La carte à puce est-elle fiable ou non ? Depuis plus d’une semaine, les critiques se succèdent pour dénoncer la vulnérabilité des cartes bancaires. Ainsi, le général Desvignes, porte-parole du Service central de la sécurité des systèmes d’information (SCSSI), considère que même des moyens modestes permettent désormais d’en révéler certaines failles (voir édition du 9 mars 2000). A plusieurs reprises dans la presse quotidienne nationale, les choix du Groupement des cartes bancaires (concernant par exemple l’identification avec un code porteur comprenant seulement quatre chiffres) ont été remis en cause, devant notamment les capacités de calcul des ordinateurs actuels.
En même temps, la publication sur le forum de discussion « fr.misc.cryptologie » de plusieurs éléments d’un algorithme de déchiffrement intervenant dans la protection des cartes bancaires a ébranlé la confiance dans les cartes de paiement.
Pour Roland Moreno, l’inventeur de la carte à puce, le véritable coupable n’est pas la carte mais plutôt les choix techniques retenus pour chiffrer les informations liées au détenteur de la carte. Le fondateur d’Innovatron a donc décidé de lancer un surprenant concours pour prouver l’invulnérabilité du support électronique.
Décrit en quelques lignes dans un document déposé chez un notaire, son « concours » récompensera d’un million de francs toute personne (ingénieur, étudiant, amateur) capable d’écrire ou lire au moins 1 bit d’information sur les zones protégées d’une carte téléphonique ou d’une carte bancaire. En effet, les cartes bancaires recèlent une zone où sont stockées plusieurs informations liées au détenteur (relevé d’identité bancaire, numéro de carte). Dans les cartes téléphoniques, c’est une zone verrouillée de 96 bits qui permet à l’opérateur télécom de vérifier le numéro d’identification de la carte, histoire de s’assurer qu’elle n’appartient pas à un lot volé ou défectueux. En principe, personne ne peut lire ni modifier ces informations.
L’un des enjeux est bien de parvenir à retrouver le code secret à quatre chiffres d’une carte, à partir des informations extraites dans sa zone protégée. A l’intention des volontaires, Roland Moreno met à disposition ses laboratoires pendant un mois mais exclut toute intervention n’utilisant pas un PC ou un logiciel. « Le concours interdit de faire chauffer ou fondre la carte, d’utiliser des réactions chimiques ou un quelconque effet radioélectrique », précise l’inventeur.
S’agit-il de rééditer l’exploit de Serge Humpich ? En fait, c’est aller beaucoup plus loin. En effet, l’informaticien indépendant s’est contenté de leurrer des bornes de distribution de tickets de métro en fabriquant une fausse carte magnétique. Selon Roland Moreno, il n’a a aucun moment réussi à pénétrer dans l’électronique de la puce qui équipe les cartes. Mais les amateurs prêts à relever le défi réfléchiront sans doute à deux fois : bien que le contexte soit différent, Serge Humpich a été condamné à 10 mois de prison avec sursis après avoir démontré la vulnérabilité de la chaîne de paiement par carte.
La puce serait-elle un dernier rempart plus robuste ? Cette technologie équipe aujourd’hui 150 millions de cartes bancaires dans le monde entier (dont 30 millions en France). Pourtant, son rôle est limité. Ainsi, les distributeurs automatiques de billets fonctionnent en lisant seulement la bande magnétique noire. « Il suffit de placer un bout de scotch sur la puce pour se rendre compte qu’elle n’intervient pas », assène Roland Moreno. Et les touristes vous le confirmeraient, la plupart des cartes bancaires à l’étranger sont démunies de puce. En France, celle-ci ne jouerait un rôle déterminant qu’avec les terminaux de paiement des commerçants, en validant l’identité du porteur de la carte grâce au code à quatre chiffres. Difficile donc de démêler le primordial de l’accessoire. Le Groupement des cartes bancaires devrait bientôt faire connaître son point de vue pour clarifier une situation qui devient pour le moins confuse…
Pour en savoir plus :
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…