Publié par Guillaume Champeau, le Lundi 27 Décembre 2010

Cambridge refuse de censurer une thèse sur l'insécurité des cartes bancaires

Mise en demeure par un lobby britannique de paiement par cartes, l'Université de Cambridge a refusé de censurer la thèse d'un étudiant qui démontrait qu'il était possible de payer sans entrer le bon code PIN. Au contraire, elle le soutient.

Cet été, un étudiant de l'Université de Cambridge a présenté une thèse qui démontrait qu'il était relativement facile, avec un petit appareil portatif, d'utiliser une carte de paiement à carte à puce sans avoir à entrer le bon code PIN. Le 19 octobre, il décide de publier ses travaux sur le blog Light Blue Touchpaper, édité par l'Université. L'étudiant Omar Choudary y exposait non seulement sa thèse, mais publiait aussi le code source et les plans du boîtier électronique.

Mécontent, un lobby bancaire britannique a écrit (.pdf) le 1er décembre au directeur de l'Université de Cambridge pour lui demander que les travaux d'Omar Choubary soient "retirés de l'accès public immédiatement", c'est-à-dire censurés. "La publication de tels détails pourrait encourager des attaques nuisibles aux systèmes de paiement par carte, fragiliser la confiance que leur accorde le public, et/ou donner au crime organisé l'accès à un matériel qu'ils pourraient continuer à améliorer", s'inquiète la UK Cards Association. Elle estime que jamais Cambridge n'aurait dû autoriser la publication de la thèse, et s'inquiète que cela puisse créer un précédent pour des publications encore plus "dangereuses" pour les banques.

L'Université a répondu (.pdf) le 24 décembre, par la voix du professeur Ross Anderson, expert en sécurité informatique. Loin de se plier à la demande du lobby bancaire, Anderson se fâche et défend son étudiant. "Vous semblez croire que nous pourrions censurer la thèse d'un étudiant, qui est légale et déjà dans le domaine public, simplement parce qu'un groupe d'intérêts trouve qu'elle est dérangeante. Cela montre une profonde incompréhension de ce que sont les universités et de la manière dont nous travaillons", commence la réponse. "Cambridge est l'Université d'Erasmus, de Newton et de Darwin ; censurer des écrits qui offusquent les puissants est offensant pour nos valeurs les plus profondes". En réaction au courrier de l'Association, il prévient même qu'il a donné l'autorisation de donner à la thèse le statut de rapport technique, ce qui "le rendra plus facile à trouver et à citer pour les gens, et assurera que sa présence sur notre site web soit permanente".

Sur le fond, Anderson nie que la publication d'une telle thèse puisse nuire à la confiance qu'accorde le public aux cartes bancaires. "Ce qui donnera confiance aux systèmes de paiements c'est la preuve que les banques sont franches et honnêtes en admettant leurs faiblesses lorsqu'elles sont exposées, et diligentes en effectuant les corrections nécessaires. Votre lettre démontre que, au contraire, vos membres parmi les banques font de leur mieux de manière lamentable pour déprécier le travail de ceux qui ne font pas partie de leur petit club confortable, et même pour le censurer".

Le lobby reprochait aussi à Choudary d'avoir participé à un reportage diffusé en France par Canal+, dans lequel le journaliste démontrait qu'il était possible de payer sans entrer le bon code PIN, sans avertir le commerçant. Mais le professeur en sécurité informatique n'y voit pas de violation du code éthique de l'Université, puisque c'est bien le compte de Canal+ qui a été débité, et que le marchand a bien été payé. Seule la sécurité qui aurait dû empêcher un tiers de se servir de la carte n'a pas fonctionné.

Enfin, Anderson promet aux banques un nouveau mal de tête, puisqu'il prépare avec son étudiant un nouveau travail sur les cartes de paiement avec carte à puce, qu'il présentera fin février dans une conférence sur la cryptographie financière. "C'est notre cadeau de Noël aux banquiers", dit-il sur le blog de l'Université.

Publié par Guillaume Champeau, le 27 Décembre 2010 à 10h16
 
30
Commentaires à propos de «Cambridge refuse de censurer une thèse sur l'insécurité des cartes bancaires»
Inscrit le 06/05/2009
110 messages publiés
C'est quoi c'est 2 liens "electronique et securité" qui ouvrent une page sur les pagesjaunes.fr, ça ne sert absolument à rien.
Inscrit le 23/04/2009
252 messages publiés
Tiens, je croyais qu'ils avaient quand même comblé leurs failles depuis l'affaire Humpich . Enfin c'était en France il y a 10 ans et les banquiers n'ont pas encore Internet peut être ... Ou alors il s'agit de nouvelles failles ?
Inscrit le 27/05/2009
426 messages publiés
Ce n'est pas nouveau que la carte bancaire est faillible. La position de Cambridge est à la fois courageuse et dangereuse : c'est le même problème que le full-disclosure pour les failles de sécurité logicielles. Les conséquences pourraient cependant être autrement plus dramatique.

Du coup, informer sur ces failles : oui. Aller aussi dans la publication du comment en profiter : je m'interroge.
Inscrit le 16/10/2009
261 messages publiés
Question d'un naïf :
Pourquoi les banques n'améliorent pas la sécurité des cartes au lieu de bloquer les avancées scientifiques?
Inscrit le 10/11/2010
18 messages publiés
Inscrit le 27/05/2009
426 messages publiés
trismus37, le 27/12/2010 - 10:56
Question d'un naïf :
Pourquoi les banques n'améliorent pas la sécurité des cartes au lieu de bloquer les avancées scientifiques?


Parce que ça couterait les yeux de la tête de mettre à jour tous les distributeurs et tous les terminaux probablement.
Inscrit le 09/02/2009
1815 messages publiés
trismus37, le 27/12/2010 - 10:56
Question d'un naïf :
Pourquoi les banques n'améliorent pas la sécurité des cartes au lieu de bloquer les avancées scientifiques?

Ben c'est très très simple : La sécurité ça coute cher ! et les banques sont toujours les premières lorsqu'il s'agit d'inventer des moyens de faire cracher le pognon de ses clients, mais dès qu'il faut dépenser quelque-chose en faveur du client, bizarrement, y'a plus personne
[message édité par Obelixator le 27/12/2010 à 11:18 ]
Inscrit le 17/09/2010
37 messages publiés
Jarno77, le 27/12/2010 - 10:48
Ce n'est pas nouveau que la carte bancaire est faillible. La position de Cambridge est à la fois courageuse et dangereuse : c'est le même problème que le full-disclosure pour les failles de sécurité logicielles. Les conséquences pourraient cependant être autrement plus dramatique.

Du coup, informer sur ces failles : oui. Aller aussi dans la publication du comment en profiter : je m'interroge.


Bah je pense qu'une fois les failles publiées, il faut compter quelques heures avant que d'autres personnes publient la marche à suivre pour en profiter. Donc autant tout faire d'un coup et en plus ça peut donner une bonne raison aux banques de se dépêcher de combler les failles.
En tout cas je ne peux que féliciter l'université de Cambridge de se lever contre cette censure à tout va "des puissants" comme ils disent !
Inscrit le 30/04/2005
12571 messages publiés
C'est sûr que de développer les sécurités du futur, c'est moins rentable que de spéculer.

Surtout que le lobby bancaire anglais peut répartir les coûts sur l'ensemble des établissements financiers et que cela ne représente pas grand chose.
Inscrit le 09/07/2009
1117 messages publiés
Ah ces Banksters, pas un pour relever l'autre...

Bravo à l'Université de Cambridge de montrer à ces blaireaux qu'ils ne sont pas encore les maîtres du monde, et que tout ne s'achète pas.

Pourvu qu'ça dure.
Inscrit le 01/03/2006
10 messages publiés
Les yeux de la tête, c'est pas déjà ce qu'ils se font sur le dos de l'humanité ?
Inscrit le 02/04/2010
47 messages publiés
Le Dimitri du reportage de canal, ce serait pas Dimitri Mader ? Il aime vraiment passer à la télé ont dirait.

Edit : Fail Damien / Dimitri s'presque pareil, c'est le T-Shirt qui induit en erreur
En tous cas sympa le reportage sur les scripts kiddies, merci pour le lien
[message édité par rootoz le 27/12/2010 à 11:37 ]
Inscrit le 27/05/2009
426 messages publiés
vincegf, le 27/12/2010 - 11:25
Les yeux de la tête, c'est pas déjà ce qu'ils se font sur le dos de l'humanité ?


C'est clair. Ils sont pas encore entrés dans l'ère où l'information circule vite et loin, et où laisser trainer d'aussi vilaine faille est dangereux.

Mais tant que le coût financier ne sera pas à la hauteur des bénéfices, on peut douter de tout élan de leur part.

Peu de choses ont changé depuis l'affaire Humpich...
Inscrit le 05/03/2008
805 messages publiés
Cambridge, encore un repère de dangereux pédophiles!
Inscrit le 27/12/2010
1 messages publiés
Cambridge, encore un repère de dangereux pédophiles!


Des pédonazis plutôt ... (le terme est de JM Manach)

Il ne manque plus que le gouvernement anglais demande aux fai d'empêcher le blog de l'université d'être accessible...
Inscrit le 30/04/2005
12571 messages publiés
http://www.maitre-eo...ire-guillermito

http://www.kitetoa.c...s-parquet.shtml

http://www.01net.com...le-de-securite/

En France, on se fait pas chier, faut pas trouver la faille
[message édité par L-observateur le 27/12/2010 à 12:52 ]
Inscrit le 08/09/2003
4580 messages publiés
Comme quoi, rien n’est éternel, par même les clé des cartes bleues.
Reste que la réponse du professeur Ross Anderson est excellente…

Et à côté de ça, on veut condamner des internautes qui pour ne pas avoir sécurisé leur ligne ADSL ? On marche sur la tête...
Inscrit le 27/05/2009
426 messages publiés
L-observateur, le 27/12/2010 - 12:32


C'est clair ! Faut pas s'étonner après que la recherche et l'innovation ne se font pas en France...
Inscrit le 24/02/2009
2244 messages publiés
@ TotoRhino

s'pa'parey... 1) Hadopi c'est leur fric qui rentre moins, CB c'est ton fric qui se fait enfumer...
2) Hadopi c'est des internautes qui se font inviter à déjeuner, CB c'est les chefs qui passent leurs vacances sur des yachts.
3) Hadopi c'est le contribuable qui casque, CB à sécuriser c'est moins de bénéfs pour les banques.

@ Jarno77

Je crois que depuis une dizaine d'années il ne restait que Mme Michu qui n'était pas au courant que la CB était faillible. Et pour le "comment en profiter": si depuis le temps aucun ingénieur électronicien n'y a jeté un oeil...

Le lobby met les pieds dans le plat car ne veut pas entamer maintenant l'évolution du système. "Trop cher mon fils", du moins tant qu'ils n'auront pas fait voter une taxe sur les moyens de paiement dont une partie ira financer le projet de modernisation...
Inscrit le 10/04/2009
2382 messages publiés
developers, le 27/12/2010 - 10:59
Le reportage de Canal + est disponible ici :
http://www.__youtube...h?v=3SqM_hfmEAk partie 1
http://www.__youtube...h?v=bFzJXQSaFcg partie 2


Lol les "pirates" du doc font bien pitié. "Wpa. Bon c'est mort on bouge" quelle bande de boulets.
Inscrit le 20/08/2008
449 messages publiés
Une anecdote "So British"

Début Février, Susan Watts, publiait un papier sur le site de la BBc où une vidéo mettait en scène les mêmes protagonistes qu'ont repris canal pour leur reportage.

On notera les détails qui font toute la différence (maybe):

La BBc c'est une "institution" locale, donc pas de commentaires....
L'achat ce fait sur le campus de Cambridge, donc en privé en quelque sorte....

Quoi qu'il en soit aucune allusion à ce sujet sur la fameuse réclamation.
Inscrit le 27/04/2009
263 messages publiés
arf! encore un pseudo hacker qui croit avoir avoir découvert la faille du siècle!!!! un Humpich 2, quoi.
Les "failles" des cartes bancaires sont parfaitement connues et assumées: sachez qu'il existe 2 modes d'utilisation de la carte bancaire: un mode "offline" et un mode connecté avec vérification auprès de la banque et échanges de certificats avec la puce de la carte. Je serais incroyablement surpris que ce petit malin ait "cassé" ce mode de fonctionnement là.... car le niveau de sécurité est extrêmement élevé (je ne dirais pas infaillible car dans l'absolu, aucun système de sécurité n'est inviolable à 100%... mais on s'en approche). Le mode offline, quant à lui, est clairement moins sécurisé et existe pour limiter les couts, simplement parce que le rapport bénéfice de la sécurité/cout de la mise en relation avec la banque ne serait pas intéressant dans un certain nombre de cas (achats de petits montants, sites isolés...).
Il n'y a donc rien à réinventer, rien à corriger, pour avoir un niveau de sécurité optimal: il suffit de généraliser ce qui existe déjà: le mode connecté. Si ce n'est pas fait, c'est juste un choix économique des banques et des commerçants, et qui ne regarde qu'eux: c'est à eux que la fraude éventuelle coute de l'argent... pas à un porteur de carte légale.

Et pour info, humpich n'avait déjà rien réalisé de révolutionnaire: des "yescard", j'en avais entre les mains en 1998... sauf qu'à l'époque, le circuit électronique prenait pas mal de place et manquait de discrétion... Ah si, humpich a quand même fait un petit quelque chose en plus: sa carte pouvait se faire passer pour une vraie carte (en mode "offline uniquement") alors que toutes les données qu'elle contenait était crées par lui. Moi, je devais copier la partie copiable d'une vraie carte. Il a cassé la clé de la carte la moins sécurisée (celle qui sert pour le mode non connecté), et son hack s'est retrouvé totalement obsolète passé quelques années car la structure interne des carte a été totalement modifiée depuis (et le niveau de sécurité grandement amélioré)... et ce projet de carte de "nouvelle génération" est né bien bien avant que humpich ne prétende avoir découvert la faille du siècle: les failles qu'il a utilisées étaient encore une fois connues et assumées depuis longtemps et les projets d'amélioration lancés depuis longtemps.

Bon alors voila qu'on a un petit malin qui nous refait le cout des yescard avec les cartes EMV? ok.... en tout cas, ça m'étonnerait que sa bidouille fonctionne encore lorsque les "vrais" mécanismes de sécurité de la carte sont mis en ?uvre... à voir.
Inscrit le 12/03/2009
145 messages publiés
pauvre banquier ! ptdr
Inscrit le 02/03/2010
1151 messages publiés
Le problème c'est qu'on s'en fout que ces failles soient "assumées", BenjaminT. On les veut *corrigées*. Curieusement, c'est le truc pour lequel les banquiers sont le moins pressés. L'eesentiel c'est que les pigeons ne le découvrent pas et ne retirent pas leur confiance à leur banque qui les aime si tant.
En clair, qu'ils arrêtent de nous vendre de la merde et du vent: c'est une combinaison malodorant à grande distance.
Inscrit le 27/04/2009
263 messages publiés
goalposthead, le 27/12/2010 - 20:23
Le problème c'est qu'on s'en fout que ces failles soient "assumées", BenjaminT. On les veut *corrigées*. Curieusement, c'est le truc pour lequel les banquiers sont le moins pressés. L'eesentiel c'est que les pigeons ne le découvrent pas et ne retirent pas leur confiance à leur banque qui les aime si tant.
En clair, qu'ils arrêtent de nous vendre de la merde et du vent: c'est une combinaison malodorant à grande distance.

bien sur qu'ils ne le font pas, puisque ça leur couterait plus cher que ce que la fraude leur coute... c'est leur affaire, ça les regarde. en quoi ça concerne les autres usagers puisque c'est pas nous qui en subissons les conséquences? Sous quel prétexte tu veux toi que ces problèmes soient corrigés?

Et pour les commerçants, je crois que eux peuvent décider du seuil à partir duquel une transaction sera sécurisée ou non. c'est donc aussi leur choix et à eux de gérer le risque: ils ne veulent pas en prendre, alors ils demandent systématiquement l'authentification auprès de la banque. Si ils jugent que ça leur coute trop cher: et biens ils choisissent un seuil de facture plus élevé pour qu'il y ait authentification systématique, c'est tout.

Encore une fois, il ne s'agit pas de corriger une faille, débugger un programme... il s'agit juste de décider ou non d'appliquer un protocole existant qui lui est sécurisé et jusqu'à preuve du contraire inviolé (et à mon avis pas près de l'être), ou de se contenter d'une procédure "semi-sécurée", plus simple, qui par sa nature est faillible.
Inscrit le 05/10/2010
739 messages publiés
BenjaminT, le 27/12/2010 - 20:34

Bien sur qu'ils ne le font pas, puisque ça leur couterait plus cher que ce que la fraude leur coute... c'est leur affaire, ça les regarde. en quoi ça concerne les autres usagers puisque c'est pas nous qui en subissons les conséquences? Sous quel prétexte tu veux toi que ces problèmes soient corrigés?


En cas de fraude à la CB, la banque est responsable, certes. Mais quid des délais de remboursement ? Le blé perdu, c'est le mien tant que la banque ne m'a pas indemnisé. Et ca prend du temps. Alors, ils sont bien gentils, les banquiers avec leur système super sur qu'il est tip top, mais quand il merde, c'est le client qui trinque (pour changer) et qui est dans la merde (sans compter que prouver sa bonne foi, c'est parfois pas évident)...

BenjaminT, le 27/12/2010 - 20:34

Et pour les commerçants, je crois que eux peuvent décider du seuil à partir duquel une transaction sera sécurisée ou non. c'est donc aussi leur choix et à eux de gérer le risque: ils ne veulent pas en prendre, alors ils demandent systématiquement l'authentification auprès de la banque. Si ils jugent que ça leur coute trop cher: et biens ils choisissent un seuil de facture plus élevé pour qu'il y ait authentification systématique, c'est tout.


Wé, et le coup de téléphone, tu le déduis de l'abonnement auprès de la banque pour avoir la possibilité de traiter des CB ?
Le commerçant doit s'offrir, pour pouvoir traiter les opérations de CB et satisfaire la clientèle :
- une ligne téléphonique (ou abonnement 3G) dédiée à son terminal bancaire et les cout de communications.
- un abonnement à sa banque pour traiter les transaction par carte
- un terminal (qui peut être loué)
- des consommables (papier thermique)
- et des cadeaux à la banque (commission sur les transactions : environ 0.5% + ou -).

C'est déjà trop cher.
Du coup, je connais un tas de commerçants qui refusent les CB en dessous d'un certain montant (et appel Transpac obligatoire) ou qui les refusent purement et simplement (pourquoi engraisser un banquier ? ).

BenjaminT, le 27/12/2010 - 20:34

Encore une fois, il ne s'agit pas de corriger une faille, débugger un programme... il s'agit juste de décider ou non d'appliquer un protocole existant qui lui est sécurisé et jusqu'à preuve du contraire inviolé (et à mon avis pas près de l'être), ou de se contenter d'une procédure "semi-sécurée", plus simple, qui par sa nature est faillible.


705 Millions , ce n'est pas rien.
Pour un système si super sécurisé, c'est 705 millions de trop. Mais chut, tout va bien. Dormez braves gens ...
Inscrit le 27/12/2010
1 messages publiés
arf! encore un pseudo hacker qui croit avoir avoir découvert la faille du siècle!!!! un Humpich 2, quoi.
Les "failles" des cartes bancaires sont parfaitement connues et assumées: sachez qu'il existe 2 modes d'utilisation de la carte bancaire: un mode "offline" et un mode connecté avec vérification auprès de la banque et échanges de certificats avec la puce de la carte. Je serais incroyablement surpris que ce petit malin ait "cassé" ce mode de fonctionnement là.... car le niveau de sécurité est extrêmement élevé


Au lieu de faire l'interessant il serait judicieux de jeter un oeil au papier ci-nommé, car cela bypasse effectivement la vérification online, on est ici face à une faille logique dans le protocole de transaction de la CB, pas un simple cassage de clef RSA. Seule la vérification du code PIN par challenge-response, comme on peut le voir dans la plupart des DAB, permet de déjouer l'attaque.
Inscrit le 27/04/2009
263 messages publiés
autant pour moi, apres avoir lu le PDF, il semble que ce soit effectivement plus subtil qu'une humpicherie
Inscrit le 25/03/2010
4 messages publiés
Tous les systèmes de payement sont faillibles et cela dès qu'ils existent et depuis l'invention de la première monnaie.
Mais le plus faillible dans tout ça?
Les systèmes financier et bancaire (qui en fait sont le même.
La seule morale du libéralisme capitaliste c'est tout est permis pour s'enrichir. Ils appellent même ça la méritocratie. Ils prête de l'argent qu'ils n'ont pas à des taux usuriers et rendent leurs cliens dépendants d'eux pour mieux les vassaliser.
" Dans une opération, il y a toujours un pigeon ; si vous ne savez pas qui c'est, c'est certainement vous " Warren Buffet, financier
Inscrit le 16/03/2012
2 messages publiés
Moi qui n'ose pas payer sur internet, vos commentaires ne m'incitent pas à changer d'avis.
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux
Décembre 2010
 
Lu Ma Me Je Ve Sa Di
29 30 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 1 2
3 4 5 6 7 8 9