Cette faille qui fait trembler les banques françaises

Par F.L., le 21 janvier 2010 à 12h15 , mis à jour le 21 janvier 2010 à 17h53

La sécurité des cartes à puce est-elle à revoir ? Un universitaire britannique assure avoir trouvé et exploité une faille. Selon Le Figaro, de grands noms du secteur bancaire sont mobilisés sur des scénarios d'attaques possibles.
TF1/LCI : Cartes bancairesCartes bancaires © TF1/LCI

Branle-bas de combat dans le monde très feutré des banques françaises : plusieurs des grands noms du secteur font, depuis plusieurs jours, plancher leurs spécialistes sur des scénarios possibles de fraude, croit savoir Le Figaro. En cause : ce qui, jusqu'à présent, semblait pour toute la profession le nec plus ultra en matière de sécurité des transactions - la sécurité des cartes à puce. Découverte française, la fameuse puce est considérée comme bien plus sécurisée que la bande magnétique dont sont également équipées les cartes bancaires. Or, voilà qu'un universitaire britannique assure avoir découvert comment contourner les barrières de sécurité. Et il se dit prêt à publier le résultat de ses expériences sur Internet. L'homme a pour nom Ross Anderson, il est chercheur en sécurité informatique, et il s'est intéressé au standard européen EMV (Europay-Mastercard-Visa), qu'utilisent non seulement les banques françaises, mais aussi celles de tous les pays d'Europe.

Plus d'infos

Ce n'est pas la première fois que des chercheurs ou bidouilleurs de génie affirment avoir découvert LA faille qui rendrait caduque la sécurité des cartes bancaires. En témoigne l'affaire Serge Humpich : au cours de l'année 2000, cet informaticien avait été condamné à dix mois de prison avec sursis pour avoir découvert, et tenté de négocier avec le Groupement des Cartes Bancaires, des informations sur une faille de sécurité des CB qui les rendait faciles à falsifier. Plutôt que de traiter le problème discrètement, le Groupement CB avait choisi la voie judiciaire ; le procès, largement médiatisé, avait eu un impact désastreux sur l'image des banques.

Comment utiliser une carte en se passant du code

Dans le même ordre d'idée, en 2005, deux informaticiens, traquant les failles de sécurité de la carte Vitale (également équipée d'une puce), s'étaient attirés les foudres de l'assurance-maladie : Jérôme Crêtaux, ingénieur informaticien travaillant pour un éditeur de logiciels médicaux, avait tout simplement fabriqué une copie de la carte Sesam-Vitale ; copie que l'un de ses amis avait utilisée sans problème chez un médecin et dans une pharmacie. Ceci dans le but de démontrer l'absence de protection des données figurant sur cette carte.

Mais cette fois, la menace est de plus grande ampleur, et il risque d'être difficile pour les banques françaises d'étouffer l'affaire. L'universitaire à l'origine de ce vent de panique dans les banques a en effet déjà prévenu la Financial Services Authority, qui chapeaute le secteur financier au Royaume-Uni, ainsi que la Banque centrale européenne de son intention de dévoiler publiquement le résultat de ses recherches. Des recherches qui lui auraient permis, non pas de "casser" le fameux code des cartes à puce, mais de biaiser la communication entre la puce et le lecteur lors du paiement, permettant ainsi de sauter l'étape du code, comme s'il avait été effectivement tapé par le possesseur de la carte. Transformant ainsi n'importe quelle carte bancaire en "Yescard" en puissance. "C'est un concept de fraude que nous connaissons, sous le nom de man in the middle. La nouveauté est que ce professeur a réussi à le mettre en oeuvre il y a quelques semaines", explique Jean-Marc Bornet, administrateur du Groupement des Cartes Bancaires. Tout en insistant sur le fait que le scénario, pour l'instant, reste "académique".

Mais ce concept que l'on croyait purement théorique, et désormais mis en oeuvre, suiffit à mettre les banques en ébullition. "Le Crédit agricole, le Crédit mutuel, la Banque postale ou encore BNP Paribas sont mobilisés pour prévenir un scénario d'attaque", avoue, sous couvert d'anonymat, un banquier dans les colonnes du Figaro. Gilles Guitton, président du conseil de direction du Groupement des cartes bancaires, veut pour sa part rassurer les clients des banques : "Le porteur de cartes ne subira pas de préjudice, pour autant qu'il soit de bonne foi", affirme-t-il dans le même quotidien. Les spécialistes de la sécurité bancaire soulignent en outre que ce qui est possible dans la quiétude d'un laboratoire ne l'est pas forcément pour un fraudeur en puissance. L'expérience nécessite en effet un matériel volumineux, difficile à utiliser discrètement en magasin. Par ailleurs, le "leurre" grâce auquel le chercheur britannique a pu sauter l'étape du fameux code ne peut fonctionner pour faire des achats sur internet.

Par F.L. le 21 janvier 2010 à 12:15
Envoyer cette page à un ami
Les champs marqués par une étoile * sont obligatoires.
Les derniers articles Économie
  

28 Commentaires

Afficher : Les plus récents | Les plus appréciés

  • lem122, le 22/01/2010 à 08h01

    Yann-87, ne croyez vous pas qu'un particulier, qui achète sa maison 100 000 euros et veut la revendre 5 ans plus tard 150 000 euros, encouragé par les agents immobiliers, ne fabrique pas de l'argent virtuellement? Les subprimes utilisés par les traders ne sont que des outils financiers répondants à une recherche spéculative sur un bien, et aux USA ce fut l'immobilier. Nous somme tous fautifs, banques, propriétaires, agents immobiliers, notaires, états.

  • lamamouche54, le 22/01/2010 à 07h50

    Lol, il trouve la faille, menace d'en donner les clés sur internet, et les médias sont mis au courant, lol, c cool. en fait, il le fait pas pour frauder il le fait comme çà, pour le fun.. c comme les virusman c un défi à l'informatique, mais franchement si ils savent qui est ce monsieur, et ben on a qu'à lui dire de pas faire çà "ou on te met en prison na", moi çà me fait rire ce genre de d'info

  • lecritiqueur, le 21/01/2010 à 23h46

    Il va etre embauché dans banque ,et je l espere,bien rémunéré ! mr Poglio est l exemple .....

  • yann-87, le 21/01/2010 à 22h50

    Les traders ne rapportent pas d'argent, ils en fabriquent virtuellement et c'est bien là le principal problème!

  • libre-arbitre, le 21/01/2010 à 21h50

    Libre à vous de penser ce que vous voulez, libre à moi d'en faire autant. La crise, ce n'est pas "où cela, pas en France", c'est tout simplement "Où cela ?". Et que vous le vouliez ou non, les traders existent bien et rapportent plus d'argent qu'ils n'en coûtent. En diriez vous autant des joueurs de foot (dont je n'ai que faire) ?

  • lem122, le 21/01/2010 à 19h23

    Cette protection existe déja, vous pouvez créer et activer une CB "virtuelle" qui ne servira qu'une fois lors de votre paiement à distance; ainsi vous n'envoyer pas sur le net les references de votre carte "physique", vos données restent protégées car non diffusées.

  • humanoide56, le 21/01/2010 à 17h20

    Une faille dans un gouffre, de toute manière c'est le client le fautif alors tous la main à la poche YOUPI !

  • mr_da, le 21/01/2010 à 15h15

    Sauf que je ne saisirai jamais mon code personnel sur un site web. Il est personnel, et il n'a pas à être stocké (définitivement ou temporairement pour vérification) ailleurs que dans la base ultra-sécurisée du service de ma banque qui s'occupe des cartes.

  • ccily93, le 21/01/2010 à 14h59

    En droit, "la bonne foi est toujours présumée"...du moins en théorie...

  • mauricecg, le 21/01/2010 à 14h57

    Pour libre arbitre Je n'ai que faire de vos pensées sur les traders.Nous ne sommes pas des saxons et n'avons pas besoin de banques axés sur les subprimes,une banque commerciale qui gère prete et place correctement me suffit cher monsieur. Vous êtes comme certains ministres " une crise? ou cela pas en France"

Lire tous les commentaires

       Chargement en cours...
      • Le grand quiz de l'info
      Alertez-nous
        alertez-nous

        Témoin d'un événement ?

        Alertez la rédaction !

        Envoyez une alerte

        Nous recommandons
        logAudience