|
|
Cambridge refuse de censurer une thèse sur l'insécurité des cartes bancaires
Guillaume Champeau -
publié le Lundi 27 Décembre 2010 à 10h16 -
posté dans Société 2.0
Mise en demeure par un lobby britannique de paiement par cartes, l'Université de Cambridge a refusé de censurer la thèse d'un étudiant qui démontrait qu'il était possible de payer sans entrer le bon code PIN. Au contraire, elle le soutient.
Mécontent, un lobby bancaire britannique a écrit (.pdf) le 1er décembre au directeur de l'Université de Cambridge pour lui demander que les travaux d'Omar Choubary soient "retirés de l'accès public immédiatement", c'est-à-dire censurés. "La publication de tels détails pourrait encourager des attaques nuisibles aux systèmes de paiement par carte, fragiliser la confiance que leur accorde le public, et/ou donner au crime organisé l'accès à un matériel qu'ils pourraient continuer à améliorer", s'inquiète la UK Cards Association. Elle estime que jamais Cambridge n'aurait dû autoriser la publication de la thèse, et s'inquiète que cela puisse créer un précédent pour des publications encore plus "dangereuses" pour les banques. L'Université a répondu (.pdf) le 24 décembre, par la voix du professeur Ross Anderson, expert en sécurité informatique. Loin de se plier à la demande du lobby bancaire, Anderson se fâche et défend son étudiant. "Vous semblez croire que nous pourrions censurer la thèse d'un étudiant, qui est légale et déjà dans le domaine public, simplement parce qu'un groupe d'intérêts trouve qu'elle est dérangeante. Cela montre une profonde incompréhension de ce que sont les universités et de la manière dont nous travaillons", commence la réponse. "Cambridge est l'Université d'Erasmus, de Newton et de Darwin ; censurer des écrits qui offusquent les puissants est offensant pour nos valeurs les plus profondes". En réaction au courrier de l'Association, il prévient même qu'il a donné l'autorisation de donner à la thèse le statut de rapport technique, ce qui "le rendra plus facile à trouver et à citer pour les gens, et assurera que sa présence sur notre site web soit permanente". Sur le fond, Anderson nie que la publication d'une telle thèse puisse nuire à la confiance qu'accorde le public aux cartes bancaires. "Ce qui donnera confiance aux systèmes de paiements c'est la preuve que les banques sont franches et honnêtes en admettant leurs faiblesses lorsqu'elles sont exposées, et diligentes en effectuant les corrections nécessaires. Votre lettre démontre que, au contraire, vos membres parmi les banques font de leur mieux de manière lamentable pour déprécier le travail de ceux qui ne font pas partie de leur petit club confortable, et même pour le censurer". Le lobby reprochait aussi à Choudary d'avoir participé à un reportage diffusé en France par Canal+, dans lequel le journaliste démontrait qu'il était possible de payer sans entrer le bon code PIN, sans avertir le commerçant. Mais le professeur en sécurité informatique n'y voit pas de violation du code éthique de l'Université, puisque c'est bien le compte de Canal+ qui a été débité, et que le marchand a bien été payé. Seule la sécurité qui aurait dû empêcher un tiers de se servir de la carte n'a pas fonctionné. Enfin, Anderson promet aux banques un nouveau mal de tête, puisqu'il prépare avec son étudiant un nouveau travail sur les cartes de paiement avec carte à puce, qu'il présentera fin février dans une conférence sur la cryptographie financière. "C'est notre cadeau de Noël aux banquiers", dit-il sur le blog de l'Université. à lire aussi
 Prix indiqués avec livraison
30
Commentaires à propos de «Cambridge refuse de censurer une thèse sur l'insécurité des cartes bancaires»
Inscrit le 06/05/2009
110 messages publiés
Envoyer un message privé
jkm03
le 27/12/2010 à 10:39
C'est quoi c'est 2 liens "electronique et securité" qui ouvrent une page sur les pagesjaunes.fr, ça ne sert absolument à rien.
Répondre
Tiens, je croyais qu'ils avaient quand même comblé leurs failles depuis l'affaire Humpich . Enfin c'était en France il y a 10 ans et les banquiers n'ont pas encore Internet peut être ... Ou alors il s'agit de nouvelles failles ?
Ce n'est pas nouveau que la carte bancaire est faillible. La position de Cambridge est à la fois courageuse et dangereuse : c'est le même problème que le full-disclosure pour les failles de sécurité logicielles. Les conséquences pourraient cependant être autrement plus dramatique.
Du coup, informer sur ces failles : oui. Aller aussi dans la publication du comment en profiter : je m'interroge.
Question d'un naïf :
Pourquoi les banques n'améliorent pas la sécurité des cartes au lieu de bloquer les avancées scientifiques?
Le reportage de Canal + est disponible ici :
http://www.__youtube...h?v=3SqM_hfmEAk partie 1 http://www.__youtube...h?v=bFzJXQSaFcg partie 2
trismus37, le 27/12/2010 - 10:56 Parce que ça couterait les yeux de la tête de mettre à jour tous les distributeurs et tous les terminaux probablement. 
trismus37, le 27/12/2010 - 10:56 Ben c'est très très simple : La sécurité ça coute cher ! et les banques sont toujours les premières lorsqu'il s'agit d'inventer des moyens de faire cracher le pognon de ses clients, mais dès qu'il faut dépenser quelque-chose en faveur du client, bizarrement, y'a plus personne  [message édité par Obelixator le 27/12/2010 à 11:18
]
Jarno77, le 27/12/2010 - 10:48 Bah je pense qu'une fois les failles publiées, il faut compter quelques heures avant que d'autres personnes publient la marche à suivre pour en profiter. Donc autant tout faire d'un coup et en plus ça peut donner une bonne raison aux banques de se dépêcher de combler les failles. En tout cas je ne peux que féliciter l'université de Cambridge de se lever contre cette censure à tout va "des puissants" comme ils disent !
C'est sûr que de développer les sécurités du futur, c'est moins rentable que de spéculer.
Surtout que le lobby bancaire anglais peut répartir les coûts sur l'ensemble des établissements financiers et que cela ne représente pas grand chose. 
Ah ces Banksters, pas un pour relever l'autre...
Bravo à l'Université de Cambridge de montrer à ces blaireaux qu'ils ne sont pas encore les maîtres du monde, et que tout ne s'achète pas. Pourvu qu'ça dure.
Le Dimitri du reportage de canal, ce serait pas Dimitri Mader ? Il aime vraiment passer à la télé ont dirait.
Edit : Fail Damien / Dimitri s'presque pareil, c'est le T-Shirt qui induit en erreur  En tous cas sympa le reportage sur les scripts kiddies, merci pour le lien [message édité par rootoz le 27/12/2010 à 11:37
]
vincegf, le 27/12/2010 - 11:25 C'est clair. Ils sont pas encore entrés dans l'ère où l'information circule vite et loin, et où laisser trainer d'aussi vilaine faille est dangereux. Mais tant que le coût financier ne sera pas à la hauteur des bénéfices, on peut douter de tout élan de leur part. Peu de choses ont changé depuis l'affaire Humpich...
Des pédonazis plutôt ... (le terme est de JM Manach) Il ne manque plus que le gouvernement anglais demande aux fai d'empêcher le blog de l'université d'être accessible...
http://www.maitre-eo...ire-guillermito
http://www.kitetoa.c...s-parquet.shtml http://www.01net.com...le-de-securite/ En France, on se fait pas chier, faut pas trouver la faille [message édité par L-observateur le 27/12/2010 à 12:52
]
Comme quoi, rien n’est éternel, par même les clé des cartes bleues.
Reste que la réponse du professeur Ross Anderson est excellente… Et à côté de ça, on veut condamner des internautes qui pour ne pas avoir sécurisé leur ligne ADSL ? On marche sur la tête... 
L-observateur, le 27/12/2010 - 12:32 C'est clair ! Faut pas s'étonner après que la recherche et l'innovation ne se font pas en France... 
@ TotoRhino
s'pa'parey... 1) Hadopi c'est leur fric qui rentre moins, CB c'est ton fric qui se fait enfumer... 2) Hadopi c'est des internautes qui se font inviter à déjeuner, CB c'est les chefs qui passent leurs vacances sur des yachts. 3) Hadopi c'est le contribuable qui casque, CB à sécuriser c'est moins de bénéfs pour les banques. @ Jarno77 Je crois que depuis une dizaine d'années il ne restait que Mme Michu qui n'était pas au courant que la CB était faillible. Et pour le "comment en profiter": si depuis le temps aucun ingénieur électronicien n'y a jeté un oeil... Le lobby met les pieds dans le plat car ne veut pas entamer maintenant l'évolution du système. "Trop cher mon fils", du moins tant qu'ils n'auront pas fait voter une taxe sur les moyens de paiement dont une partie ira financer le projet de modernisation... 
developers, le 27/12/2010 - 10:59 Lol les "pirates" du doc font bien pitié. "Wpa. Bon c'est mort on bouge" quelle bande de boulets.
Une anecdote "So British"
Début Février, Susan Watts, publiait un papier sur le site de la BBc où une vidéo mettait en scène les mêmes protagonistes qu'ont repris canal pour leur reportage. On notera les détails qui font toute la différence (maybe): La BBc c'est une "institution" locale, donc pas de commentaires.... L'achat ce fait sur le campus de Cambridge, donc en privé en quelque sorte.... Quoi qu'il en soit aucune allusion à ce sujet sur la fameuse réclamation.
arf! encore un pseudo hacker qui croit avoir avoir découvert la faille du siècle!!!! un Humpich 2, quoi.
Les "failles" des cartes bancaires sont parfaitement connues et assumées: sachez qu'il existe 2 modes d'utilisation de la carte bancaire: un mode "offline" et un mode connecté avec vérification auprès de la banque et échanges de certificats avec la puce de la carte. Je serais incroyablement surpris que ce petit malin ait "cassé" ce mode de fonctionnement là.... car le niveau de sécurité est extrêmement élevé (je ne dirais pas infaillible car dans l'absolu, aucun système de sécurité n'est inviolable à 100%... mais on s'en approche). Le mode offline, quant à lui, est clairement moins sécurisé et existe pour limiter les couts, simplement parce que le rapport bénéfice de la sécurité/cout de la mise en relation avec la banque ne serait pas intéressant dans un certain nombre de cas (achats de petits montants, sites isolés...). Il n'y a donc rien à réinventer, rien à corriger, pour avoir un niveau de sécurité optimal: il suffit de généraliser ce qui existe déjà: le mode connecté. Si ce n'est pas fait, c'est juste un choix économique des banques et des commerçants, et qui ne regarde qu'eux: c'est à eux que la fraude éventuelle coute de l'argent... pas à un porteur de carte légale. Et pour info, humpich n'avait déjà rien réalisé de révolutionnaire: des "yescard", j'en avais entre les mains en 1998... sauf qu'à l'époque, le circuit électronique prenait pas mal de place et manquait de discrétion... Ah si, humpich a quand même fait un petit quelque chose en plus: sa carte pouvait se faire passer pour une vraie carte (en mode "offline uniquement") alors que toutes les données qu'elle contenait était crées par lui. Moi, je devais copier la partie copiable d'une vraie carte. Il a cassé la clé de la carte la moins sécurisée (celle qui sert pour le mode non connecté), et son hack s'est retrouvé totalement obsolète passé quelques années car la structure interne des carte a été totalement modifiée depuis (et le niveau de sécurité grandement amélioré)... et ce projet de carte de "nouvelle génération" est né bien bien avant que humpich ne prétende avoir découvert la faille du siècle: les failles qu'il a utilisées étaient encore une fois connues et assumées depuis longtemps et les projets d'amélioration lancés depuis longtemps. Bon alors voila qu'on a un petit malin qui nous refait le cout des yescard avec les cartes EMV? ok.... en tout cas, ça m'étonnerait que sa bidouille fonctionne encore lorsque les "vrais" mécanismes de sécurité de la carte sont mis en ?uvre... à voir. 
Le problème c'est qu'on s'en fout que ces failles soient "assumées", BenjaminT. On les veut *corrigées*. Curieusement, c'est le truc pour lequel les banquiers sont le moins pressés. L'eesentiel c'est que les pigeons ne le découvrent pas et ne retirent pas leur confiance à leur banque qui les aime si tant.
En clair, qu'ils arrêtent de nous vendre de la merde et du vent: c'est une combinaison malodorant à grande distance.
goalposthead, le 27/12/2010 - 20:23 bien sur qu'ils ne le font pas, puisque ça leur couterait plus cher que ce que la fraude leur coute... c'est leur affaire, ça les regarde. en quoi ça concerne les autres usagers puisque c'est pas nous qui en subissons les conséquences? Sous quel prétexte tu veux toi que ces problèmes soient corrigés? Et pour les commerçants, je crois que eux peuvent décider du seuil à partir duquel une transaction sera sécurisée ou non. c'est donc aussi leur choix et à eux de gérer le risque: ils ne veulent pas en prendre, alors ils demandent systématiquement l'authentification auprès de la banque. Si ils jugent que ça leur coute trop cher: et biens ils choisissent un seuil de facture plus élevé pour qu'il y ait authentification systématique, c'est tout. Encore une fois, il ne s'agit pas de corriger une faille, débugger un programme... il s'agit juste de décider ou non d'appliquer un protocole existant qui lui est sécurisé et jusqu'à preuve du contraire inviolé (et à mon avis pas près de l'être), ou de se contenter d'une procédure "semi-sécurée", plus simple, qui par sa nature est faillible. 
BenjaminT, le 27/12/2010 - 20:34 En cas de fraude à la CB, la banque est responsable, certes. Mais quid des délais de remboursement ? Le blé perdu, c'est le mien tant que la banque ne m'a pas indemnisé. Et ca prend du temps. Alors, ils sont bien gentils, les banquiers avec leur système super sur qu'il est tip top, mais quand il merde, c'est le client qui trinque (pour changer) et qui est dans la merde (sans compter que prouver sa bonne foi, c'est parfois pas évident)... BenjaminT, le 27/12/2010 - 20:34 Wé, et le coup de téléphone, tu le déduis de l'abonnement auprès de la banque pour avoir la possibilité de traiter des CB ? Le commerçant doit s'offrir, pour pouvoir traiter les opérations de CB et satisfaire la clientèle : - une ligne téléphonique (ou abonnement 3G) dédiée à son terminal bancaire et les cout de communications. - un abonnement à sa banque pour traiter les transaction par carte - un terminal (qui peut être loué) - des consommables (papier thermique) - et des cadeaux à la banque (commission sur les transactions : environ 0.5% + ou -). C'est déjà trop cher. Du coup, je connais un tas de commerçants qui refusent les CB en dessous d'un certain montant (et appel Transpac obligatoire) ou qui les refusent purement et simplement (pourquoi engraisser un banquier ? ). BenjaminT, le 27/12/2010 - 20:34 705 Millions , ce n'est pas rien. Pour un système si super sécurisé, c'est 705 millions de trop. Mais chut, tout va bien. Dormez braves gens ...
Au lieu de faire l'interessant il serait judicieux de jeter un oeil au papier ci-nommé, car cela bypasse effectivement la vérification online, on est ici face à une faille logique dans le protocole de transaction de la CB, pas un simple cassage de clef RSA. Seule la vérification du code PIN par challenge-response, comme on peut le voir dans la plupart des DAB, permet de déjouer l'attaque.
autant pour moi, apres avoir lu le PDF, il semble que ce soit effectivement plus subtil qu'une humpicherie
Tous les systèmes de payement sont faillibles et cela dès qu'ils existent et depuis l'invention de la première monnaie.
Mais le plus faillible dans tout ça? Les systèmes financier et bancaire (qui en fait sont le même. La seule morale du libéralisme capitaliste c'est tout est permis pour s'enrichir. Ils appellent même ça la méritocratie. Ils prête de l'argent qu'ils n'ont pas à des taux usuriers et rendent leurs cliens dépendants d'eux pour mieux les vassaliser. " Dans une opération, il y a toujours un pigeon ; si vous ne savez pas qui c'est, c'est certainement vous " Warren Buffet, financier Tous les champs doivent être remplis. Tous les champs doivent être remplis. Tous les champs doivent être remplis. |
A LA UNE
LES + COMMENTÉS
 Télécharger
ultrasurf,
aspirateur youtube,
mp3 to converter,
windows 7 gratuit,
online tv adult,
bittorrent emule island,
total video converter,
logiciel alcatel,
Accès rapide :
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
Navigateur Web |
Capture et enregistrement |
|
Cet été, un étudiant de l'Université de Cambridge a présenté une thèse qui démontrait qu'il était relativement facile, avec un petit appareil portatif, d'utiliser une carte de paiement à carte à puce sans avoir à entrer le bon code PIN. Le 19 octobre, il décide de publier ses travaux 
