De la protection des cartes bleues françaises

Pas de quoi casser trois pattes à un coq…

mardi 12 mai 2009, 22h18

Quel est votre avis sur la protection des cartes bleues françaises ? Le GIE Cartes Bancaires, groupement d’intérêt économique responsable de la mise en place et de la sécurisation de ce moyen de paiement, a toujours clâmé haut et fort que les cartes françaises étaient les plus sécurisées au monde. La clé de leur assurance ? La puce et son algorithme de cryptage associé, une exception française censée nous mettre à l’abri de toute inquiétude… quand bien même un simple ingénieur a réussi à faire exploser le système et qu’une floppée de “yes cards” a vu le jour peu après.

Puce-passoire ou fanfaronnade d’un bricoleur délinquant, en quoi croiriez-vous le plus facilement ? Eh bien ça n’a pas beaucoup d’importance, en fait. Oubliez la puce et écoutez cette petite histoire.

Vous venez d’être invité à passer un petit séjour à l’étranger, dans un pays à peu près civilisé et avancé technologiquement, comme par exemple les Etats-Unis. Vous y allez avec un peu de cash sur vous, mais pas trop, parce que vous savez que vous pouvez compter sur votre carte bancaire pour vous permettre de faire les gros achats ou même de retirer des dollars au distributeur, comme tout le monde. Rien de plus normal.

D’ailleurs aujourd’hui, vous êtes dans une ville très commerçante comme Los Angeles ou Las Vegas et vous avez grand besoin de renouveler votre stock de billets verts. Comment cela se passe-t-il ? Vous n’avez qu’à trouver une machine dite “ATM” (Automated Teller Machine), insérer brièvement votre carte à l’intérieur, taper votre code secret, choisir une somme à retirer de votre compte courant, puis récupérer votre argent. Et c’est tout.

Vous n’y voyez pas un petit problème ? Reprenons la séquence au ralenti : vous repérez une machine “ATM”, insérez BRIÈVEMENT votre carte à l’intérieur, vous tapez votre code secret… Non, toujours pas ? Tout est pourtant dans le mot que j’ai mis en valeur. Pourquoi ? C’est très simple. La force de l’algorithme de cryptage utilisé dans la puce de la carte bleue réside dans le fait que votre code secret n’est jamais connu par la machine de retrait que vous utilisez : celui-ci se contente de transmettre votre saisie à la carte, qui va alors répondre “oui, c’est le bon code” ou “non, essayez encore”. C’est pour cette raison qu’en France, votre carte reste dans la machine jusqu’à la fin de la transaction.

Mais aux USA, point de puce sur les cartes : les informations sont contenues sur la bande magnétique au dos de celles-ci. Le code secret de leur propriétaire est donc connu par le terminal après une simple lecture de la bande. Même si ce n’est pas très sécurisé, ce n’est pas forcément un mal en soi. Les américains sont depuis longtemps habitués à se faire voler leur carte de crédit par des gens arrivant à déchiffrer leur code secret. Le problème que je veux illustrer ici est différent : dans la mesure où votre code secret est le même en France ou ailleurs, il est donc stocké sur la puce ET sur la bande magnétique, cette dernière étant par nature beaucoup plus fragile, puisque le terminal prend connaissance du code par simple lecture de celle-ci.

Bref, pour faire simple : les cartes bleues françaises semblent tout aussi falsifiables que les autres… À moins qu’un mécanisme ne m’échappe, la seule présence de la bande magnétique à l’arrière suffirait à rendre la puce, tout aussi robuste soit-elle avec son cryptage RSA à double sens sur 256, 512 ou même 768 bits, totalement inutile. Un peu comme si vous mettiez le verrou le plus solide du monde à votre porte mais que vous en laissiez une clé sous votre paillasson.

Encore un mythe à la bonne franquette qui s’effondre. On ne le dira jamais assez : voyager à l’étranger aide à prendre du recul sur les moeurs de son pays d’origine…

7 commentaires pour “De la protection des cartes bleues françaises”

  1. Tomers dit :

    Je n’y connais pas grand chose dans les cartes a puce, mais il me semblait que tout ce qui concernait le code ne se “situait” que dans la puce. D’ailleurs les systemes utilisant la bande magnetique ne demande pas de code (ce qui est le cas aux péages autoroutiers me semble t-il), donc une question me vient a l’esprit :
    Si tu avais fait n’importe quel code autre que le tiens, est-ce que celui ci aurait fonctionné ? Est-ce que tu as testé ?

    Autrement dit, peut etre que les americains possedent le code sur la piste magnetique, mais que pour nous, tout est ouvert a ce niveau la. (c’est a dire quelque que soit le chiffre que l’on tape, ca marche, donc une yes card :) )

  2. Celeri dit :

    En fait, quand on insère sa carte dans une ATM, on a deux possibilités pour retirer de l’argent : “avec PIN” ou “sans PIN”. C’est à dire en saisissant son code secret ou non. La différence est alors que dans le second cas, on paye des charges supplémentaires. On peut donc légitimement supposer que le code est bel est bien connu par le terminal, sinon pourquoi le premier mode existerait-il ?

  3. Tût-tûûût dit :

    (une bonne grosse heure de recherches plus tard)

    Le code PIN n’est pas stocké en lui-même sur la carte (et heureusement, vu à quel point la copie d’une piste magnétique est simple…) : le code que tu entres au clavier est crypté (à sens unique), puis transmis à ta banque qui dit s’il est bon ou non à partir de ton numéro de compte et de CB. En gros.

    De fait, les piratages qui consistent à cloner une piste magnétique pour faire une fausse carte bleue nécessitent un moyen supplémentaire pour voler le code (une caméra bien placée, par exemple)…

    Sinon c’est marrant, perso c’est plutôt les retraits en mode “sans PIN” que je trouve bizarres… Si ça coûte plus cher, c’est peut-être parce qu’ils sont plus surveillés que les autres ?

    Bon en tout cas, j’ai appris plein de trucs sur les mœurs des cartes bleues grâce à ce que tu as soulevé, et je m’en vais goûter instruite. Merci Celeri ^^

  4. Celeri dit :

    Hm, en effet j’ai peut-être un peu trop vite négligé la possibilité que l’examen du code se passe directement au niveau de la banque, habitué que je suis à croire que tout se passe sur la carte (en France, il me semble que les retraits inférieurs à 100 euros se font sans validation auprès de la banque). Je vais me documenter sur la question.

    Et puis, en pratique, sur les ATM américains, la validation du code secret est instantanée, on n’a pas vraiment l’impression qu’il y a un échange avec un établissement situé à plusieurs milliers de kilomètres…

    Enfin, la présence d’un mode “sans PIN” contribue également à donner une impression de faible sécurité. Et du coup, une fois qu’on connait le fonctionnement du PIN sur les ATM, le mode “sans PIN” devient suspect… Peut-être un début de piste ici ?

  5. Tomers dit :

    Merci pour les precisions tutut.

    Pour le mode sans pin qui fait payer des taxes supplementaire, c’est surement du a une question d’assurance de la banque en cas de fraude, car elle doit aussi rembourser celle qui a été volé. (Si on utilise une carte volé par exemple).

    En fait, je ne vois pas l’interet du mode sans pin, ca fait un peu : “J’ai volé une carte, regarder moi m’en servir, et suivez moi à la trace, n’hesiter pas à appeler la police” :)
    Quoique, ca peut tout de même etre un bon moyen d’avoir de l’argent si le systeme d’interrogation est en rade.
    (J’ai fait l’experience recemment dans un pays etranger, et on a réelement eu du mal a obtenir de l’argent)

  6. Nenyx dit :

    Peut être que le mode sans PIN est là pour pallier aux défaillances d’une interrogation à distance de la banque, justement. C’est à dire qu’en mode PIN, on tape le code, y’a une vérification à distance (théorie Tût-tûûût), elle ne peut pas se faire (problème de connexion), donc on peut passer en mode sans PIN “pour dépanner”.

    Enfin bon quand on creuse un peu ça, ça semble pas très très sécurisé. Remarquez, y’a pire (à mon sens) avec les achats sur internet qui ne demandent que le numéro de CB et le code à 3 chiffres au dos, des informations facile à obtenir si on peut manipuler la CB (ex par un vendeur)

  7. rty dit :

    En gros vous en savez rien et tout le monde raconte n’importe quoi, et le sait.
    Mais ce qu’on sait surtout, c’est que c’est pas sécurisé ! Ça, on en est sur !