L’affaire est dans l’air depuis le début de l’année. Le 9 février dernier, un message contenant plusieurs clefs chiffrées est posté sur le forum de discussion fr.misc.cryptologie consacré aux problèmes de chiffrement. Son auteur ?” un certain Anie Nomat ?” affirme que ces clefs, d’une longueur de 320 bits, sont utilisées par les cartes bancaires et seraient celles découvertes, il y a trois ans, par Serge Humpich.
Dès le 4 mars 2000, un nouveau message apparaît sur le forum. Un internaute, dont le pseudonyme est Ceysard, publie le résultat du déchiffrement d’une des clefs. Les médias s’emparent alors de l’affaire, remettant en cause la sécurité de la carte à puce.
Fabriquer une fausse carte bancaire : c’est possible…
En fait, ce n’est pas la puce elle-même qui est en cause, mais la longueur de la clef utilisée par l’algorithme de chiffrement qui permet de lire les informations qu’elle contient. Cet algorithme, le RSA asymétrique ?” du nom de ses inventeurs : Rivest-Shamir-Adleman ?”, utilise deux clefs de chiffrement pour assurer la confidentialité des informations. La première est une clef privée, inscrite sur la carte, qui chiffre des informations relatives à celle-ci (date de péremption, numéro de compte, etc.).
La deuxième est une clef publique utilisée par les terminaux de paiement et permettant de lire les informations chiffrées par la clef privée de la carte. Normalement, il est impossible de trouver une clef privée à partir de la clef publique correspondante. Mais, dans le cas de la carte bancaire, la longueur de la clef publique utilisée – 320 bits – est trop courte et des internautes y sont parvenus.
Les logiciels permettant de faire ce type d’opération sont apparus dès 1994. Il ne s’agit donc en rien d’un exploit : “Une clef chiffrée sur 320 bits peut être cassée en une journée à l’aide d’un simple PC “, affirme même Ghislaine Labouret, consultante en sécurité informatique chez Hervé Schauer Consultants.
Le problème, c’est qu’une telle clef permet à quelqu’un ayant de sérieuses connaissances en électronique de fabriquer une carte reconnue compatible par un terminal de paiement chez un commerçant.
… mais pour un montant limité
De fait, selon François Grieu, directeur technique et scientifique du Groupe Innovatron, le Groupement des cartes bancaires utilise d’autres procédés pour se prémunir contre la falsification. Une fausse carte bancaire, fabriquée à l’aide des clefs découvertes par les internautes, ne peut pas fonctionner dans un distributeur de billets. De plus, à partir d’un certain montant ?” environ 500 francs ?” les terminaux de paiement n’accepteront pas deffectuer la transaction.
Le pouvoir de nuisance de cette découverte est donc, a priori, limité. Cependant, les internautes sont parvenus à pénétrer une partie du système, remettant en cause la crédibilité du GIE CB. Les clefs utilisées dans les dernières cartes à puce seraient chiffrées sur une longueur de 768 bits, selon le GIE CB. Est-ce suffisant ? “Le nombre de bits minimum pour assurer une sécurité maximale dans le système de cryptologie asymétrique doit être de 640. Mais mieux vaut utiliser les clefs à 768 bits, voire 1 024 bits “, affirme, de son côté, François Grieu.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
