Passer au contenu

La carte bancaire résiste encore

Sa sécurité légendaire est remise en cause. Pour autant, toute menace de fraude reste encore très hypothétique.

Est-ce si facile de fabriquer une fausse carte bancaire ? “Le principal verrou de la sécurité de la carte bancaire française a sauté”, reconna”t Rémi Médievielle, responsable marketing pour la banque chez Gemplus. Mais est-ce suffisant pour remettre en cause la carte bancaire nationale ? La clé, publiée sur Internet, est en effet utilisée pour l’échange d’une valeur secrète qui authentifie la carte et le porteur avec le terminal. Cette valeur, spécifique à chaque carte, est précalculée avant d’être stockée dans la puce. Il s’agit ici d’une cryptographie dite statique et non pas dynamique. La clé RSA 740 bits utilisée comporte deux biclés de 320 bits. La première, semi-publique, est intégrée dans les terminaux de paiement par puce. La seconde, secrète, est gardée en lieu sûr. Une simple station de travail suffirait, selon Rémi Médievielle, pour venir à bout d’une clé de cette longueur. Dès lors, rien n’empêche de la programmer dans la mémoire EEPROM d’une carte à puce vierge à l’aide d’un lecteur encodeur quelconque.
Mais cela ne suffit pas pour créer une fausse carte bancaire. Il faut aussi simuler les échanges entre la carte et le terminal. Ceux-ci sont décrits par les spécifications du masque B0′ réservé à des sources agréées. Le plus gros du travail porterait donc sur le décorticage du dialogue entre carte et terminal. Une tâche facilitée par l’ancienneté du masque qui, de l’aveu même de Remi Médievielle, fait appel à des fonctions minimales.
Sans la mise en ?”uvre de moyens industriels, notamment pour la personnalisation, ces types de cartes restent artisanales. Et, n’étant pas rattachées à un compte, elles se limitent à des terminaux autonomes. Impossible donc, théoriquement, de faire un retrait bancaire ou un achat supérieur à 500 F, car une authentification en ligne s’impose. Ces échanges sont protégés par une seconde clé, symétrique celle-là, codée sur 56 bits. Le GIE Cartes bancaires affirme avoir renforcé, d’urgence, ce second verrou

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Samuel Cadogan