Vent de panique sur la Carte bleue. Le 25 février dernier, un pirate est condamné à dix mois de prison avec sursis pour avoir acheté des tickets de métro avec une carte à puce falsifiée. Les associations de consommateurs se plaignent alors d'une nette augmentation de la fraude. Le " Monsieur sécurité " de l'Etat en personne, le général Desvignes, dénonce la vulnérabilité du système des cartes bancaires. Puis, à leur tour, les assureurs demandent un audit de sécurité avant de prolonger le contrat couvrant les risques liés à l'utilisation de la Carte bleue. Et le Groupement des cartes bancaires (GIE Cartes bancaires), qui gère le réseau et fédère 175 banques, n'en finit plus d'essuyer les critiques. Bref, il y a panique dans la maison Carte bleue. Serge Humpich met le feu aux poudres Comment en est-on arrivé là ? Le point de départ de l'affaire se situe en 1998, quand Serge Humpich, un ingénieur informaticien désormais célèbre, réussit à programmer une carte à puce avec laquelle il achète dix carnets de tickets de métro sur des automates de la RATP. Sa carte prend en défaut les terminaux qui ne se connectent pas auprès des banques pour vérifier le compte du porteur. Une fraude impossible pour les achats de plus de 600 francs chez les commerçants et pour les terminaux en ligne, comme les distributeurs d'argent. Une fraude également limitée dans le temps. Car, chaque soir, le centre de paiement contrôle les transactions de la journée. Si une carte a effectué un débit ne correspondant à aucun compte, son numéro est mis sur la liste des oppositions, qui est téléchargée tous les jours dans les terminaux de paiement. Il n'empêche. Même si elle a une portée limitée, cette fraude impressionne. Par quels moyens Serge Humpich est-il parvenu à tromper la puce des cartes bancaires, réputée inviolable ? L'enquête révèle qu'il a créé de fausses signatures numériques. Pour permettre l'authentification des cartes, le GIE Cartes bancaires définit en effet pour chaque carte une signature unique. Cryptée, elle est stockée sur 320 bits en binaire (soit environ 96 chiffres en base dix) et contient d'autre part des informations écrites en clair sur la puce (le numéro de la carte, la date d'expiration et le nom du porteur). Pour vérifier l'authenticité de la carte, les terminaux de paiement doivent décrypter cette signature. Le résultat obtenu après décodage doit correspondre aux autres informations écrites en clair sur la carte. L'opération demandée est alors validée (achat, retrait de billets, etc.). Mais créer une fausse signature est loin d'être évident : le principe mathématique utilisé rend la fonction de cryptage impossible à trouver sans une puissance de calcul énorme qui a longtemps été hors de portée des pirates les mieux équipés. Même en connaissant la fonction de décryptage (qui peut s'obtenir en " auscultant " un lecteur de carte à puce), on ne peut la retrouver et donc fabriquer de fausses signatures. Une clé rattrapée par la puissance des machines Alors pourquoi Serge Humpich y est-il parvenu ? " Tout simplement parce que la longueur de la clé n'était plus suffisante ", explique François Grieu, directeur technique d'Innovatron, la société fondée par Roland Moreno, l'inventeur de la carte à puce. " Cette faiblesse avait été publiquement signalée dès 1988 par le cryptologue Louis Guillou, poursuit François Grieu. Aujourd'hui, il existe des logiciels dans le domaine public (accessibles par tous gratuitement) capables de casser des clés de cette longueur avec de simples micro-ordinateurs. " Mais le GIE Cartes bancaires n'a pas tenu compte de cette montée en puissance des machines. Et Serge Humpich en a profité pour prendre en défaut un codage inscrit en clair dans les cartes à puce. Actuellement, les deux tiers des cartes en circulation utilisent encore cette clé, même si, depuis septembre 1999, le GIE Cartes bancaires a commencé à remplacer les cartes par des cartes à clé allongées à 768 bits. " Une longueur qui devrait pouvoir résister jusqu'en 2007 ", selon François Grieu. La petite fuite découverte par Serge Humpich devrait donc être complètement colmatée d'ici à la fin de 2001. En attendant, les pirates n'ont même plus besoin de recalculer la clé trouvée par Serge Humpich, car elle a été publiée sur des forums Internet avec quantité d'explications théoriques sur le fonctionnement de l'algorithme de cryptage baptisé RSA, du nom de ses inventeurs (Rivest, Shamir et Adleman). Heureusement, la puce reste difficile à copier Risque-t-on une déferlante de fausses cartes dans les semaines à venir ? Certainement pas. La compétence nécessaire à la mise au point de fausses cartes à puce va bien au-delà de la connaissance des informations théoriques. Dans ce registre, la puce, présente sur toutes les cartes bancaires en France depuis 1992, offre un niveau de sécurité inégalé, largement supérieur à la piste magnétique qu'on trouve sur les cartes étrangères - et qui figure aussi, pour des raisons de compatibilité, sur notre Carte bleue (voir infographie ci-contre). " La puce est un coffre-fort impossible à forcer et très difficile à copier, dont la production ne coûte que 1 à 2 euros par unité ", affirme François Grieu. Les cartes bancaires à puce utilisent en effet fréquences, voltages, et autres caractéristiques physiques très précises, qui rendent difficile la copie. Il faut savoir imiter parfaitement les spécifications de communication de la carte. La plupart des modèles en circulation utilisent un masque dit B0. Ce " plan " a toujours été gardé secret. Certes, il a été choisi il y a maintenant quinze ans, et les pirates les plus compétents ont eu le temps de recréer par un travail de " réingénierie " (reverse engineering) des masques identiques, mais cela demande des moyens importants pour - on l'a vu - une fraude très limitée. Pour les experts, la carte bancaire à microprocesseur mise au point par Michel Ugon, chercheur chez Bull - après l'invention de la carte à puce par Roland Moreno -, demeure la technologie de paiement électronique la plus sûre. D'ailleurs, pour montrer que ce n'était pas son invention qui était en cause, Roland Moreno, toujours P-DG d'Innovatron, a lancé un défi. Sa société offre 1 million de francs à quiconque parviendra à lire le code secret inscrit dans la puce à partir de moyens logiques. " Ce n'est pas parce que les pirates ont compris comment fonctionnait le codage d'une information écrite en clair sur la carte qu'ils sont capables de lire les informations confidentielles, comme le code secret qui est inscrit dans la puce ", explique François Grieu. Si, sur un plan technologique, la carte à puce n'a pas perdu sa suprématie en matière de sécurité, alors pourquoi l'affaire a-t-elle soulevé une telle polémique ? La confiance a été rompue Devenue un objet du quotidien, utilisée pour retirer de l'argent, acheter chez les commerçants, payer aux péages des autoroutes, téléphoner dans les publiphones, etc., la carte bancaire a su se faire oublier au fond de nos poches. La découverte d'une faille a créé beaucoup d'émoi chez les usagers à qui on avait martelé qu'elle était inviolable. Surtout, après les déclarations du général Desvignes, relayées par toute la presse française. " Depuis longtemps, la vulnérabilité des cartes à puce est connue, car le mécanisme de sécurité utilisé dans les cartes date de plus de dix ans ", avait-il déclaré au début de mars en inaugurant le Cesti, Centre d'évaluation de la sécurité des technologies de l'information, de Grenoble (voir encadré ci-contre), alors qu'il était encore chef du Service central de la sécurité des systèmes d'information (SCSSI). Quelques semaines plus tard, c'était au tour du GIE Cartes bancaires de reconnaître, poussé par les associations de consommateurs, que le taux de fraude lié à l'utilisation de la Carte bleue - qui ne concerne pas que la carte à puce - était en nette augmentation (voir encadré page 63). " Les fraudeurs ont diversifié leurs arnaques et profitent des faiblesses de la piste magnétique et de la montée en puissance du commerce électronique sur Internet. La carte à puce reste de loin le moyen de paiement le plus sûr au monde, avec un taux de fraude de 0,02 % ", expliquait alors Hervé de Lacotte, porte-parole du groupement. Internet, à la source d'une réclamation sur deux " Le système bancaire n'offre plus les garanties annoncées par le GIE ", affirme quant à lui Charles Reguardati, de l'Association Force ouvrière des commerçants (Afoc), qui a publié des chiffres de fraude dix-sept fois supérieurs à ceux avancés par le GIE Cartes bancaires. Ce n'est pas la carte à puce que l'Afoc met en cause, mais bien le réseau du système bancaire français dans son ensemble, qui intègre les distributeurs, les cartes, les terminaux de paiement. Alors que le GIE insiste sur le niveau de sécurité de la carte, il s'avère en effet que plus d'un distributeur d'argent sur deux n'utilise que la piste magnétique, sachant qu'un tiers de ces lecteurs sont équipés d'une puce mais ne la sollicitent pas. Or, de l'aveu même du GIE Cartes bancaires, la carte à piste présente un taux de fraude de 0,5 %, vingt-cinq fois supérieur à celui enregistré avec la puce. " A l'heure où les fraudeurs se structurent en entités parfaitement organisées, il faut renforcer cette faiblesse tout en laissant la possibilité aux porteurs étrangers d'utiliser leurs cartes dans nos distributeurs ", explique François Grieu. Ce devrait être le cas d'ici à la fin de l'année, selon le Groupement. Autre raison à la montée de la fraude qui a été mise en lumière ces dernières semaines, le développement d'Internet et la multiplication des arnaques à la facturette. Selon le GIE, une plainte sur deux proviendrait d'une transaction effectuée sur Internet sans qu'on connaisse exactement le taux de fraude des achats effectués en ligne (les chiffres les plus fantaisistes circulent, allant de 5 à 50 % de fraude !). Dès la fin de l'année, ce problème devrait s'atténuer, car le GIE s'emploie à supprimer ces informations des facturettes (voir encadré page 65). En attendant, le montant réel de la fraude préoccupe. A tel point que les assureurs du groupement Cartes bancaires ont refusé de renouveler pour un an le contrat couvrant les risques liés à l'utilisation des cartes de paiement. Ils ne l'ont pour l'instant prolongé que de quarante-cinq jours, le temps de réaliser un audit sur la sécurité du système. Le GIE a ainsi jusqu'au 15 mai pour convaincre de la sûreté de son système bancaire. Le groupement va devoir travailler dans l'urgence pour rassurer tout le monde et justifier ses choix le plus rapidement possible. L'affaire des cartes bancaires ne fait que commencer. " La faille découverte par Serge Humpich a créé un électrochoc médiatique qui a permis de mettre en lumière les failles du système bancaire français, et c'est une bonne chose ", confie François Grieu. Réunis à Lisbonne, les acteurs européens du marché (Bull, Gemplus, Innovatron, Schlumberger, etc.) viennent de créer un groupe de travail pour déterminer l'avenir de la carte à puce. La priorité : le renforcement de la sécurité. Ne serait-il pas dommage, en effet, de voir cette technologie française mise au banc des accusés, au moment où elle commence à s'imposer dans d'autres pays ? Ainsi, les Anglais, qui utilisaient jusqu'à présent la piste magnétique, commencent à adopter la carte à puce. Ils ont choisi la norme EMV, mise au point par Eurocard Mastercard et Visa. " Cette norme offre une sécurité inégalée, affirme François Grieu. Elle prévoit d'effectuer des authentifications dynamiques, c'est-à-dire que la signature de la carte change à chaque authentification, par exemple en fonction de l'heure. " Un choix que la France aurait intérêt à imiter rapidement. " Le GIE Cartes bancaires a prévu d'adopter ce standard, mais pas avant 2003, car il fallait d'abord tenir compte de l'existant ", explique Hervé de Lacotte, du GIE Cartes bancaires. En attendant, il faudra plus que jamais sensibiliser les usagers pour qu'ils surveillent de près leur Carte bleue. Et, peut-être, généraliser les appareils mis au point par des sociétés comme Lexibook ou Xiring, et qui permettent de suivre au jour le jour les transactions effectuées avec une carte bancaire. Aux dernières nouvelles, leurs ventes seraient en forte hausse. La fraude en nette augmentation Pour la première fois depuis la généralisation de la carte bancaire à puce en 1992, le taux de fraude reconnu par les banques est en hausse : il est passé de 0,018 % en 1998 à 0,04 % en 1999. Son montant est évalué à 600 millions de francs pour 1 406 milliards de francs de transactions effectuées par carte, en 1999, par des Français ou des étrangers en France et par des Français à l'étranger. Le 6 avril, après une longue polémique, le GIE Cartes bancaires a avoué que le chiffre de 178 millions de francs avancé depuis plusieurs semaines, avec un taux de fraude de 0,02 %, n'englobait pas toutes les fraudes répertoriées. Il ne représente en fait que la fraude liée aux porteurs français utilisant leur carte chez des commerçants français. On peut y ajouter 220 millions retirés frauduleusement chez les commerçants français par des porteurs étrangers, 141 millions retirés frauduleusement à l'étranger par des porteurs français, ainsi que 61 millions extorqués aux distributeurs de billets français. Le montant des fraudes liées à Internet - qui représentent selon le groupement une fraude sur deux - n'est pas évalué. Enfin, seules les fraudes remboursées par les banques sont comptabilisées. Des cartes à puce labellisées La sécurité des cartes à puce est évaluée par une instance internationale baptisée Itsec (Information Technology Security Evaluation Criteria), qui s'occupe aussi de tous les produits informatiques. Créée en 1990 par plusieurs pays européens, dont la France, cette structure a défini des critères d'évaluation qui sont reconnus dans le monde entier. Les labels Itsec s'expriment sur une échelle correspondant à des niveaux de confiance croissants, qui vont de E0 à E6. Ils s'appliquent aux matériels, aux logiciels et à leur interaction complexe. La norme, officiellement adoptée par l'Europe et l'Australie, sert notamment pour les appels d'offres internationaux. Les pays membres ont leurs propres centres d'évaluation. En France, ce sont les Cesti (Centres d'évaluation de la sécurité des technologies de l'information) qui mènent à bien les évaluations. Introduite en 1992, la carte à puce à masque B0 a ainsi été certifiée E3 en 1996, un niveau jugé élevé pour un produit commercial. Il existe depuis des produits plus sûrs. En septembre 1999, une carte à puce mise au point par Mondex International, une filiale de Mastercard, a été certifiée E6. La plus forte certification attribuée jusque-là à un produit non militaire était E4. Une accélération des mesures de sécurisation Depuis l'affaire Serge Humpich, le GIE Cartes bancaires a investi 300 millions de francs supplémentaires pour accélérer la rénovation du système Carte bleue. Le groupement a ainsi annoncé des modifications de configuration des matériels en place d'ici à la fin de l'année. Les 32 500 distributeurs d'argent, dont plus de la moitié n'utilisent actuellement que la piste magnétique, vont être modifiés pour solliciter la puce (un tiers sont déjà capables de le faire) et pour ne plus imprimer le numéro et la date d'expiration des cartes sur les facturettes. Cette mesure a été récemment étendue aux 590 000 terminaux de paiement des commerçants. 100 000 de ces lecteurs, trop vieux, devront être remplacés par des neufs (400 francs pièce). Les 490 000 restants seront mis à jour par logiciel. D'autre part, le programme CB5, lancé en septembre 1999, devrait être accéléré. Il prévoit le renouvellement des cartes et des lecteurs pour assurer le passage à l'euro et renforcer la sécurité. Les cartes à masque B0 sont progressivement remplacées par des cartes à masque B0 à sécurité renforcée (clé allongée à 768 bits). Un tiers des 35 millions de cartes en circulation aurait déjà été changé. Selon le GIE, d'ici à la fin de 2001, tout le parc devrait être compatible CB5. Le hit-parade des fraudes Depuis toujours, les fraudeurs tentent d'exploiter les moyens de paiement mis en place par les banques. Les faux-monnayeurs modernes ont ainsi mis au point des dizaines d'arnaques. En voici cinq plus ou moins raffinées. La fausse carte à puce sans code (Yescard) Très complexe à réaliser, ce genre de carte fonctionne pour des petits montants (chez les commerçants, dans le métro, etc.) avec n'importe quel code secret, mais seulement pendant une journée (le lendemain, elle est théoriquement en opposition). La fausse carte à piste magnétique Facile à copier, la piste magnétique contient le numéro, la date d'expiration et le nom d'un usager existant. Le fraudeur doit aussi s'être procuré le code secret (vu au distributeur, enregistré via un lecteur trafiqué, etc.). L'arnaque à la facturette Les renseignements inscrits sur les facturettes suffisent aux escrocs pour acheter à distance aux dépens d'un usager (e-commerce, VPC, recharge d'un mobile, etc.). L'interception des numéros communiqués sur Internet Un autre moyen de récupérer les coordonnées bancaires d'un porteur consiste à pirater les fichiers informatiques des sites de commerce électronique. Le collet marseillais Ce morceau de plastique noir posé par un " dabiste " (du sigle DAB, distributeur automatique de billets) bloque la carte dans un distributeur. L'usager croit que la carte a été avalée et le " dabiste " lui conseille de ressaisir son code. Quand l'usager se résigne, le " dabiste " récupère la carte dont il connaît potentiellement le code. Il s'agit là d'un vol avec ruse et récupération du code.
![[WEBINAR] SCC VMware - Quand migrer dans le cloud devient un jeu d’enfant](/mediatheque/9/6/1/000932169_104x65_c.jpg)
