Archive pour 12 mai 2009

De la protection des cartes bleues françaises

Mardi 12 mai 2009

Quel est votre avis sur la protection des cartes bleues françaises ? Le GIE Cartes Bancaires, groupement d’intérêt économique responsable de la mise en place et de la sécurisation de ce moyen de paiement, a toujours clâmé haut et fort que les cartes françaises étaient les plus sécurisées au monde. La clé de leur assurance ? La puce et son algorithme de cryptage associé, une exception française censée nous mettre à l’abri de toute inquiétude… quand bien même un simple ingénieur a réussi à faire exploser le système et qu’une floppée de “yes cards” a vu le jour peu après.

Puce-passoire ou fanfaronnade d’un bricoleur délinquant, en quoi croiriez-vous le plus facilement ? Eh bien ça n’a pas beaucoup d’importance, en fait. Oubliez la puce et écoutez cette petite histoire.

Vous venez d’être invité à passer un petit séjour à l’étranger, dans un pays à peu près civilisé et avancé technologiquement, comme par exemple les Etats-Unis. Vous y allez avec un peu de cash sur vous, mais pas trop, parce que vous savez que vous pouvez compter sur votre carte bancaire pour vous permettre de faire les gros achats ou même de retirer des dollars au distributeur, comme tout le monde. Rien de plus normal.

D’ailleurs aujourd’hui, vous êtes dans une ville très commerçante comme Los Angeles ou Las Vegas et vous avez grand besoin de renouveler votre stock de billets verts. Comment cela se passe-t-il ? Vous n’avez qu’à trouver une machine dite “ATM” (Automated Teller Machine), insérer brièvement votre carte à l’intérieur, taper votre code secret, choisir une somme à retirer de votre compte courant, puis récupérer votre argent. Et c’est tout.

Vous n’y voyez pas un petit problème ? Reprenons la séquence au ralenti : vous repérez une machine “ATM”, insérez BRIÈVEMENT votre carte à l’intérieur, vous tapez votre code secret… Non, toujours pas ? Tout est pourtant dans le mot que j’ai mis en valeur. Pourquoi ? C’est très simple. La force de l’algorithme de cryptage utilisé dans la puce de la carte bleue réside dans le fait que votre code secret n’est jamais connu par la machine de retrait que vous utilisez : celui-ci se contente de transmettre votre saisie à la carte, qui va alors répondre “oui, c’est le bon code” ou “non, essayez encore”. C’est pour cette raison qu’en France, votre carte reste dans la machine jusqu’à la fin de la transaction.

Mais aux USA, point de puce sur les cartes : les informations sont contenues sur la bande magnétique au dos de celles-ci. Le code secret de leur propriétaire est donc connu par le terminal après une simple lecture de la bande. Même si ce n’est pas très sécurisé, ce n’est pas forcément un mal en soi. Les américains sont depuis longtemps habitués à se faire voler leur carte de crédit par des gens arrivant à déchiffrer leur code secret. Le problème que je veux illustrer ici est différent : dans la mesure où votre code secret est le même en France ou ailleurs, il est donc stocké sur la puce ET sur la bande magnétique, cette dernière étant par nature beaucoup plus fragile, puisque le terminal prend connaissance du code par simple lecture de celle-ci.

Bref, pour faire simple : les cartes bleues françaises semblent tout aussi falsifiables que les autres… À moins qu’un mécanisme ne m’échappe, la seule présence de la bande magnétique à l’arrière suffirait à rendre la puce, tout aussi robuste soit-elle avec son cryptage RSA à double sens sur 256, 512 ou même 768 bits, totalement inutile. Un peu comme si vous mettiez le verrou le plus solide du monde à votre porte mais que vous en laissiez une clé sous votre paillasson.

Encore un mythe à la bonne franquette qui s’effondre. On ne le dira jamais assez : voyager à l’étranger aide à prendre du recul sur les moeurs de son pays d’origine…