'est à rapprocher à la fraude totale annoncée par le cartel des banques
en 1999 n'est que de 600 millions de francs !
Si on poursuit le calcul, le montant de la cagnotte du recel de fraude sur la recharge de téléphone mobile
par les banques avec un taux de commission de 0.8% se monte à 38 millions de francs !
L'organisation de la répartition du recel de la fraude entre les banques est prévue par des formules de
la commission interbancaire CIP (50 centimes + 0.21% montant de la transaction + taux interbancaire de carte en opposition).
Sur ces 38 millions recelés, environ le tiers revient aux banques émettrices des cartes et les 2 tiers aux banques des opérateurs mobiles.
Ces bien entendu le cartel des banques qui calcule et répartit cette cagnotte.
Un système bien rodé auquel vient se greffer d'autres intermédiaires qui prélèvent leur part du butin au passage :
les intermédiaires monétiques avec les opérateurs mobiles et les assureurs de porteurs de cartes qui vendent des services inutiles.
10/10/2000 Le cartel des banques fait appel de la décision du tribunal de commerce de Paris
Le cartel des banques a déclaré avoir fait appel
de la décision du tribunal de commerce de Paris
qui avait condamné lourdement le GIE CB le 29 septembre dernier.
Cette décision du Tribunal de Commerce n'en reste pas moins exécutoire et le GIE CB
doit rétablir l'accès du café restaurant Pandora au système cartes bancaires.
De plus, le GIE CB semble s'enfoncer en accusant sans fondement
le patron de ce restaurant d'escroquerie, ce qui justifierait un sursis à statuer.
La BP ROP avait déposé une plainte contre X postérieurement
à la saisine du tribunal de commerce par le café Pandora concernant une affaire où il semble
qu'un porteur de carte a lui même utilisé sa carte qu'il avait déclaré volée.
Les tribunaux civils sursoient rarement à statuer lorsqu'il s'agit simplement de plaintes contre X,
le dépôt d'une plainte postérieurement à la saisine du tribunal est très souvent une manoeuvre dilatoire
visant à empêcher la réparation d'un trouble. Cela n'abuse fort heureusement pas les juges.
Il n'en reste pas moins que cette affaire illustre le fait que les terminaux de paiement sont une véritable passoire
comportant de multiples failles, que le taux de fraude est bien plus important que ce que l'on voudrait nous faire croire.
Il est inacceptable que les banques tentent systématiquement
de rejetter la responsabilité de leur propres déficiences sur les commerçants ou les porteurs de cartes.
Elles sont juges et parties et fournissent des éléments de "preuve" erronés et invérifiables
09/10/2000 Le Figaro : liste de 250 sites de piratage
Un article du Figaro révèle l'existence d'un site Internet lançé par des victimes de fraude avec des liens sur 250
sites de pirates à la carte bancaire avec des outils accessibles aux gamins.
Ils s'étonnent de la facilité avec laquelle est possible le piratage de carte bancaire notamment
et de la sévérité des sanctions encourues par les mômes.
Cet article relate aussi des risques de fraude explosant dans le cas de vente à distance
et les recharges de téléphonie mobile sans abonnement qui ont des taux de fraude record.
Voir aussi en revue de presse
08/10/2000 : Faut il avoir peur de rueducommerce.com ?
Oui ! Vous voulez vous vengez d'un ennemi ? Facile il suffit de connaître son adresse. Trouvez une facturette d'un tiers (pas votre ennemi),
avec ce numéro de carte bancaire à 16 chiffres, passer frauduleusement une commande d'un ordinateur portable sur rueducommerce.com (de façon anonyme par exemple
avec anonymizer.com ou spaceproxy.com),
indiquez votre ennemi comme adresse de livraison. rueducommerce.com sera capable de mettre votre ennemi en prison !
On ne le répétera jamais assez, une transaction avec paiement avec un numéro de carte bancaire à 16 chiffres ne vaut rien et n'a aucune valeur de preuve.
Une fausse transaction avec un tel numéro à 16 chiffres n'a, à elle seule, pas plus valeur de preuve d'un délit.
Les risques de manipulation odieuse sont si grands (qui n'a pas d'ennemi ?), 10 coupables libres valent mieux qu'un innocent en prison.
La protection du système obsolète des banques et le pactole de la nouvelle économie ne justifient pas de priver quelqu'un de sa liberté.
Vivement la signature électronique fiable pour éviter
les abus de ces marchands qui s'improvisent dans la vente à distance
et engorgent la justice de ces procédures aléatoires.
Nous rappelons qu'une telle manipulation est justement réprimée par l'article 434-23 du code pénal.
06/10/2000 : Défaite magistrale en justice pour le GIE Cartes Bancaires
On savait que les terminaux de paiements sont des passoires, un tribunal le dit clairement et en rejette toute la
responsabilité sur les banques.
Le Tribunal de commerce de Paris statuant sur le fond a donné sa décision dans l'affaire opposant
David Bengana, restaurateur parisien à ses banques et au
Groupement cartes bancaires (cartel de 175 banques).
Ce restaurateur branché dans le quartier de Pigalle avait vu son terminal de paiement retiré
en début d'année du fait d'un taux de fraude prétendûment trop élevé mais totalement invérifiable.
Le tribunal de commerce n'a retenu aucune faute du restaurateur, a constaté que le système de paiement à l'aide d'un terminal de
paiement n'était absolument pas sécurisé, il a déclaré qu'un taux de fraude de 20% n'était pas anormalement élevé
compte tenu de la généralisation de la fraude.
Le tribunal a ainsi ordonné la restitution du matériel de paiement et le rétablissement de l'accès au service sous 8 jours,
a alloué 150 000 francs
de dommages et intérêts au restaurateur et 50 000 francs de remboursement de frais d'avocat compte tenu du travail
important effectué par Maître Jean-Jacques Tabet.
Le jugement est assorti de l'exécution provisoire pour le rétablissement de l'accès au service et les 150 000 Francs de dommages et intérêts.
En conclusion, on peut se féliciter que les commerçants ne doivent pas assumer la responsabilité
d'un système aussi pourri que celui des cartes bancaires.
David Bengana est content de pouvoir accepter à nouveau les paiements par carte bancaire et Maître Jean-Jacques Tabet se réjouit de cette victoire éclatante.
Il espère que le procès de Serge Humpich connaîtra la même issue.
Reproduction de ce jugement :
| Page 1 | Parties au procès et début des faits |
| Page 2 | Suite des faits, procédure, début argument des parties |
| Page 3 | Suite arguments des parties |
| Page 4 |
Fin arguments des parties, début motivation du jugement.
Le tribunal retient qu'un taux de fraude de 20% n'est pas en soit anormalement élevé.
Le tribunal ajoute les éléments de preuve des banques sont insuffisants et bien que le tribunal ait laissé sa chance au Groupement des cartes bancaires
en demandant des explications supplémentaires, le groupement des cartes bancaires n'a fourni des informations générales.
Le tribunal retient que le contrat monétique de fourniture de terminal de paiement ne peut être suspendu sans préavis ni explication. |
| Page 5 |
Suite motivation.
Motivation de la condamnation à 150 000 Francs de dommages et intérêts solidairement à la charge du Groupement cartes bancaires et de la Banque Populaire de la Région Ouest de Paris Application article 700 et exécution provisoire. |
| Page 6 |
Dispositif du jugement : constate la suspension "fautive" du contrat "Carte Bancaire" Ordonne la poursuite de l'exécution du second contrat carte bancaire et le rétablissement de l'accès au système "carte bancaire" dans les 8 jours de la signification du jugement. Condamne solidairement le GIE CB et la Banque Populaire à 150 000 francs de dommages et intérêts et 50 000 francs de remboursement de frais d'avocat. Ordonne l'exécution provisoire sauf pour les frais d'avocat. |
| Page 7 | Fin dispositif du jugement (inutile) |
| Page 8 | Fin du jugement (inutile) : |
27/09/2000 : Le cartel des banques se ridiculise en poursuivant des sites de carding
A force de faire n'importe quoi, le cartel des banques se ridiculise totalement.
Maintenant, il veut poursuivre
les sites qui diffusent des numéros de cartes bancaires ou qui disent comment en générer.
Absolument rien d'illégal à cela, seul l'usage frauduleux pour se faire remettre des biens ou service peut être illicite.
Et la constitution française est très claire : seule une loi peut restreindre la liberté d'expression,
aucune loi n'interdit la diffusion de numéros de carte bancaire même appartenant à un tiers,
surtout que ces numéros sont fréquemment présents sur les facturettes.
Ils veulent même poursuivre les hébergeurs alors qu'une loi très récente du 1er août 2000 dispose que les hébergeurs
ne sont pas responsables du fait des contenus hébergés
(sauf si ils ne retirent pas le contenu lorsque saisi par une autorité judiciaire) et en matière de liberté d'expression sur Internet,
la loi applicable est celle du pays de l'émetteur du message en vertu de l'article 10.1 de la convention européenne des droits de l'homme
ayant une valeur supérieure aux lois françaises.
Il n'y a rien de plus simple que de générer un numéro de carte bancaire, il suffit de faire quelques additions et divisions,
c'est très répandu depuis des dizaines d'années.
Un site en français explique d'ailleurs de façon très détaillée comment faire avec les préfixes des principales banques:
Algorithme de la clé de Luhn pour générer des numéros de carte bancaire et mode opératoire pour commander frauduleusement une télé 16/9 sur Internet
Nous ajoutons même qu'il est possible de retrouver le numéro à 16 chiffres à partir du numéro à 9 chiffres affiché sur toutes les facturettes des commerçants et des distributeurs
En conclusion, le cartel des banques n'impressionne personne, ces procédures judiciaires
ne feront pas réduire la fraude, coûtent cher à l'état français.
Le cartel des banques se décrédibilise
en continuant à accepter les paiements faits avec un système aussi obsolète que la recopie d'un numéro à 16 chiffres affiché partout.
25/09/2000 Fraudes : Forte hausse de la délinquance liée à la carte bancaire à Paris
Le préfet de police, Philippe Massoni, souligne
la hausse supérieure à 30% des délits économiques et financiers est liée à "la forte augmentation des escroqueries commises à l'aide de cartes bancaires volées ou falsifiées, utilisées auprès des opérateurs de la téléphonie mobile et du commerce électronique".
Ce qui est beaucoup plus que la moyenne car le nombre général de crimes et délits n'a augmenté que de 1.5 % sur les 8 premiers mois de l'année par rapport à 1999, l
21/09/2000 Grande Bretagne : augmentation de 53% de la fraude à la carte bancaire
La fraude a augmenté de 53 % en un an en Grande Bretagne en un an.
Les principales fraudes concernent l'enregistrement et la duplication du contenu de la piste magnétique
pour le réutiliser à l'insu du porteur de carte. Les fraudes par utilisation frauduleuse du numéro sur les facturettes
dans le cas de ventes à distance progressent également énormément (+146%).
20/09/2000 Conseil de la concurrence : Le cartel des banques françaises condamné à plus de 1 milliard de francs d'amende pour entente illicite
Ces banques s'étaient entendues pour bloquer en 1993-1994 les renégociations de prêts immobiliers alors que les taux d'intérêts baissaient (de 12% en 1992 à 8 % en 1994).
Le conseil de la concurrence s'était saisi de la question tout seul et a pu établir l'entente entre banques à partir de notes internes,
il a établi ainsi que les emprunteurs n'ont pu réduire sensiblement le montant de leur dette immobilière.
Les banques, prétextant être étonnées de cette sanction et être en concurrence "acharnée" entre elles, ont fait appel. Pourtant le conseil de la concurrence a montré que l'entente était caractérisée et généralisée.
Paradoxalement, les banques ont renforcé leur cartel dernièrement en se réunissant au sein d'une "fédération bancaire française"
affichant ouvertement l'objectif de s'allier et parler d'une seule voie contre les consommateurs et commerçants.
Répartition des sanctions :
| Crédit Agricole | 450 MF |
| Banque Nationale de Paris | 250 MF |
| Société Générale | 250 MF |
| Crédit Lyonnais | 100 MF |
| Caisses d'Epargne | 78 MF |
| Crédit Mutuel | 10.5 MF |
- L'article 4 dit que les systèmes certifiés par le DCSSI sont réputés remplir les conditions de l'article 3.
Or le DCSSI est un organisme gouvernemental non impartial (on se souvient que l'ancien dirigeant
avait été remplacé après ses déclarations justifiées comme quoi la carte bancaire comportait des failles.
11/08/2000 Le cartel des banques Visa fait pression sur les sites marchands
On croit rêver ! Le cartel des banques VISA veut imposer des contrôles de l'infrastructure technique des sites web sous peine d'amende
ou bannir l'acception des cartes Visa de ces sites !
Comme d'habitude, les banques ne pensent qu'à se faire du fric et éludent leurs responsabilités en cherchant un bouc émissaire.
Rappelons que les banques ne garantissent nullement
les transactions sur Internet. Ce sont les commerçants qui ont tous les risques.
08/08/2000 Nouvelles attaques des cartes à puce
Mise à jour de notre dossier avec la liste des attaques de la carte bancaire et de la carte à puce,
notammen
05/08/2000 le gouvernement britannique veut instaurer la concurrence dans le secteur bancaire
Suite au rapport accablant sur le cartel des banques britannique coûtant 55 milliards de francs
par an aux consommateurs et entreprises. Le gouvernement a décidé d'instaurer de réglementer le secteur des cartes bancaires et de limiter
les prix des services. Il instaurera aussi des droits de recours pour les consommateurs. Les réseaux bancaires seront ouverts à la concurrence.
Voir notre dossier sur les problèmes de concurrence dans le secteur bancaire
04/08/2000 NON à l'engrenage infernal où les hommes seraient écrasés par l'informatique
Le projet de décret sur la signature électronique est inadmissible en l'état actuel, il ne correspond pas à nos exigences
et risque de créer des victimes écrasées par la "preuve électronique réputée inviolable" mais comportant des failles connues des seuls experts et pirates :
- L'article 3 ne dit pas que pour qu'un système de signature électronique soit admissible, les principes (algorithme de signature, taille des clés) doivent être public.
Cela est contraire à l'article 3 de la loi Informatique et Libertés du 6 janvier 1978 permettant à toute personne de contester le résultat
d'un traitement automatisé de données.
Si les schémas de signature ne sont pas publiés, les pirates analysant les systèmes trouveront des failles
(la plupart des systèmes en comportent et les techniques de cryptanalyse évoluent vite).
Donc il y a aura des victimes, qui ne comprendront rien et qui nieront avoir signé électroniquement un contrat par exemple et avoir la moindre relation avec l'émetteur du système,
mais devront le prouver vu que la loi sur la signature électronique inverse la charge de la preuve. Elles seront écrasés par l'informatique
alors que la loi Informatique et Libertés prévoit que l'informatique doit être au service du citoyen.
Or si le système de signature électronique est opaque (ce que le projet de décret permet), elles seront incapables
de connaître les fonctions du système et de découvrir les failles exploitées par les pirates
et ne pourront donc rien prouver.
S'ils étudient ce système pour en découvrir des failles, ils seraient accusés et poursuivi pour intrusion dans
un système automatisé de données comme a été condamné en première instance Serge Humpich.
Si le système de signature est public, des experts indépendants pourront trouver les failles pour répudier le système et l'améliorer.
Plus grave, le DCSSI exerce une activité de certification sans remplir les conditions requises par la loi du 94-442 du 3 juin 1994 sur la certification qui prévoit que
les organismes de certification doivent être indépendants, impartiaux, compétents et composés de manière équilibrée de représentants des
fournisseurs, utilisateurs, commerçants, constructeurs, experts.
Le DCSSI publie certaines "certifications" totalement opaques (les rapports de certification sont creux) et rien n'est divulgué sur
les schémas cryptographiques utilisés par les systèmes "certifiés".
Enfin, il faut que le décret puisse introduire une possibilité de répudiation d'un système compte tenue de l'avancée des techniques ou de faits nouveaux.
Il faut donc remplacer dans la rédaction du décret "Les services du Premier ministre chargés de la sécurité des systèmes d'information" par
un organisme certificateur indépendant spécifique à créer composé de manière équilibrée de représentants des
fournisseurs, utilisateurs, commerçants, constructeurs, experts suivant les conditions de la loi du 3 juin 1994.
Les dispositifs de création de signature certifiés par ce nouvel organisme le seront pour une durée limitée de 5 ans maximum.
La prorogation de ce certificat ne pourra avoir lieu qu'après réétude complète du dossier suivant le dernier état de l'art.
L'organisme pourra répudier à tout moment un dispositif de création de signature en s'auto-saisissant ou à la demande de toute personne
(pas besoin que cette personne soit intéressée puisque la signature électronique étant une preuve légale,
elle peut être opposée à toute personne même dans un coma profond depuis 3 ans, voire même après sa mort !)
Conformément à la loi sur la certification du 3 juin 1994, les normes et référentiels applicables doivent être élaborés et validés
par les représentants des intérêts légitimes.
Il faut que les spécifications techniques et le schéma de signature des systèmes admissibles à la signature électronique soient publiés.
N'hésitez pas à participer à la
Consultation publique du gouvernement sur la signature électronique
pour faire évoluer ce projet de décret.
Partie du code civil sur la preuve électronique, Bon article sur la signature électronique
03/08/2000 AFP : fraude à la carte bancaire avec un faux commerçant en Russie
Encore un cas de création de société fictive en Russie, cette société créée par de jeunes pirates informatiques encaissait
le montant de transactions faites à l'aide de numéros de cartes bancaires qu'ils avaient trouvé sur Internet.
Le butin se monte à 29 000 dollars, un précédent cas similaire portant sur 630 000 dollars de fraude avait été démantelé en mai.
30/07/2000 Consultation publique du gouvernement sur la signature électronique
La loi sur la signature électronique a été votée par le parlement en mars 2000, pour qu'elle rentre maintenant en application,
il faut attendre la publication du décret fixant les conditions techniques pour qu'un système soit admissible comme signature électronique.
1ère exigence à notre avis : la signature électronique doit pouvoir être vérifiable par tout tiers et pas seulement
après expertise coûteuse de personnes accédant à de prétendus secrets.
2ème exigence, doit être prévu le cas où les clés des émetteurs du système seraient répudiées ou des failles apparaitraient dans les algorithmes utilisés (exemple : les clés des cartes bancaires émises avant novembre 1999 sont répudiées).
3ème exigence, les algorithmes admissibles comme signature électroniques doivent être publics afin que tout tiers puisse vérifier la solidité de l'algorithme utilisé.
Autre cas, la signature électronique SHA-1 est souvent préférée à un MD5 car il existe un algorithme rapide pour trouver des collision dans la sortie du MD5,
(voir aticles en 1994 et 1999 des chercheurs van Oorschot et Wiener avec des machines spéciales parallèles pour trouver des collisions en quelques jours
Il existe aussi deux attaques partielles sur MD5 ; l'une est une collision sur les 3 premiers tours du MD5 qui en comporte 4 trouvée par H. Dobbertin ;
l'autre est une méthode pour générer des collisions sur la fonction de compression (c'est-à-dire en modifiant l'IV). Cependant, en pratique,
personne n'a actuellement mis en oeuvre une attaque de la fonction MD5, ce qui constituerait une véritable prouesse cryptographique.
Sur la signature RSA, il nous semble qu'il faut exiger des clés de 2048 bits au moins pour les 5 prochaines années et il faut s'assurer que la norme de signature utilisée soit validée et ne comporte pas
de failles (il existe des cas de signatures forgées trouvés en 1998 par une équipe de UCL, Gemplus et ENS)
Une taille de clé minimum doit être utilisée dans les systèmes (adieu le chiffrement DES 56 bits cassable en 3 jours avec la machine d'une association activiste américaine)
Face à l'avancée des techniques de cryptanalyse, l'admissibilité d'un système comme signature électronique doit à notre sens être temporaire,
faire l'objet de révision et pouvoir être répudiée en cas de doutes.
En effet, il sera difficile à un particulier dans le cadre d'un litige d'inverser la présomption de preuve
que constitue un système reconnu comme signature électronique. La loi Informatique et Liberté permet à toute personne de contester
le résultat d'un traitement automatisé qu'on lui oppose.
Il est inimaginable que la situation actuelle se reproduise. A savoir : qu'un système de signature électronique comporte des failles
qui portent préjudice à des victimes,
mais que l'on ne peut le démontrer car ses caractéristiques sont inconnues, et si quelqu'un s'amusait à l'étudier et à l'analyser,
il se retrouverait poursuivis pour intrusion dans un système automatisé de traitement (comme l'a été Serge Humpich).
La commission chargée d'agréer ou de répudier les systèmes, doit être composée d'experts indépendants, de représentants des consommateurs, de praticiens
28/07/2000 : un millier de clients du Trésor Public et du Crédit Lyonnais touchés
par une fraude à la génération de numéro de cartes bancaires
Les pirates, opérant sur le web, se sont procurés des numéros de cartes bancaires en piratant sur un site marchand, ils ont ensuite générés des numéros
de carte bancaire correspondant à certaines agences du Crédit Lyonnais et du Trésor Public.
Ils commandent principalement des cassettes video et des DVD sur des sites de vente par correspondance américains.
26/07/2000 : Liberté d'expression sur Internet, décision surprise du conseil constitutionnel
Voir notre article, le conseil constitutionnel dénature le texte
des députés, les hébergeurs ne seront responsables que s'ils ne le censurent pas les contenus lorsqu'ils
sont saisis par la Justice.
Epliogue surprenant, quand on sait qu'altern.org (ancien hébergeur de ce site) avait fermé
à cause de cette loi et que les tiers avaient pris l'habitude de poursuivre les hébergeurs.
26/07/2000 : Fusion projets de porte-monnaie électroniques Moneo et Modeus
Comme nous l'annoncions dès avril 2000, c'est maintenant officiel, la faible sécurité (DES 56 bits) du projet Moneo va fusionner avec la technologie sans contact mis au point par Modeus.
Un nouveau cartel se crée dans le domaine du porte-monnaie électronique ce qui pose de nombreux problèmes de concurrence et menace
la vie privée des utilisateurs dont tous les achats seront tracés.
Voir notre dossier sur le porte-monnaie élecronique
22/07/2000 : La RATP se décide enfin à améliorer la sécurité de ses automates de paiement
Serge Humpich avait expérimenté à l'été 1998 la faiblesse de la sécurité du système de paiement par cartes bancaires
sur des automates de la RATP.
Par la suite, le cartel des banques
avait nié l'existence de problèmes puis avait prétendu qu'il ne s'agissait que de simples failles qui avaient
été colmatées.
Pourtant la découverte de Serge Humpich avait une dimension plus large puisqu'affectant l'ensemble
des transactions par carte bancaire à puce sur un terminal de paiement.
Pour pallier les conséquences de cette découverte les terminaux de la RATP seront équipés d'ici juillet 2001
de dispositifs sécuritaires supplémentaires.
Ces dispositifs, non utilisés jusqu'à présent consiste à remonter le certificat de paiement calculé à partir de l'algorithme DES 56 bits à la banque émettrice pour
qu'elle le vérifie.
La lettre suivante datant de début juillet 2000 de l'administrateur du cartel des banques précise que la RATP a obtenu une subvention
des banques de 2 millions de francs pour faire cette évolution.
On peut remarquer la rapidité de réaction vu l'"urgence" de la situation : 2 ans pour prendre la décision, 1 an prévu pour la mise en oeuvre !
Ce courrier note aussi que "les automates de la RATP constituent une cible avérée pour les fraudeurs".
Lettre de l'administrateur du cartel des banques, page 1
Lettre de l'administrateur du cartel des banques, page 2
21/07/2000 : Un CDRom en vente avec une méthode de fabrication de Yescard
D'après ce qu'affirment les promotteurs de ce CD de hacking français,
il y aurait sur ce CD la méthode pratique de fabrication de Yescard, c'est à dire de
simulacre de cartes bancaires. Nous vérifierons prochainement le sérieux du contenu de ce CD avant de vous en dire plus
(peut être que ce CD ne contient que des compilations de données déjà connues).
20/07/2000 : 7000 numéros de cartes bancaires trouvés sur Internet
Un site anglais comportant une faille qui permettait à n'importe qui de voir les nsméros de cartes bancaires de 7000 clients
a fermé provisoirement son site de transactions.
L'informaticien (John Chamberlain) ayant trouvé la faille et prévenu les responsables du site est invitée à vérifer si les futures mesures
de sécurité seront suffisantes tout en le menaçant de poursuites !
Un peu comme Humpich en quelque sorte. A notre avis, le fait
qu'il s'exprime de cette affaire à la BBC n'a pas dû plaire aux dirigeants du site.
17/07/2000 : Commissions interbancaires
Nous nous sommes procurés des documents exclusifs émanant du cartel des banques détaillant
les règles de rétrocessions des commissions de la banque du commerçant à la banque du porteur.
En effet, c'est la banque du commerçant qui perçoit la commission payée par le commerçant
(entre 0.8 et 3 % du chiffre d'affaires) et la banque émettrice du porteur de carte qui subit les risques de
fraude et d'insolvabilité.
Chaque transaction par carte bancaire chez un commerçant donne lieu à une provision sur commission de 0.5%
pour la banque du porteur (si la banque du porteur n'est pas du même groupe que la banque du commerçant).
Chaque trimestre, les montants de ces commissions interbancaires sont calculées par le Groupement Cartes Bancaires
et ajustées suivant les formules décrites dans ces documents.
La commission interbancaire est ainsi de 0.70 FF + (0.21% montant transaction + taux interbancaire de cartes en opposition)
La partie fixe de 70 centimes de la commission est supérieur au coût informatique réel qui ne cesse de baisser
et la partie variable représente un coût exorbitant, vu que le taux de fraude officiel n'est que de 0.02 %.
Les banques s'engraissent ainsi et créent un cartel tarifaire en imposant aux commerçants des commissions supérieures
au taux de commission interbancaire ainsi que cela avait été vu lors de la saisine du
Conseil de la Concurrence par les supermarchés Leclerc et le Conseil National du Commerce.
Notamment cette commission interbancaire élevée et son mode de calcul ne permet pas aux commerçants de bénéficier
de la diminution de la fraude et est contraire à la décision du conseil de la concurrence (point 44)
qui doit permettre aux commerçants de bénéficier de la réduction de la fraude.
Les commerçants investisssent pour la mise à niveau du parc de terminal mais ils ne bénéficient pas de l'amélioration
de la sécurité par une baisse corrélative des commissions, puisque les commissions qu'ils payent ne baissent pas.
Par ailleurs, pourquoi les banques de commerçants
telles que la S2P (Société des paiements Pass de Carrefour) et la banque EDEL (Edouard Leclerc)
ne figurent pas dans le Conseil de Direction du Groupement cartes bancaires qui ont des activités monétiques supérieures
à celles du CIC, du CCF et du Crédit du Nord et donc de la représentativité de
ce conseil de Direction, surtout que le CIC est une filiale du Crédit Mutuel, que le Crédit du Nord est une filiale
de la Société Générale, que le CCF a cédé son activité cartes à Natexis-Banques Populaires.
Bien évidemment, le Crédit Mutuel,
la Société Générale et Natexis-Banques Populaires sont déjà représentés au sein du Conseil de Direction du Groupement Cartes Bancaires qui comporte 11 membres.
En conclusion la S2P et EDEL ne sont pas assez bancaires et trop proches des commerçants
pour figurer dans le conseil de Direction du cartel des banques. La formule de la commission interbancaire de paiement leur est désavantageuse.
La formule de la Commission Interbancaire de Paiement montre bien qu'en fait, la banque accepteur subit la totalité du risque de fraude
(y compris celui de carte non parvenue au porteur légitime alors qu'il s'agit souvent de négligences de la banque émettrice) et même plus
alors que celui-ci est théoriquement à la charge de la banque du porteur.
Les banques émettrices ne sont donc pas incitées à améliorer la sécurité des cartes bancaires.
Page 1 : objet du manuel des commissions et tarifications interbancaires
Page 2 : définition du principe de la Commission interbancaire de Paiement
Page 3 : formule de calcul de la Commission Interbancaire de Paiement
Page 4 : formule de calcul du Taux Interbancaire de Cartes en Opposition
Page 5 : formule de calcul du Taux Relatif de retraits cartes
Page 6 : modalités opérationnellles de calcul de la commission
Page 7 : phase de calcul de la commission interbancaire
Page 8 : phase de diffusion des résultats et de réglement
Page 9 : Définition des groupes de banques pour le calcul des groupes CIP
Pour les retraits aux distributeurs, il existe une Commission Interbancaire de Retrait.
La fraude est principalement à la charge de la banque émettrice (une autorisation systématique de la banque émettrice est requise).
Cependant, la banque du distributeur perçoit une commission fixe de 5 francs par retrait et une commission dépendant des risques pris
par l'établissement du distributeur de billets.
La banque émettrice verse aussi une avance de trésorerie à la banque du distributeur.
12/07/2000 : Réunion au ministère
L'Association des Victimes de la fraude à la carte bancaire -AVCB est conviée
mercredi 12 juillet au soir pour une réunion au ministère de l'Economie et des finances sur le thème de la sécurité
de la carte bancaire.
Se rendront à cette réunion, David Bengana, président,
Christophe Soret, Vice Président et
Laurent Pelé qui vient de rejoindre l'association
en qualité de secrétaire.
L'AVCB fera des propositions concrètes lors de cette réunion et s'étonne
qu'elle n'ait pas été conviée à d'autres réunions qui se sont déroulées sur ce thème dans le passé.
11/07/2000 : Désistement procédure judiciaire
L'affaire de la taupe a été enterrée (normal non ?).
Les pourfendeurs de ce site web qui avaient engagé 2 procédures judiciaires en référé
se sont désistés après avoir refusé la médiation proposée par le Président du tribunal.
Ces procédures étaient aussi inutiles qu'infondées : les demandeurs voulaient connaître le nom d'un de nos informateurs.
Cela devient une habitude, La Poste et le GIE Carte Bleue qui avaient aussi poursuivi ce site s'étaient désistés lâchement.
Bien entendu, nous demanderons le remboursement de nos frais.
07/07/2000 Date du procès en appel de Serge Humpich
La date de l'audience du procès en appel de Serge Humpich a été fixée
au 16 octobre 2000 à 13h30 (9ème chambre, section A, Cour d'appel de Paris, 36 quai des orfèvres, Paris 1er).
(note du 13/10/2000 : il est possible que les débats soient repoussés au 6 décembre 2000)
04/07/2000 Mise en garde de 120 banques
La commission européenne a mis en garde 120 banques en Belgique, Finlande, Irlande et Portugal pour entente
sur la fixation des commissions de change avec l'euro.
Elle dispose de preuves établissant l'existence d'un cartel et elle prendra des sanctions si ces ententes perdurent.
La direction générale pour la concurrence de la commission européenne a dit
qu'elle engagerait une procédure pour des banques d'autres pays.
04/07/2000 Assurance Fia Net pour les achats sur Internet
Selon Fia-Net, le seul assureur des transactions sur Internet
(les banques ne garantissent pas les transactions sur Internet),
le coût de l'assurance d'un site Internet marchand
varie entre 0.3% et 0.9% du Chiffre d'Affaires selon l'activité du site et sa sinistralité dans le passé.
Ces frais s'ajoutent aux commissions bancaires payées par le commerçant.
Prudent, cet assureur n'assure pas les sites "adultes". De plus les sites de téléchargement (musique, logiciels),
c'est à dire sans livraison physique, ne sont assurés qu'à des conditions draconniennes.
29/06/2000 Où est passé ma Yescard ?
Il s'agit du titre d'un cyber polar tout illustré proposé par FTPresse (l'éditeur d'Internet Actu).
Cela se lit sur abonnement par Email.
Le nom de Yescard avait été popularisée par notre site.
Nous ne savons que peu de choses de ce polar. Cependant, le commissaire Tristan se lance "dans une enqûete dans le réseau des réseaux,
impliquant des cartes à puces, des banques et des mystérieux génies de l'informatique", mais la ressemblance
à des événements existant semble s'arrêter là car ce polar parle aussi de meurtres et de jolies filles, il s'agit donc d'une oeuvre de fiction.
Premier Chapître : on y parle de la déroute des banques suite à l'affaire Humpich
29/06/2000 Le cartel des banques continue sa manipulation des chiffres
Dans un communiqué, le cartel des banques explique que la part de marché de VISA et Mastercard en France est de 39%
alors qu'il est de 75 % aux Etats-Unis.
Ces chiffres sont légèrement en contradiction avec les déclarations d'Europay (Eurocard Mastercard en France) elle même au journal La Tribune qui disait
que sa part de marché dans les cartes bancaires internationales était de 46% !
83 % des cartes bancaires "CB" sont internationales, la part de marché de Visa et Mastercard en France serait donc de 83 %.
Alors comment est obtenu ce chiffre de 39 % avancé par le cartel des banques alors que le vrai chiffre est de 83 % ?
En incluant les cartes accréditives ou privatives de magasin (acceptées dans ces seuls magasins : Carte Cofinoga, 4 étoiles, Kangourou...), qui sont pourtant
beaucoup moins utilisées et encore moins à vocation internationale !
Le volume des transactions par carte bancaire "CB" a atteint 1278 milliards de francs en 1999 d'après les banques.
La comparaison doit se faire bien sûr en volume de transactions et chiffre d'affaires parmi la totalité des cartes de paiement.
Rappelons que la part de marché d'American Express et Diner's Club est anecdotique en France.
En conclusion, le cartel des banques continue à se décrédibiliser, on se souvient qu'il avait donné
des chiffres faux sur la fraude à la carte bancaire
29/06/2000 Rapport parlementaire sur la sécurité des cartes bancaires
La commission des finances de l'Assemblée Nationale a décidé de confier au député Jean-Pierre Brard (apparenté communiste), un rapport sur la
sécurité des cartes bancaires. Il remettra ce rapport d'ici la fin de l'année.
Ce député avait déjà remis plusieurs rapports sur les sectes et la fraude fiscale.
Le président de la commission des finances (Henri Emmanuelli) ne veut pas de commission d'enquête pour éviter d'alarmer l'opinion publique !
29/06/2000 2 jeunes pris en flagrant délit de fraude à la carte bancaire
Ils trouvaient des facturettes avec des numéros de cartes bancaires près de distributeurs
et s'en servaient pour passer commande de matériel informatique.
Ils s'arrangeaient pour être présent sur le lieu de livraison au moment où le coursier livrait la commande.
Ils ont été pris en flagrant délit à Besançon.
28/06/2000 AFUB : 500 000 clients des magasins Auchan débités en double le 24/06
D'après l'AFUB, suite à une erreur dans le traitement des données à la Société Générale, 500 000 clients des magasins Auchan ont été débités en double
après avoir réglés leurs achats le 24/06. D'après Auchan, le problème ne concerne QUE 300 000 clients...
L'AFUB estime qu'il s'agit d'une nouvelle illustration de la fragilité du système de paiement par carte bancaire.
La Société Générale explique que le problème est en principe résolu mais l'AFUB invite les usagers
à l'informer des problèmes qu'ils rencontreraient.
28/06/2000 Commission d'enquête parlementaire
Examen aujourd'hui après 16 heures par la commission des finances de l'Assemblée Nationale de la proposition d'enquête
parlementaire sur la sécurité des cartes bancaires.
M. Jean-Pierre Brard (apparenté PCF) fera un rapport à cette commission.
Cette commission d'enquête parlementaire a été demandée le 30 mai 2000
Proposition d'enquête parlementaire
23/06/2000 Reuters :la Commission européenne dénonce un cartel de 120 banques
Le commissaire à la concurrence Mario Monti a indiqué que des mises en demeure seront envoyées à 120 banques et fédérations bancaires la semaine prochaine.
Ces banques ont formé un cartel pour la fixation des commissions de change pour les billets et pièces à l'intérieur de la zone euro.
La commission dispose de preuves écrites et elle enverra une autre salve de mise en demeure dans d'autres pays avant l'été.
Il s'agit d'une étape de la procédure prévu par l'article 81 du traité et les banques ont la possibilité de répondre à cette mise en demeure.
A ce stade de la procédure (le 30/06/2000), la commission ne souhaite pas révéler le nom des pays et des banques incriminées.
La commission avait commencé son enquête en février 1999 et avait perquisitionné des établissements financiers
dans les principaux pays de la zone euro (France, Allemagne, Italie, Espagne, Pays-Bas, Belgique, Irlande).
Des dirigeants du Groupement Cartes Bancaires était lui même monté au créneau
en dénonçant dans des revues bancaires ces poursuites de la Commission Européenne pour des problèmes tarifaires
alors que théoriquement ces questions tarifaires ne sont pas du ressort du cartel des banques.
De plus, le conseil de la concurrence avait condamné en 1988 le cartel des banques
pour ses pratiques tarifaires illicites.
23/06/2000 Explosion de la fraude à la carte bancaire et de la criminalité
Selon l'Association Française des Banques, le nombre de braquage des banques a augmenté de 67 % sur un an et il se produit
4 braquages de fourgons ou de banques par jour.
D'après le Ministère de l'intérieur cité par le journal "Le Monde" du 18/06/2000, les piratages de cartes bleues explosent
depuis le début de l'année.
Les commissariats croulent sous les plaintes de fraude à la carte bancaire.
Les tribunaux correctionnels et cour d'assises sont engorgés par les affaires de braquage.
Les convoyeurs de fonds ont fait grève jeudi 22/06/2000 en mémoire à leurs collègue tué récemment lors d'un braquage. Ils ont renouvellé
leurs demandes à ce que les mesures de sécurité décidées soient mises en place.
23/06/2000 Oberthur introduit en bourse
Ce fournisseur de cartes bancaires a fait des milliards de chiffres d'affaires, la preuve que la carte bancaire
continue à enrichir les gros. La bourse se moque des vieilles dames et des convoyeurs de fonds qui se font braquer.
21/06/2000 Nouveau dossier sur les problèmes de concurrence
Ce dossier récapitule les problèmes de concurrence sur le marché de la carte bancaire, en France et à l'étranger.
Avec copie de décisions judiciaires marquantes
21/06/2000 parodie.com poursuivi en justice pour livrer le nom d'une taupe !
Une procédure, engagée sous un des prétextes les plus fallacieux qui soit, a été engagée contre le dirigeant de parodie.com
pour donner le nom d'un de nos informateurs !
Bien entendu, rien ne justifie une telle demande et nous ne divulguerons le nom d'aucun de nos informateurs.
Nous en reparlerons.
21/06/2000 ItiAchat : les consommateurs à nouveau pris pour des gogos
France télécom, lance le service ItiAchat soi-disant "sécurisé" pour la vente à distance.
Ce système est comme un terminal de paiement électronique dans un téléphone mobile, il comporte donc les mêmes failles
(Clonage de carte à puce,
Yescard méthode Humpich,
Simulacre de carte à puce avec numéro de porteur existant).
La seule différence, c'est que le consommateur NE PEUT PAS annuler le paiement, même si sa carte a été contrefaite,
il prend donc à sa charge tous les risques et aléa de la vente à distance et en plus le consommateur devrait investir
dans un tel système !
Il est fréquent que les cyber-commerçants ne livrent pas la marchandise commandée, le consommateur, sans preuve, est totalement démuni.
Il faut rappeler que lorsqu'un numéro de carte bancaire à 16 chiffres est utilisé à l'insu du consommateur, son compte est
recredité tout de suite après avoir fait une réclamation à sa banque.
20/06/2000 Dual Pricing dans le collimateur de la Commission Européenne
La Commission européenne a annoncé le 12/06/2000 avoir ouvert une enquête sur le marché des cartes bancaires, elle s'intéresse notamment aux
relations entre les commerçants et les banques, notamment la question du "dual pricing".
Cette pratique, empêchée en France par le contrat d'acception cartes bancaires entre le commerçant et sa banque, permet de faire payer au consommateur les frais bancaires qui peut donc choisir
son moyen de paiement suivant les coûts du système et arbitrer en connaissance de cause.
Ainsi que toutes les conditions générales, cette clause du contrat ne peut pas être changée par les commerçants,
ainsi que c'est indiqué dans le commentaire du Groupement Cartes Bancaires sur le "contrat accepteur" que nous avons en notre possession.
En forçant l'opacité des commissions bancaires, les banques ont fait une distortion de la concurrence
et peuvent s'octroyer de larges commissions. Cela justifie l'enquête lancée par la Commission Européenne pour concurrence déloyale.
Voici un des documents exclusifs montrant que les banques françaises se sont opposées fermement au dual pricing au point de menacer
de rompre les discussions entre la Commission Européenne, les commerçants et les consommateurs en avril 1993.
Pour plus d'informations et détail de ces documents, voir la suite de notre dossier sur la
politique de lobbying du Groupement Cartes Bancaires.
20/06/2000 La carte bancaire et l'euro : vaste fumisterie
Le Carte les banques a imposé des modifications onéreuses inutiles aux commerçants pour que les terminaux de paiement puissent accepter l'euro.
Inutiles car très peu de gens utilisent leur carte bancaire pour faire des réglements en euro, cela est pourtant possible
avec toute carte bancaire puisqu'il n'y a pas de carte bancaire spécifique pour l'euro : toutes les cartes bancaires sont nominalement en franc.
En effet, la carte bancaire permettait déjà de faire des réglements à l'étranger dans des devises autres que le franc
et il n'y a eu aucune modification sur la carte bancaire lors du passage à l'euro.
Si vous consultez l'historique des transactions sur la puce de votre carte bancaire, vous ne voyez pas la devise :
LA DEVISE DE LA TRANSACTION N'EST PAS STOCKEE SUR LA PUCE !
Par exemple,ce qui fait que lorsque vous faites une transaction de 12 euros avec votre carte bancaire
(essayez dans un automate de la SNCF pour éviter de prendre la tête au commerçant),
seul le montant 12 est stocké sur la puce
et vous croyez qu'il s'agit de 12 francs alors que c'est 12 euros. Ainsi le lecteur Xi Puces affiche 12 Francs => Le bug !
La conséquence logique est que le relevé sur la puce est inutilisable et ne permet pas de trancher les contestations.
La différence est juste au niveau de l'affichage sur le terminal de paiement électronique : vous pouvez demander au commerçant
la devise de transaction Franc ou Euro mais cela ne change rien pour vous.
Si vous avez un compte bancaire en euro, le compte carte bancaire reste en franc ce qui pose des problèmes de rapprochement
pour l'utilisateur qui doit faire lui-même des conversions,
surtout que certaines banques (telles que Banque Directe) font des erreurs d'arrondi et n'appliquent pas les règles officielles.
Bien entendu, si vous faîtes une transaction carte bancaire dans un autre pays de la zone euro, vous n'échapperez
pas à des commissions bancaires supplémentaires exorbitantes de 1.5% au moins alors qu'il n'y a aucun risque de change.
Cela a provoqué la colère de la Commission Européenne et des consommateurs.
La seule réelle nouveauté induite par la possibilité de faire des transactions en euro avec les cartes bancaire est l'apparition
d'un nouveau type de fraude.
19/06/2000 Le million pour Patrick Gueulle ?
Alors que Roland Moreno faisait un communiqué le 16/06/2000
disant qu'il estimait son défi gagné car personne n'a réussi à violer la puce de la télécarte,
un article de Patrick Gueulle dans la revue Pirate Mag n°7
indique comment lire et écrire les télécartes de 2ème génération (T2G).
L'article en question précise qu'il est possible d'écrire dans une zone protégée de type à lecture seule de la télécarte,
qu'il est également possible de mettre à 0 des bits puisque la T2G est conçue dans la technologie EEPROM.
Il tourne en dérision la prétention "anti-clonage" de cette carte dont l'authenticité n'est assurée que par un compteur
qui ne peut prendre que 16 valeurs distinctes ! Il semble surtout s'agir de défaut de conception imputable à France Télécom.
Cela faisait bien partie de l'enjeu du défi de Roland Moreno qui disait que celui qui écrirait un bit
dans une télécarte gagnerait le concours.
Ce défi, lancé par Roland Moreno le 13/03/2000 offrait un million de francs à quiconque viole la télécarte,
est cependant soumis à des conditions très strictes excluant les cas de hacking connus !
Roland Moreno, que nous avons joint, nous a précisé que violer une télécarte et lire et écrire dans les zones sécurisées restait impossible,
qu'il n'avait pas eu connaissance de cet article et que le concours s'est terminé la semaine dernière.
Il a précisé que le concours consistait à lire ou écrire un bit dans une zone protégée d'une télécarte
ET de trouver le code secret de 3 cartes bancaires différentes.
Chacun de ces défis est réputé impossible, mais il n'offrait la somme que si quelqu'un réussissait les 2 défis !
De plus, le réglement de ce défi-concours ne précisait pas combien d'années de prison encourrait le pirate qui réussit le concours !
En conclusion, il reste donc possible de contrefaire des cartes bancaires et des télécartes puisque ces systèmes n'utilisent
pas toutes les sécurités prévues par les concepteurs.
Que les télécartes soient falsifiables, cela n'est un problème que pour France Télécom mais pour les cartes bancaires,
les banques sont laxistes car c'est l'argent des porteurs de cartes qui est en jeu, pas celle des banques.
Cela explique pourquoi elles n'ont pas fait évoluer le système d'authentification des cartes bancaires depuis 1983.
Ce magazine Pirate Mag n° 7 comporte aussi un article sur la carte bancaire.
Pour les télécartes de 1ère génération, un programme de simulation de télécarte existe à l'adresse suivante
http://care.easynet.fr/~chrisg/progtc.htm
19/06/2000 Les banques mises en cause dans la mort de convoyeurs de fonds
Alors que plusieurs convoyeurs de fonds sont morts en France lors de braquage, l'attitude des banques est mise sur la scellette par les
syndicats de convoyeurs et le gouvernement.
Les banques ont refusé toute augmentation des tarifs pour améliorer la sécurité ou instauration de taxes.
Lors d'opération de braquage, les banquiers se réfugient derrière leur sas alors que les convoyeurs sont exposés aux brigands.
Dans certains cas, ils ne sont même pas venus les secourir alors que les voyous étaient partis.
Le cynisme des banques est inacceptable et les procédures des banques sont conçues pour protéger
les banquiers au mépris des convoyeurs qui sont seuls exposés.
Les convoyeurs sont donc des exploités pour un misérable salaire permettant aux banquiers de s'engraisser impunément.
A noter également que de nombreux distributeurs sans sas sont situés dans des rues sombres de quartiers chauds rendant
quasi inévitable l'attaque de vieille dame venant retirer de l'argent un peu tard.
19/06/2000 Certification EAL 4 pour une puce
La carte ST19 de ST Microelectronics vient de recevoir le niveau de certification EAL4 par le DCSSI suite à une expertise du CESTI
qui a fait des "tests exhaustifs d'attaques".
A noter que ce niveau de certification ne concerne pas les applications tierces installées sur la puce et que
cette certification étant effectuée par des services gouvernementaux, elle n'est pas totalement neutre.
La question qui se pose est pourquoi la carte bancaire à puce n'est pas équipée de telle puces sécurisées ?
En effet, le masque de puce utilisé sur les cartes bancaires est obsolète au point que l'un des 2 fournisseurs (ATMEL-Motorola)
cesse la fabrication en septembre 2000.
Cette situation ne risque guère de changer avant 2004 puisque pour effectuer la transition vers le protocole EMV en 2003-2004,
les banques envisagent d'installer sur ce même masque de puce, à la fois le système d'authentification existant depuis 1983 (B0')
et le système d'authentification EMV.
En effet, le Comité Exécutif du GIE Cartes Bancaires du 17 mars 2000 prévoit
un délai de 18 mois pour porter le système sur un nouveau type de puce sécurisé.
Les banques ne se sont jamais préoccupée de l'amélioration de la sécurité de la puce support.
19/06/2000 Système de signature électronique à l'aide Porte-Monnaie électronique Proton
La société Xiring commercialise un petit lecteur de carte de poche (pas connecté à un ordinateur) qui permet
de s'identifier et de faire une signature électronique pour les services de banques à distance (par Internet mais aussi par Fax, Email ou téléphone) à l'aide du porte-monnaie électronique PROTON
répandu en Belgique.
Il s'agit d'un système assez simple : l'utilisateur entre sa carte Proton dans le lecteur XSign qui renvoie un identifiant unique à 11 chiffres (jeton).
Il recopie ce numéro à 11 chiffres sur le fax pour sa banque ou sur un formulaire sur Internet.
Le serveur sécurisé de la banque vérifie ce jeton car il à accès au secret sur la carte à puce, ce qui permet de s'assurer
que cet identifiant provient bien d'un possesseur de carte Proton.
Il est également possible de signer numériquement des données : la banque envoie un numéro à 8 chiffres correspondant
à une hash fonction d'un document et l'utilisateur renvoie la signature.
Cependant, l'utilisateur ne peut s'assurer de la signature par la contrepartie.
Méfiance, signer un contrat c'est bien, mais c'est mieux avec 2 signatures surtout face à des gros commerçants
qui peuvent nier avoir conclu un contrat. Cela rend le système peu crédible pour les utilisateurs
qui seront sous l'arbitraire de la contrepartie.
19/06/2000 1000 personnes protestant réunies à Bercy
Une réunion "Les caves de Bercy" réunissant l'Association des victimes de fraudes à la carte bancaire,
des petits porteurs de titres Eurotunnel et d'emprunts russes se sont réunies samedi 17/06/2000 de 14 heures à 17 heures pour demander
des comptes à Laurent Fabius, ministre de l'Economie et des finances.
16/06/2000 Commission européenne : enquête sur le marché des cartes bancaires
On en sait plus sur l'enquête déclenchée par la commission européenne sur les pratiques
anti-concurrentielles sur le marché des cartes bancaires.
Il est notamment reproché aux banques de certains pays (telle que la France) d'interdire le "dual-pricing", c'est à dire la possibilité pour
le commerçant de facturer un prix supplémentaire au consommateur du fait des commissions qu'il doit payer aux banques.
L'absence de cette facturation entraîne une opacité des tarifications qui bénéficie aux banques au détrimant des commerçants.
Le cartel des banques françaises s'est toujours opposé à la pratique du dual-pricing à l'aide d'un intense lobbying
auprès de la commission européenne.
Disposant de documents exclusifs internes du cartel des banques compromettant pour les banques sur ce sujet,
nous y reviendrons prochainement.
16/06/2000 Affaire Visa-Mastercard : un témoin met en cause l'entente illicite
Dans l'affaire VISA-Mastercard poursuivi par le département de la justice américain ainsi
que par des commerçants pour entente illicite et abus de position dominante, un témoin a mis en cause l'entente entre ces 2 organisations et
mis en cause la politique sécuritaire de ces organisations qui connaissent des taux de fraude élevés, ce qui leur permet de justifier de grasses commissions.
En effet, John Elliott, ancien dirigeant de Mastercard de 1984 à 1989 a été entendu comme témoin dans le cadre de ce procès qui débute à peine.
Il a indiqué qu'à la fin des années 1980, Mastercard était sur le point d'introduire une puce sur les cartes bancaires pour améliorer la sécurité
au profit des consommateurs et des commerçants.
Mais Mastercard a fait machine arrière car Visa ne voulait pas introduire une telle puce. Cette entente illicite a donc privé
les consommateurs américains d'un nouveau type de carte qui présente une avancée technologique
(même si l'utilisation de la puce telle qu'elle
est faite par les banques françaises est obsolète et présentait des failles connues et réparables dès l'origine).
Il est également reproché à Visa et Mastercard leurs pratiques limitant la concurrence : les banques émettant des cartes Visa ou Mastercard
ne peuvent émettre des cartes American Express ou Discover.
En France, le contrat constitutif du GIE Cartes Bancaires interdit également à ses 175 banques membres
(la totalité des banques de détail française, ce qui en fait un cartel) d'utiliser ou émettre des cartes concurrentes
(voir article 10 du contrat).
16/06/2000 AFP : 3 adolescents arrêtés pour recharge téléphone mobile à l'aide numéros de carte bancaire
Ces 3 adolescents ont été arrêtés à Montpellier après l'épreuve de philosophie du baccalauréat pour utilisation frauduleuse de numéro de carte bancaire.
Ils téléphonaient gratuitement avec leur mobile en rechargeant à l'aide de numéro à 16 chiffres
trouvées sur les facturettes tourvées dans les poubelles de grande surface de Montpellier.
13/06/2000 Coopération européenne en matière de fraude à la carte bancaire
Selon "La Tribune", le Groupe de coopération policière réunissant coordonnant l'action policière dans 15 pays européen a été saisi d'une intiative
de l'office central de répression du faux monnayage afin de lutter contre les contrefaçons de cartes bancaires. Pour nourrir une
réflexion sur les moyens de répression policière contre le fléau de la fraude à la carte bancaire,
un questionnaire a été envoyé à chacune des délégations de ce Groupe de coopération policière.
12/06/2000 Flambée des prix des cartes bancaires
D'après l'INC, le prix des cartes.htm# bancaires ont augmenté entre 80 et 83 % entre 1986 et 1999 alors que l'indice Insee des coûts
à la consommation n'a augmenté que de 30 % sur la même période.
Le coût de l'opposition sur la carte bancaire a augmenté en moyenne de 263 % sur cette période !
De façon plus générale, les coûts des services bancaires augmentent à un rythme plus de 2 fois supérieur à celui des prix à la consommation
(en moyenne de 6.12 % par an contre 2.33 % pour l'indice Insee des prix à la consommation)
De plus avec l'introduction de packages, plus d'opacité est apparue : non seulement l'usager n'a pas conscience des coûts cachés
qu'on lui facture mais il ne peut empêcher qu'on lui propose et facture des services dont il n'a pas besoin.
L'usager n'a donc guère le choix, il doit subir la tarification des banques et l'instauration d'un cartel de banques a bien entendu favorisé ce racket des banques.
11/06/2000 Ouverture ce lundi d'un procès pour pratiques anticoncurrentielles dirigées par le département de la Justice américain contre Visa et Mastercard
Après le prcès Microsoft, c'est au tour de Visa et Mastercard de subir un procès pour entente illicite et pratiques anti-concurrentielles aux Etats-Unis.
Ces 2 organismes ont 75 % du marché aux Etats-Unis et il est reproché du fait
de leurs ententes de freiner l'évolution technologique pour sécuriser les paiements, notamment sur Internet.
Non seulement le développement d'American Express et Discover (cartes bancaires concurrentes) est entravées par ces ententes de Visa et Mastercard
mais des commerçants se sont portées partie civile du fait des commissions trop importantes perçues par Visa et Mastercard.
En France, une telle situation peut et devrait se reproduire, le GIE Cartes Bancaires est un cartel
constitué de la quasi totalité des banques qui n'a jamais investi dans la sécurité.
Le procès qui se profile pourrait leur coûter jusqu'à 24,3 mill