|
|
Cambridge refuse de censurer une thèse sur l'insécurité des cartes bancaires
Guillaume Champeau -
publié le Lundi 27 Décembre 2010 à 10h16 -
posté dans Société 2.0
Mise en demeure par un lobby britannique de paiement par cartes, l'Université de Cambridge a refusé de censurer la thèse d'un étudiant qui démontrait qu'il était possible de payer sans entrer le bon code PIN. Au contraire, elle le soutient.
Mécontent, un lobby bancaire britannique a écrit (.pdf) le 1er décembre au directeur de l'Université de Cambridge pour lui demander que les travaux d'Omar Choubary soient "retirés de l'accès public immédiatement", c'est-à-dire censurés. "La publication de tels détails pourrait encourager des attaques nuisibles aux systèmes de paiement par carte, fragiliser la confiance que leur accorde le public, et/ou donner au crime organisé l'accès à un matériel qu'ils pourraient continuer à améliorer", s'inquiète la UK Cards Association. Elle estime que jamais Cambridge n'aurait dû autoriser la publication de la thèse, et s'inquiète que cela puisse créer un précédent pour des publications encore plus "dangereuses" pour les banques. L'Université a répondu (.pdf) le 24 décembre, par la voix du professeur Ross Anderson, expert en sécurité informatique. Loin de se plier à la demande du lobby bancaire, Anderson se fâche et défend son étudiant. "Vous semblez croire que nous pourrions censurer la thèse d'un étudiant, qui est légale et déjà dans le domaine public, simplement parce qu'un groupe d'intérêts trouve qu'elle est dérangeante. Cela montre une profonde incompréhension de ce que sont les universités et de la manière dont nous travaillons", commence la réponse. "Cambridge est l'Université d'Erasmus, de Newton et de Darwin ; censurer des écrits qui offusquent les puissants est offensant pour nos valeurs les plus profondes". En réaction au courrier de l'Association, il prévient même qu'il a donné l'autorisation de donner à la thèse le statut de rapport technique, ce qui "le rendra plus facile à trouver et à citer pour les gens, et assurera que sa présence sur notre site web soit permanente". Sur le fond, Anderson nie que la publication d'une telle thèse puisse nuire à la confiance qu'accorde le public aux cartes bancaires. "Ce qui donnera confiance aux systèmes de paiements c'est la preuve que les banques sont franches et honnêtes en admettant leurs faiblesses lorsqu'elles sont exposées, et diligentes en effectuant les corrections nécessaires. Votre lettre démontre que, au contraire, vos membres parmi les banques font de leur mieux de manière lamentable pour déprécier le travail de ceux qui ne font pas partie de leur petit club confortable, et même pour le censurer". Le lobby reprochait aussi à Choudary d'avoir participé à un reportage diffusé en France par Canal+, dans lequel le journaliste démontrait qu'il était possible de payer sans entrer le bon code PIN, sans avertir le commerçant. Mais le professeur en sécurité informatique n'y voit pas de violation du code éthique de l'Université, puisque c'est bien le compte de Canal+ qui a été débité, et que le marchand a bien été payé. Seule la sécurité qui aurait dû empêcher un tiers de se servir de la carte n'a pas fonctionné. Enfin, Anderson promet aux banques un nouveau mal de tête, puisqu'il prépare avec son étudiant un nouveau travail sur les cartes de paiement avec carte à puce, qu'il présentera fin février dans une conférence sur la cryptographie financière. "C'est notre cadeau de Noël aux banquiers", dit-il sur le blog de l'Université. à lire aussi
 Prix indiqués avec livraison
30
Commentaires à propos de «Cambridge refuse de censurer une thèse sur l'insécurité des cartes bancaires»
Répondre
jkm03
le 27/12/2010 à 10:39
C'est quoi c'est 2 liens "electronique et securité" qui ouvrent une page sur les pagesjaunes.fr, ça ne sert absolument à rien.
 Tiens, je croyais qu'ils avaient quand même comblé leurs failles depuis l'affaire Humpich. Enfin c'était en France il y a 10 ans et les banquiers n'ont pas encore Internet peut être ... Ou alors il s'agit de nouvelles failles ?
 Ce n'est pas nouveau que la carte bancaire est faillible. La position de Cambridge est à la fois courageuse et dangereuse : c'est le même problème que le full-disclosure pour les failles de sécurité logicielles. Les conséquences pourraient cependant être autrement plus dramatique.
Du coup, informer sur ces failles : oui. Aller aussi dans la publication du comment en profiter : je m'interroge. Question d'un naïf :
Pourquoi les banques n'améliorent pas la sécurité des cartes au lieu de bloquer les avancées scientifiques? Le reportage de Canal + est disponible ici :
http://www.youtube.c...h?v=3SqM_hfmEAk partie 1 http://www.youtube.c...h?v=bFzJXQSaFcg partie 2 trismus37, le 27/12/2010 - 10:56 Question d'un naïf : Pourquoi les banques n'améliorent pas la sécurité des cartes au lieu de bloquer les avancées scientifiques? Parce que ça couterait les yeux de la tête de mettre à jour tous les distributeurs et tous les terminaux probablement.  trismus37, le 27/12/2010 - 10:56 Question d'un naïf : Pourquoi les banques n'améliorent pas la sécurité des cartes au lieu de bloquer les avancées scientifiques?  Jarno77, le 27/12/2010 - 10:48 Ce n'est pas nouveau que la carte bancaire est faillible. La position de Cambridge est à la fois courageuse et dangereuse : c'est le même problème que le full-disclosure pour les failles de sécurité logicielles. Les conséquences pourraient cependant être autrement plus dramatique. Du coup, informer sur ces failles : oui. Aller aussi dans la publication du comment en profiter : je m'interroge. Bah je pense qu'une fois les failles publiées, il faut compter quelques heures avant que d'autres personnes publient la marche à suivre pour en profiter. Donc autant tout faire d'un coup et en plus ça peut donner une bonne raison aux banques de se dépêcher de combler les failles. En tout cas je ne peux que féliciter l'université de Cambridge de se lever contre cette censure à tout va "des puissants" comme ils disent !  C'est sûr que de développer les sécurités du futur, c'est moins rentable que de spéculer.
Surtout que le lobby bancaire anglais peut répartir les coûts sur l'ensemble des établissements financiers et que cela ne représente pas grand chose.  Ah ces Banksters, pas un pour relever l'autre...
Bravo à l'Université de Cambridge de montrer à ces blaireaux qu'ils ne sont pas encore les maîtres du monde, et que tout ne s'achète pas. Pourvu qu'ça dure. Le Dimitri du reportage de canal, ce serait pas Dimitri Mader ? Il aime vraiment passer à la télé ont dirait.
Edit : Fail Damien / Dimitri s'presque pareil, c'est le T-Shirt qui induit en erreur  En tous cas sympa le reportage sur les scripts kiddies, merci pour le lien vincegf, le 27/12/2010 - 11:25 Les yeux de la tête, c'est pas déjà ce qu'ils se font sur le dos de l'humanité ?C'est clair. Ils sont pas encore entrés dans l'ère où l'information circule vite et loin, et où laisser trainer d'aussi vilaine faille est dangereux. Mais tant que le coût financier ne sera pas à la hauteur des bénéfices, on peut douter de tout élan de leur part. Peu de choses ont changé depuis l'affaire Humpich... Cambridge, encore un repère de dangereux pédophiles!
Des pédonazis plutôt ... (le terme est de JM Manach) Il ne manque plus que le gouvernement anglais demande aux fai d'empêcher le blog de l'université d'être accessible... http://www.maitre-eo...ire-guillermito
http://www.kitetoa.c...s-parquet.shtml http://www.01net.com...le-de-securite/ En France, on se fait pas chier, faut pas trouver la faille  Comme quoi, rien n’est éternel, par même les clé des cartes bleues.
Reste que la réponse du professeur Ross Anderson est excellente… Et à côté de ça, on veut condamner des internautes qui pour ne pas avoir sécurisé leur ligne ADSL ? On marche sur la tête...  L-observateur, le 27/12/2010 - 12:32 http://www.maitre-eo...ire-guillermito http://www.kitetoa.c...s-parquet.shtml http://www.01net.com...le-de-securite/ En France, on se fait pas chier, faut pas trouver la faille C'est clair ! Faut pas s'étonner après que la recherche et l'innovation ne se font pas en France...  @ TotoRhino
s'pa'parey... 1) Hadopi c'est leur fric qui rentre moins, CB c'est ton fric qui se fait enfumer... 2) Hadopi c'est des internautes qui se font inviter à déjeuner, CB c'est les chefs qui passent leurs vacances sur des yachts. 3) Hadopi c'est le contribuable qui casque, CB à sécuriser c'est moins de bénéfs pour les banques. @ Jarno77 Je crois que depuis une dizaine d'années il ne restait que Mme Michu qui n'était pas au courant que la CB était faillible. Et pour le "comment en profiter": si depuis le temps aucun ingénieur électronicien n'y a jeté un oeil... Le lobby met les pieds dans le plat car ne veut pas entamer maintenant l'évolution du système. "Trop cher mon fils", du moins tant qu'ils n'auront pas fait voter une taxe sur les moyens de paiement dont une partie ira financer le projet de modernisation...  developers, le 27/12/2010 - 10:59 Le reportage de Canal + est disponible ici : http://www.youtube.c...h?v=3SqM_hfmEAk partie 1 http://www.youtube.c...h?v=bFzJXQSaFcg partie 2 Lol les "pirates" du doc font bien pitié. "Wpa. Bon c'est mort on bouge" quelle bande de boulets.
|
A LA UNE
LES + COMMENTÉS
 1 offres à partir de 22 €
 3 offres à partir de 55 €
 7 offres à partir de 25 €
Télécharger
ground control,
adobe flash player,
bittorrent emule islande,
cryptage emule islande,
bittorrent emule island,
windows 8,
nettoyeurs emule islande,
msn messenger,
Accès rapide :
Photo numérique |
Outils Réseau |
Codecs et plugins |
Nettoyeurs |
Optimisation |
Navigateur Web |
Capture et enregistrement |
|
Cet été, un étudiant de l'Université de Cambridge a présenté une thèse qui démontrait qu'il était relativement facile, avec un petit appareil portatif, d'utiliser une carte de paiement à carte à puce sans avoir à entrer le bon code PIN. Le 19 octobre, il décide de publier ses travaux 
