Serge Humpich et son avocat avant le verdict le 25/02/2000

Le procès Humpich

Audience du 21/01/2000 devant le tribunal correctionnel de Paris.

procès en correctionnelle intenté par le GIE des cartes bancaires contre Serge Humpich a eu lieu Vendredi 21/01/2000 après midi devant la 13ème chambre du tribunal correctionnel de Paris.
Le procureur de la République a requis la peine totalement délirante de 2 ans de prison avec sursis, 5 ans de contrôle judiciaire et 50 000 francs d'amende pour un inventeur qui n'a pas fraudé.
Les avocats de la défense ont demandé logiquement la relaxe.
Le jugement interviendra le 25 février 2000.

Serge Humpich a expliqué ses motivations techniques pour fabriquer une fausse carte bancaire. tandis que la partie civile (GIE cartes bancaires) a dénoncé les "délires" sur les sites Internet et dans la presse et pour expliquer que "derrière les hackers attendent".
Pourtant derrière la langue de bois du GIE cartes bancaires, les cartes à puce et terminaux n'ont toujours pas été remplacés et le système souffre toujours des mêmes carences.
De plus Serge Humpich n'a rien d'un "bidouilleur pervers", c'est un inventeur qui sait que pour améliorer la sécurité d'un système, le faut pouvoir d'abord en cerner les lacunes.
N'a t'on pas le droit d'innover ? de vérifier la sécurité d'un système et de protéger son argent sans qu'un pirate ne s'en serve à notre insu ?

Verdict le 25 février 2000


La décision du Tribunal correctionnel de Paris (13ème chambre) concernant Serge Humpich a été rendue Vendredi 25 février 2000 à 13h30 :
Serge Humpich a été déclaré coupable de falsification de cartes bancaires et d'introduction frauduleuse dans un système automatisé de traitement.
Il a été condamné à 10 mois de prison avec sursis.
Le tribunal a ordonné la confiscation des scellés (ordinateur saisi, mais pas l'enveloppe Soleau).
Il devra verser le franc symbolique de dommages et intérêts au GIE cartes bancaires ainsi que 12000 francs de frais d'avocat.
Suite à cette décision très sévère, les avocats de Serge Humpich ont fait appel de la décision.
Il apparait cependant que Serge Humpich a été condamné si sévèrement car il a mis en lumière des lacunes manifestes au niveau de la sécurité des paiements et que cela a des répercussions financières et économiques très importantes, et que cette découverte serait une "menace" d'après le jugement alors que l'attitude de Serge Humpich est restée honnête.
Mais ces conséquences financières sont inéluctables (remplacement des terminaux de paiement et des cartes bancaires à puce, multiplication de la fraude), c'est le cartel des banques qui va les payer car il a commis de multiples fautes
Suite à ce jugement, on peut se demander comment les citoyens peuvent exercer un contrôle démocratique de solutions que des cartels veulent imposer ? Des députés réclament un expertise indépendante de la sécurité des cartes bancaires sous le contrôle d'experts indépendants.
Des associations de consommateurs mettent ce sujet de la sécurité des cartes bancaires sur la table.
Cependant, le cartel des banques entend réprimer quiconque s'intéresserait trop aux failles du systèeme de paiement par carte bancaire : les censures et pressions à répétition du cartel des banques sur ce sujet le montre.

Conséquences

Dans tous les cas on peut douter que ce jugement soit une incitation à être honnête : les faussaires auraient bien plus intérêt à frauder incognito le système et s'en mettre plein les poches sans laisser de traces plutôt que d'avoir, comme Serge Humpich, une attitude honnête et constructive pour aider à améliorer le système.
Le jugement s'intéresse peu aux conséquences de la découverte de Serge Humpich, il note toutefois : "Attendu que cette fraude informatique, par la menace qu'elle fera courir sur l'ensemble des transactions par cartes bancaires a troublé gravement l'ordre public" montrant bien que cette découverte remet en cause la sécurité de l'ensemble des transactions par cartes bancaires (contrairement à ce que prétend le cartel).
Mais ce n'est pas les actes de Serge Humpich qui sont menaçants, c'est le système utilisé dans les cartes bancaires qui n'est pas sûr du tout, ainsi que l'ont dit les experts depuis 1988

Raisonnement du tribunal

Le jugement tire des conclusions tout à fait discutables et élude les argumentations des avocats de Serge Humpich, notamment :
- la décomposition d'un nombre (clé publique) en facteurs premiers constituerait en elle-même le délit de contrefaçon de cartes bancaires.
- le délit d'introduction dans un système automatisé de traitement serait constitué lorsqu'on leurre du matériel (terminaux de paiement électronique) inerte construit par Dassault au prétexte que les matériels et logiciels ont subi des tests de validation par le cartel
Les voitures aussi font l'objet de validation par les services des mines, les crash-tests de voiture constituent ils le délit d' "introduction frauduleuse dans un système automatisé de traitement".
- le tribunal considère que l'élément intentionnel de l'infraction était constitué rien que par le fait de désosser un terminal de paiement et d'en faire le reverse-engineering de logiciels conçus par d'autres (même si ce n'est pas le GIE qui les a conçu) : le tribunal a donc du mal à distinguer l'élément matériel de l'élément moral.
- 10 cartes à puce ont été saisies, 5 étaient programmées et 5 ne l'étaient pas. Quand la police a demandé à Serge Humpich où se trouvaient les 10 cartes à puce ayant servies pour le test dans le métro, Serge a aussitôt expliqué que c'était les 5 qu'il avait déprogrammées pour d'autres usages (pour le jeu d'essai demandé par le GIE Cartes Bancaires, il n'avait que 10 cartes à puce en tout), le tribunal considère sans le motiver ni en discuter que Serge Humpich a voulu ainsi dissimuler sa découverte en déprogrammant 5 cartes à puce.

Extrait du jugement

"Attendu qu’il en est de même en ce qui concerne l’infraction de maintien frauduleux dans le système de traitement automatisé de données ; que cette infraction réside plus spécifiquement dans la recherche pour isoler et identifier l’algorithme de cryptage ; que le caractère frauduleux de ce maintien est sans conteste établi dès lors que Serge Humpich a consacré ses efforts à décrypter une donnée cryptée par le maître du système ;"
Il n'y a rien de "crypté" dans les terminaux de paiement, il y a une clé publique. on passe à la clé privée en la décomposant en facteur premiers. Cela n'a rien à voir avec le décryptage de message.
Il n'y a même pas d'algorithme de cryptage, il n'y a qu'un protocole d'authentification.
Quant à considérer un terminal de paiement électronique lui même, non connecté au réseau comme un système automatisé de traitement. Les gens sont avertis : il ne faut pas démonter son four !
En outre, considérer qu'il y a infraction pour isoler et identifier l'algorithme de "cryptage" alors que cet algorithme figure dans des spécifications a priori publiques (largement diffusées depuis 1985)...

Commentaire approfondi de cette décision judiciaire.

Audience en appel fin 2000

Une courte audience du procès en appel de Serge Humpich eu lieu le 16 octobre 2000 à 13h30 (9ème chambre, section A, Cour d'appel de Paris, 36 quai des orfèvres, Paris 1er).
Comme prévu, le procès en appel de Serge Humpich a été repoussé au 6 décembre 2000.
Cependant, Serge Humpich a renoncé le 27/11/2000 à cet appel.
Le débat ce jour là a donc été limité à quelques minutes et la peine de 10 mois de prison avec sursis a été confirmée.
Il compte sur le livre qui sortira en janvier 2001 sous le titre "Le cerveau bleu" aux Editions Xo pour assurer sa défense.
C'est tout de même dommage car il avait de réelles chances de gagner et d'être relaxé.
Voir ses motivations dans l'Interview accordée à 01 Net

PRINCIPAUX ARTICLES ET REACTIONS SUR LE PROCES

:
Texte de la décision du tribunal correctionnel du 25/02/2000 (appuyez sur le bouton "Yes")
"Peut-on leurrer un ordinateur ?"
"Quel est le crime de Serge Humpich ?"
"Affaire Humpich : le prix du secret des cartes bancaires" au sommaire de cette revue du droit de l'informatique
ARticle avec la décision judiciaire également
Le tombeur de la Carte Bleue condamné : génie incompris ou habile maître chanteur ?
"Serge Humpich, condamné pour l'exemple"
Cet excellent article révèle qu'après le député PC du Rhône qui pose une question écrite au gouvernement pour réclamer un audit de la sécurité des cartes bancaires à puce par des experts indépendants sous le contrôle du parlement.
C'est Christine Boutin (députée UDF) qui alerte le gouvernement. Cette position est relayée par des associations de consommateurs.
Sursis pour Serge Humpich
voir aussi : Dernières nouvelles d'Alsace 25/02/2000, interview de Serge Humpich avant le jugement "Le blues du pirate de la carte bancaire"
Prison avec sursis pour Serge Humpich.
Cet informaticien de 36 ans avait réussi à fabriquer des cartes bancaires utilisables sur tous les terminaux de paiement électronique
Sursis pour le pirate informatique
Le justice ne fait pas crédit au pirate des cartes bancaires
France:prison avec sursis pour le pirate des cartes bancaires
Cartes bancaires : 10 mois de sursis pour Humpich
10 mois de prison avec sursis pour avoir percé le secret des cartes bancaires
Cartes bancaires : Serge Humpich condamné à 10 mois de prison avec sursis
Condamné pour avoir mis en lumière les faiblesses du réseau cartes bancaires
Justice pour Serge Humpich, le libérateur de la carte bancaire !
Rebonds par Pierre Marcelle "Morale en carte"
Bank-cracking ‘smart card’ lands inventor in jail
Compte rendu de l'audience du 21/01/2000 par le journal LEGALnet devant la 13ème chambre du tribunal correctionnel de Paris. Réactions des lecteurs
Humpich, perceur de cartes bancaires
Maîtres Bouvet et François Cornette de Saint Cyr, avocats de Serge Humpich