La carte bancaire résiste encore

Est-ce si facile de fabriquer une fausse carte bancaire ? “Le principal verrou de la sécurité de la carte bancaire française a sauté”, reconna”t Rémi Médievielle, responsable marketing pour la banque chez Gemplus. Mais est-ce suffisant pour remettre en cause la carte bancaire nationale ? La clé, publiée sur Internet, est en effet utilisée pour l’échange d’une valeur secrète qui authentifie la carte et le porteur avec le terminal. Cette valeur, spécifique à chaque carte, est précalculée avant d’être stockée dans la puce. Il s’agit ici d’une cryptographie dite statique et non pas dynamique. La clé RSA 740 bits utilisée comporte deux biclés de 320 bits. La première, semi-publique, est intégrée dans les terminaux de paiement par puce. La seconde, secrète, est gardée en lieu sûr. Une simple station de travail suffirait, selon Rémi Médievielle, pour venir à bout d’une clé de cette longueur. Dès lors, rien n’empêche de la programmer dans la mémoire EEPROM d’une carte à puce vierge à l’aide d’un lecteur encodeur quelconque.
Mais cela ne suffit pas pour créer une fausse carte bancaire. Il faut aussi simuler les échanges entre la carte et le terminal. Ceux-ci sont décrits par les spécifications du masque B0′ réservé à des sources agréées. Le plus gros du travail porterait donc sur le décorticage du dialogue entre carte et terminal. Une tâche facilitée par l’ancienneté du masque qui, de l’aveu même de Remi Médievielle, fait appel à des fonctions minimales.
Sans la mise en ?”uvre de moyens industriels, notamment pour la personnalisation, ces types de cartes restent artisanales. Et, n’étant pas rattachées à un compte, elles se limitent à des terminaux autonomes. Impossible donc, théoriquement, de faire un retrait bancaire ou un achat supérieur à 500 F, car une authentification en ligne s’impose. Ces échanges sont protégés par une seconde clé, symétrique celle-là, codée sur 56 bits. Le GIE Cartes bancaires affirme avoir renforcé, d’urgence, ce second verrou

SEIZE ANS D’AGE

1984 : création du Groupement des cartes bancaires ” CB “.

1984 : les banques françaises choisissent le masque B0′ pour carte à puce de Bull CP8.

1985 : le groupement commande 12 millions de cartes à microprocesseur à Bull CP8.

1990 : développement du RCB, réseau de transport des autorisations.

1992 : toutes les cartes ” CB ” sont équipées d’un microcircuit.

Septembre 1999 : distribution de cartes bancaires B0′ dotées d’une sécurité renforcée (clé RSA 768 bit).
Un quart des cartes bancaires en circulation serait aujourd’hui doté d’une sécurité renforcée. Elles sont acceptées par près de 170 000 terminaux, sur les 610 000 actuels. Une enveloppe de 300 MF vient d’être débloquée pour accélérer cette migration.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Samuel Cadogan