Mise en demeure par un lobby britannique de paiement par cartes, l’Université de Cambridge a refusé de censurer la thèse d’un étudiant qui démontrait qu’il était possible de payer sans entrer le bon code PIN. Au contraire, elle le soutient.

Cet été, un étudiant de l’Université de Cambridge a présenté une thèse qui démontrait qu’il était relativement facile, avec un petit appareil portatif, d’utiliser une carte de paiement à carte à puce sans avoir à entrer le bon code PIN. Le 19 octobre, il décide de publier ses travaux sur le blog Light Blue Touchpaper, édité par l’Université. L’étudiant Omar Choudary y exposait non seulement sa thèse, mais publiait aussi le code source et les plans du boîtier électronique.

Mécontent, un lobby bancaire britannique a écrit (.pdf) le 1er décembre au directeur de l’Université de Cambridge pour lui demander que les travaux d’Omar Choubary soient « retirés de l’accès public immédiatement », c’est-à-dire censurés. « La publication de tels détails pourrait encourager des attaques nuisibles aux systèmes de paiement par carte, fragiliser la confiance que leur accorde le public, et/ou donner au crime organisé l’accès à un matériel qu’ils pourraient continuer à améliorer« , s’inquiète la UK Cards Association. Elle estime que jamais Cambridge n’aurait dû autoriser la publication de la thèse, et s’inquiète que cela puisse créer un précédent pour des publications encore plus « dangereuses » pour les banques.

L’Université a répondu (.pdf) le 24 décembre, par la voix du professeur Ross Anderson, expert en sécurité informatique. Loin de se plier à la demande du lobby bancaire, Anderson se fâche et défend son étudiant. « Vous semblez croire que nous pourrions censurer la thèse d’un étudiant, qui est légale et déjà dans le domaine public, simplement parce qu’un groupe d’intérêts trouve qu’elle est dérangeante. Cela montre une profonde incompréhension de ce que sont les universités et de la manière dont nous travaillons« , commence la réponse. « Cambridge est l’Université d’Erasmus, de Newton et de Darwin ; censurer des écrits qui offusquent les puissants est offensant pour nos valeurs les plus profondes« . En réaction au courrier de l’Association, il prévient même qu’il a donné l’autorisation de donner à la thèse le statut de rapport technique, ce qui « le rendra plus facile à trouver et à citer pour les gens, et assurera que sa présence sur notre site web soit permanente« .

Sur le fond, Anderson nie que la publication d’une telle thèse puisse nuire à la confiance qu’accorde le public aux cartes bancaires. « Ce qui donnera confiance aux systèmes de paiements c’est la preuve que les banques sont franches et honnêtes en admettant leurs faiblesses lorsqu’elles sont exposées, et diligentes en effectuant les corrections nécessaires. Votre lettre démontre que, au contraire, vos membres parmi les banques font de leur mieux de manière lamentable pour déprécier le travail de ceux qui ne font pas partie de leur petit club confortable, et même pour le censurer« .

Le lobby reprochait aussi à Choudary d’avoir participé à un reportage diffusé en France par Canal+, dans lequel le journaliste démontrait qu’il était possible de payer sans entrer le bon code PIN, sans avertir le commerçant. Mais le professeur en sécurité informatique n’y voit pas de violation du code éthique de l’Université, puisque c’est bien le compte de Canal+ qui a été débité, et que le marchand a bien été payé. Seule la sécurité qui aurait dû empêcher un tiers de se servir de la carte n’a pas fonctionné.

Enfin, Anderson promet aux banques un nouveau mal de tête, puisqu’il prépare avec son étudiant un nouveau travail sur les cartes de paiement avec carte à puce, qu’il présentera fin février dans une conférence sur la cryptographie financière. « C’est notre cadeau de Noël aux banquiers« , dit-il sur le blog de l’Université.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !