Les cartes bancaires sont-elles falsifiables ?

Après que Serge Humpich a révélé une faille de sécurité dans le paiement par carte bancaire, on commence maintenant à remettre en cause l’inviolabilité présumée des cartes à puces. Même du côté officiel, le Service central de la sécurité des systèmes d’information condamne la faiblesse du système actuel.

Peut-on copier votre carte bancaire ? Votre code personnel à quatre chiffres sera-t-il bientôt mis à la portée de n’importe quel hacker ? Ces questions sont d’autant plus d’actualité qu’après la prise de conscience suscitée par l’affaire Humpich, le très officiel Service central de la sécurité des systèmes d’information (SCSSI) reconnaît que les cartes à puce sont loin d’être sûres. Lors de l’inauguration à Grenoble d’un centre d’évaluation de la sécurité des technologies de l’information (Cesti), le général Desvignes, porte-parole du SCSSI, a expliqué : « la carte à puce a bénéficié d’une réputation d’inviolabilité qui a écarté les attaques mafieuses, mais la technologie de ces cartes devient relativement accessible, et, avec des moyens modestes, on peut les attaquer ».

Considérant que le « mécanisme de sécurité utilisé » est âgé de 10 à 14 ans, le général Desvignes plaide pour un renforcement des fonctions de chiffrement. Ce qui devrait se solder, selon l’AFP, par la mise à jour de millions de cartes et de lecteurs…

Qu’en est-il vraiment ? Si l’on en croit certains experts, il n’est pas encore possible de falsifier l’intégralité d’une carte. Certes, l’informaticien Serge Humpich a réussi à mettre au point une carte à puce programmable capable de tromper les distributeurs de billets du métro. Poursuivi en justice par le Groupement des cartes bancaires et condamné (malgré un large soutien) à 10 mois de prison avec sursis, Serge Humpich a exploité une faille valable uniquement en circuit fermé. Autrement dit, le système de paiement n’est trompé que lorsqu’il s’agit d’une borne ou d’un lecteur chez un commerçant, lesquels ne sont pas reliés à un serveur central bancaire.

La trouvaille de Serge Humpich ne fonctionnerait donc pas avec les distributeurs automatiques de billets, reliés à un réseau de banques. Si bien que la faille est presque balayée du revers de la main chez Cyber-comm par exemple, qui défend un projet de paiement électronique à domicile. « Nous sommes très sereins », défend Hervé Sitruk, directeur général de la filiale de BNP-Paribas. Le projet Cyber-comm encourage la diffusion de lecteurs de cartes associés à une connexion sécurisée pour faire ses achats en ligne. Selon Hervé Sitruk, le passage à une connexion en réseau fait intervenir plus d’une dizaine de fonctions de sécurité qui sont, à sa connaissance, pour l’instant hors de portée des hackers.

Reste qu’en début de semaine, des éléments publiés sur le forum de discussion fr.misc.cryptologie ont alimenté les doutes sur la fiabilité des cartes bancaires. On y découvre les éléments d’un algorithme de déchiffrement, lequel met à nu une clé soupçonnée d’être utilisée dans les cartes à puces. Le Groupement des cartes bancaires n’était pas joignable pour confirmer si cette clé était effectivement exploitée par ses cartes de paiement.

Selon l’un des intervenants du forum, la faille découverte ne pourrait être utilisée qu’en circuit fermé. « L’exploiter, c’est vraiment jouer au gagne-petit pour manger gratis dans un restaurant ou acheter son carnet de métro ». Ce type de fraude étant sévèrement condamné, le jeu n’en vaudrait pas la chandelle. Avant de se présenter chez un commerçant, il faudrait ainsi maquiller une carte « blanche » en appliquant notamment l’hologramme des carte bancaires, pour tromper l’oeil du marchand.

Mais avant d’y arriver, il faudrait prendre connaissance du code d’accès personnel. « Rien ne permet de retrouver le code à quatre chiffres d’une carte trouvée dans la rue », tranche pour sa part François Grilleux, spécialiste du cryptage et directeur technique d’Innovatron. Confirmant les affirmations trouvées dans le forum de discussion, il estime que « les distributeurs de billets restent sûrs » car la faille révélée sur le forum ne « remet pas en cause les outils de sécurité des banques ».

De façon presque unanime, on reconnaît toutefois que le niveau de chiffrement des cartes est devenu trop faible. « Le rempart actuel d’une clé de 320 bits n’est plus assez solide. Un PC tournant durant quelques jours permet à une personne informée et du niveau « maths sup » de casser une clé. Mais encore faut-il avoir bien compris le système », explique François Grilleux. On recommande donc aux autorités bancaires de choisir plutôt des clés de 768 ou 1024 bits.

Conclusion, les cartes bancaires actuelles ne sont pas à l’abri. A défaut d’avoir démontré une véritable faille de ces cartes, leurs détracteurs auront au moins ébranlé l’image d’inviolabilité défendue par le Groupement bancaire.

Pour en savoir plus :

* Le Groupement des cartes bancaires

* Le forum de discussion fr.misc.cryptologie

* Un site dédié à l’affaire Humpich

Les cartes bancaires sont-elles falsifiables ?

Cybersécurité : cinq mesures pour protéger ses réseaux

Comprendre «l'après» peut aider les entreprises à se protéger contre les ransomwares

13 conseils pour télétravailler en toute sécurité

Choisir son fournisseur Cloud, une décision stratégique pour les PME

Le stockage dans le cloud continue d’inquiéter les PME

Numérique : le temps de l'augmentation est venu