Bataille autour de votre compte en banque

Par Franck Lefebvre-Billiez, le 09 janvier 2007 à 06h45 , mis à jour le 20 novembre 2009 à 11h47

Enquête - Les bases de données constituées aux Etats-Unis pour se protéger du terrorisme pourraient se retourner contre leurs créateurs.

Gros plan sur la puce d'une Carte bancaire

"ATS", pour Automated Targeting System : trois lettres qui hérissent les Européens. Trois lettres qui peuvent mettre en danger les comptes en banque de millions de voyageurs... Au lendemain des attentats du 11-Septembre, les Américains créent un vaste programme de contrôle de données concernant les passagers de vols à destination ou depuis les Etats-Unis. Au bout d'un long bras de fer, l'UE finit par leur reconnaître un droit de regard sur les données personnelles recueillies par les compagnies aériennes. Au nombre de 34, elles vont du nom du voyageur à son adresse en passant par son numéro de carte bancaire. Ce sont les données passagers.

Jusqu'à 1.100 agences bancaires de moins d'ici 2012

Jusqu'à 1.100 agences bancaires de moins d'ici 2012
La forte croissance des banques en ligne, la concentration accrue des établissements bancaires et la recherche de baisses des coûts pourraient justifier ces fermetures selon le cabinet de management qui publie une étude sur le sujet.
Publié le 08/12/2009

Plus d'infos

Un accord transitoire signé en octobre dernier encadre les conditions dans lesquelles ces informations peuvent être collectées par le ministère américain de la Sécurité intérieure. Pourtant, en novembre, les autorités américaines rendent publique l'existence d'une base de données - en réalité déjà en place depuis plusieurs années - établissant automatiquement des "profils de risque terroriste" des passagers : l'ATS. Base dans laquelle les données passagers sont réutilisées.

L'Union Européenne désarmée

Coup de tonnerre à Bruxelles où l'on argue que l'accord d'octobre ne fait nulle mention de cette fameuse base, et comporte des assurances en matière de protection des données qui se retrouvent vidées de leur sens. Plainte ignorée par Washington : ces engagements n'ont été mentionnés qu'en annexe et sont sans réelle valeur légale.

"Il y a eu un débat difficile en décembre à ce propos, à Strasbourg, avec la Commission européenne et le Conseil", témoigne à LCI.fr Maria Andres Marin pour le Parlement européen. "Le commissaire Frattini, chargé de la Justice et des Affaires intérieures, a réclamé par lettre des informations sur la sécurité des données". L'émoi est d'autant plus vif côté européen que, par ces transferts successifs de base de données à base de données, ces informations sensibles deviennent consultables par d'autres agents fédéraux, les autorités des Etats fédérés, les autorités locales... Pire, une association américaine spécialisée dans la défense des données personnelles, l'Electronic Frontier Foundation, assure que la base ATS est d'ores et déjà accessible à un grand nombre "d'entreprises, experts, consultants, étudiants, et autres". Et, en effet, ce type de partage est officiellement prévu.

Les possibilités ignorées d'ATS

De là à imaginer que ces informations sensibles pourraient devenir dangereuses si des personnes mal intentionnées y accédaient, il y a un pas que le secteur bancaire... se refuse à franchir. Les professionnels mettant en avant la fiabilité des réseaux et le fait que les données qu'ils transportent ne sont pas utilisables en l'état. Quand un Européen effectue une transaction par carte aux Etats-Unis, l'information est transmise à sa banque par un réseau international géré par Visa ou Mastercard.

Mastercard semble ignorer les possibilités d'ATS et jure "qu'aucune base au monde ne contient à la fois le numéro de la carte, la date de fin de validité et le code de sécurité". "Nous-mêmes, au niveau des réseaux internationaux, nous ne pouvons pas associer un numéro de carte avec le nom de son titulaire", insiste-t-on. Plus conscient du problème, mais guère plus angoissé, Paul Trescases, directeur de la sécurité du Groupement Cartes Bancaires, qui gère le système interbancaire de paiement par carte en France, met aussi en avant la solidité des réseaux.

Des millions de voyageurs concernés

David Naccache, spécialiste en cryptologie, professeur à l'Université Paris II et membre du laboratoire informatique de l'Ecole normale supérieure, a une tout autre opinion. "Avec une base de données comprenant un très grand nombre de numéros de cartes bancaires, sans code de sécurité et sans date de fin de validité, je peux construire un système automatisé pour faire des transactions sur n'importe quel site de commerce en ligne, en essayant de 'deviner' les informations manquantes. D'après un premier calcul, avec un million de numéros, au moins 670 attaques passeront à travers le crible. Ce qui nous donne, en prenant une moyenne de 1000 dollars par transaction, un gain de 670 000 dollars pour une telle fraude".

Et comment trouver un million de numéros de cartes bancaires associées à un nom ? Grâce à l'ATS, bien sûr. Dès 2003, le groupe de travail sur la protection des données personnelles de la Commission européenne, baptisé "groupe article 29", évaluait à "au moins 10-11 millions de personnes" les voyageurs concernés chaque année par les demandes américaines de transmission de données.

Une question de droit... et de sécurité

Pour le professeur français, qui a étudié plusieurs hypothèses d'attaques, il y a potentiellement plus dévastateur que la fraude. En prenant en compte que nombre de voyageurs sont des hommes d'affaires, "un groupe terroriste peut espérer bloquer du jour au lendemain les comptes et les cartes d'une foule de décideurs, en lançant volontairement un flot de transactions suspectes qui seront rejetées par les systèmes de sécurité", décrit-il. A l'en croire, une telle attaque, capable de paralyser l'économie d'un pays, ne nécessiterait qu'une infrastructure très réduite, puisqu'elle pourrait être réalisée "à partir de quelques PC".

Aujourd'hui, l'accord d'octobre entre l'UE et les Etats-Unis est unanimement dénoncé par le Parlement européen, ainsi que par le "groupe article 29", qui rassemble la Cnil française (Commission nationale de l'informatique et des libertés) et tous ses équivalents au sein de l'UE. Interrogé par LCI.fr, Georges de La Loyère, chargé des affaires internationales à la Cnil et représentant français au sein du "groupe article 29", fulmine : "c'est radicalement contraire à l'article 108 de la Convention européenne : toute base de données doit être transmise à une autorité précise dans un but bien déterminé". Une question de droit, une question de principe, mais aussi et avant tout une question de sécurité...

Par Franck Lefebvre-Billiez le 09 janvier 2007 à 06:45

Ecrire un commentaire

Envoyer cette page à un ami

Les champs marqués par une étoile * sont obligatoires.

Les derniers articles Économie

20 Commentaires

Afficher : Les plus récents | Les plus appréciés

Vera, le 11/01/2007 à 07h48
J'achete toujours mes billets aupres d'agence de voyage et paie par cheque ou cash (inconvenient: cela ne permet pas de disposer de l'assurance lie au paiement Visa). Il est grave que quelques personnes non elues directement par les Europeens decident des interets du plus grand nombre alors que le parlement Europeen, constitue de deputes elus, avait deja refere un accord similaire a la cours de justice europeenne. Je me demande vraiment pourquoi ces personnes signent des accords de cette importance sans en referer a la cours de justice. Se croient-ils au dessus des lois? Il faudrait se pencher sur ce systeme qui m'a l'air bien bancal. Sinon, Les banques peuvent deja tracer les proprietaires des cartes. Il m'est arrive que la banque bloque ma carte visa suite a des activites etranges et m'appelle pour m'informer que quelqu'un essayait d'utiliser mon numero de carte.
Bever58, le 10/01/2007 à 09h26
A Roger de Sète: je n'ai rien à me reprocher mais je cache mon numéro de carte bleue !
José, le 09/01/2007 à 20h08
Et bien je pense que je ne mettrais jamais les pieds aux usa....Et c'est pas plus mal, car il y a d'autres endroits bien plus acceuillants et mieux lotis je pense....Quant aux américains qui viennent chez nous, il faut les acceuillir, mais avec les memes problemes que nous aurions pour aller chez eux......
Michel, le 09/01/2007 à 16h57
Pourquoi n'avoir pas tout simplement dit non à la demande américaine initiale? Une fois de plus les administraions européennes se sont fait avoir par l'administation américaine Quand à la protection des données aux Etats Unis tout le monde sait que ça n'existe pas depuis longtemps
Vastre, le 09/01/2007 à 16h45
Chers internautes, j'ai lu vos interventions. Elles sont toutes perinentes et vous avez tous raison. Il nous faut donc faire alliance pour imposer notre cyber-volonté : "internautes de tous les pays, unissez-vous ..... "
Cyril, le 09/01/2007 à 16h11
Roger, rien n'est figé dans ce monde, pas même les lois. Qui sait ce qui sera interdit ou autorisé demain ? Ce genre de fichier permet bien des choses entre les mains d'un pouvoir politique ou économique. L'argument "quand on a rien à reprocher, etc" ne vaut rien.
Roger, le 09/01/2007 à 13h05
Je ne vois vraiment pas ou est le problème, quand on a rien à se reprocher on a rien à cacher.
Gerald, le 09/01/2007 à 12h00
Voici pourquoi, malgré mes sympathies pour le peuple américain ( à ne pas confondre avec Bush), je ne vais plus aux USA depuis 2001.
Paul, le 09/01/2007 à 11h46
Le gouvernement est complètement parano,il le prouve avec toutes leurs mesures de sécurité bidon.Messieur la peur n'évite pas le danger
Christophe, le 09/01/2007 à 11h30
Et dire que chez nous, la CNIL nous empêche de créer des fichiers pour nos services de police alors que les américains ont l'accord de l'union européenne pour obtenir toutes les informations nous concernant ... quand on dit qu'ils sont les maitres du monde et nous la dernière roue de la charette en EUROPE ...