Les cartes
bancaires ne seraient-elles plus très fiables ?
Par Jerome Thorel
L'inventeur de la puce défend la sécurité
des cartes bancaires.
Alors que la sécurité des cartes à puce est de plus en
plus contestée suite au procès Humpich, Roland Moreno,
leur inventeur, vole au secours des banques et offre une
récompense à quiconque violera le secret d'une carte
bancaire prise au hasard. Interrogé sur Europe 1 le 11
mars, Roland Moreno s'est dit prêt à offrir « un
million de francs à quiconque saurait lire le code
confidentiel d'une carte bancaire », sous certaines
conditions, bien évidemment. Il persiste : le « code
secret d'une carte [trouvée] par terre » est toujours
inviolable.
La condamnation d'Humpich, preuve des failles de
sécurité des cartes à puce ?
Le Groupement des cartes bancaires (GIE CB), qui représente
les intérêts de 175 banques françaises, est sous les
feux de la rampe depuis de longues semaines. Le procès
de Serge Humpich, un informaticien à l'origine des premières
révélations sur les cartes bancaires, s'est terminé le
25 février avec une condamnation de l'intéressé à 10
mois de prison avec sursis. Son crime : avoir prouvé qu'une
carte à puce pouvait être "falsifiable", au
point de pouvoir acheter des tickets de métro dans un
distributeur automatique de la RATP avec une carte qu'il
avait lui-même fabriquée. Peu avant ce verdict, les
forums de discussions français crépitaient suite à la
publication de nouveaux éléments touchant la sécurité
des cartes. Les amis de Serge Humpich (qui ont monté un
site : http://humpich.com ) multiplient les "révélations"
( http://parodie.com/humpich/home.htm ) censées donner
la migraine au GIE en particulier et à l'establishment
bancaire en général.
Divulgation de documents inquiétants
Une « taupe anonyme de la Banque de France » a ainsi
divulgué aux responsables de ce site une série de
documents. Une lettre signée de la Banque de France le
14 janvier somme le GIE de trouver au plus vite « un
dispositif sécuritaire plus sûr », ce qui ne serait
pas envisageable avant 2003. Sur ce site également, un
compte rendu du dernier comité de direction du GIE, en
date du 3 mars dernier, divulgue, entre autres détails,
la stratégie de communication à adopter, soit, en clair,
les réponses type à fournir aux journalistes. Mais le
plus sérieux revers est venu du Fort d'Issy-les-Moulineaux,
siège du SCSSI, gardien du temple français en matière
de sécurité et de chiffrement. « Depuis longtemps, la
vulnérabilité des cartes à puce est connue », a
indiqué, selon l'AFP, le général Jean-Louis Desvignes,
chef du Service central de la sécurité des systèmes d'information
lors d'une allocution à Grenoble le 8 mars dernier. «
Le mécanisme de sécurité utilisé dans ces cartes date
de 10 à 14 ans. La carte à puce a bénéficié d'une réputation
d'inviolabilité qui a écarté les attaques mafieuses,
mais la technologie de ces cartes devient relativement
accessible, et avec des moyens relativement modestes, on
peut les attaquer », a-t-il conclu en évoquant l'affaire
Humpich.
Enfin, ces derniers temps, le consortium Cyber-Comm, en
relation directe avec le GIE-CB, cherche à rencontrer
activement les journalistes pour les rassurer. Cyber-Comm
doit, en effet, dévoiler le 18 avril son système de
paiement sur l'internet, dont la sécurité repose sur
les mêmes fondamentaux que ceux dénoncés. Les événements
en cours font office de bien mauvaise publicité pour l'establishment
bancaire désirant faire ses preuves dans l'eldorado du
commerce en ligne. « Ce n'est pas parce que l'on peut
briser [un] verrou que l'on peut ouvrir la porte », répondait
à tout cela Hervé de Lacotte, le porte-parole du GIE CB
dans le Monde daté du 11 mars.
NEWSLETTER de ZDNet FRANCE : edition du
14 mars 2000
|