Après avoir clamé haut et fort que le système de paiement par carte à puce était “inviolable “, le Groupement d’intérêt économique cartes bancaires (GIE CB) se voit aujourd’hui contraint de reconsidérer ses positions. L’ensemble des cartes aujourd’hui en circulation (près de 34 millions d’unités) devrait être remplacé. Une opération qui pourrait durer jusqu’en novembre 2001.
En guise de première mesure, Michel Renault, président du Groupement des cartes bancaires, vient d’indiquer que le numéro et la date de validité des cartes allaient disparaître d’ici la fin de l’année des facturettes émises par les terminaux de paiement chez les commerçants.
Officiellement, le système demeurait intouchable
En réalité, la sécurité des cartes bancaires a toujours été sujette à caution. En 1997 déjà, l’informaticien Serge Humpich, avait mis à jour un algorithme de cryptage et de décryptage de type RSA avec une clé. Celui-là même qui vient d’être rendu public sur Internet. Pour démontrer le bien-fondé de ses travaux, il avait fabriqué une fausse carte à puce, acheté quelques tickets de métro et tenté de monnayer ses recherches auprès du GIE CB.
Mal lui en a pris. Récemment jugé pour ‘ entrée frauduleuse dans un système de traitement automatisé de données et contrefaçon de cartes bancaires ‘, Serge Humpich vient d’être condamné à dix mois de prison avec sursis. A l’époque du procès Me Michel Beaussier, avocat du GIE CB, n’avait pas de mots assez fort envers l’accusé. Officiellement, le système demeurait intouchable.
Une technologie relativement accesssible
Mais ces derniers jours, les critiques se sont faites plus insistantes. Et l’Etat lui-même a décidé de sortir de sa réserve. Ainsi, le très officiel SCSSI, le Service central de la sécurité des systèmes d’information (successeur du Chiffre), déclarait, par son porte-parole le général Desvignes, que ‘ la carte à puce a bénéficié d’une réputation d’inviolabilité qui a écarté les attaques mafieuses, mais la technologie de ces cartes devient relativement accessible et, avec des moyens modestes, on peut les attaquer ‘. Il y aurait donc des failles dans le système.
Selon les experts, s’il est désormais possible de tromper, avec une fausse carte, des automates de paiement comme les péages d’autoroute, on ne peut rien faire avec un distributeur de billet qui est, lui, relié à un réseau de banques. En fait, l’écueil principal résiderait dans la longueur de la clé utilisée pour sécuriser les cartes à puce. Aujourd’hui chiffrée sur 320 bits, elle serait ‘ insuffisante ‘ de l’aveu même de son inventeur, Roland Moreno.
‘ Pour assurer une sécurité maximale, (…) mieux vaudrait utiliser les clés à 768, voire à 1024 bits ‘, affirme, de son côté, le directeur technique et scientifique du Groupement Innovatron, François Grieu.
Il était urgent d’attendre
Dans la foulée, des déclarations du SCSSI, le journal Libération publiait vendredi 10 mars une lettre de mise en garde à l’adresse des banques, émanant du directeur des moyens de paiement de la Banque de France et datée de juillet 1999. Les banquiers savaient, mais il était urgent d’attendre, passage à l’an 2000 oblige.
Or, ces révélations interviennent aujourd’hui dans un contexte sensible pour le petit monde du paiement sécurisé. Nous sommes en effet à la veille du lancement à grande échelle de Cyber-comm, une nouvelle solution de paiement en ligne par lecteur de cartes à puce, qui vient de recevoir l’adoubement de la secrétaire d’Etat aux Petites et moyennes entreprises, au Commerce et à l’Artisanat en charge de la consommation, Marylise Lebranchu.
Cette dernière s’est à son tour rapidement prononcée pour une ‘ concertation sur la sécurité des cartes bancaires ‘ et a suggéré ‘ d’accélérer la mise à niveau des systèmes de protection des cartes en circulation dans lHexagone ‘. Un discours qui vient de trouver un écho favorable auprès du GIE CB.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
