Le banquier et la modernisation des systèmes de paiement, le cas de la carte bancaire.

PARAGRAPHE II : LES ANOMALIES EXOGENES AU MECANISME DE LA CARTE BANCAIRE.

Certaines anomalies sont dues à des éléments extérieurs au mécanisme de la carte bancaire. Elles proviennent d'un apport extérieur. Plusieurs techniques, techniques des escrocs^50(*), sont usitées pour aboutir à cette fin. Les plus connues sont : le collet marseillais, la méthode "Yescard ou Humpich" ou utilisation frauduleuse via certains sites de vente en ligne non sécurisés. Cette dernière est l'arnaque en pleine expansion, notamment avec le développement des achats en ligne sur internet. Il suffit de récupérer un numéro de carte, la date de validité et les quelques chiffres qui figurent au dos. Jugé récemment, un Toulousain qui travaillait dans une station service relevait ces renseignements qu'il mettait ensuite à profit pour nourrir sa passion du jeu^51(*). Qu'en est-il du collet marseillais et du « yes card » ?

A- LE COLLET MARSEILLAIS

Cette technique, comme l'indique son nom, est née à Marseille mais s'est maintenant répandu dans de nombreuses régions et les pays voisins. Divers moyens sont utilisés afin de bloquer la carte : un simple bout de carton plié glissé dans la fente du distributeur, un élément d'une cassette vidéo, ou encore un vrai "collet marseillais", fabriqué avec un fil de fer et du sparadrap...^52(*)Ce système consiste à mettre cet élément métallique (pince...) au fond du lecteur de carte du distributeur de billets pour bloquer les cartes. Une personne rentre sa carte, cela ne marche pas, le fraudeur suggère alors à la personne de taper son code secret à 4 chiffres, il le mémorise. Il suggère ensuite au porteur de carte de s'adresser à l'agence bancaire pour récupérer la carte. Pendant ce temps, il retire la carte à l'aide d'un fil de nylon et utilise la carte avec le code secret.
L'avantage par rapport à la technique précédente est qu'il n'y a pas besoin de complice.

B- LE YESCARD, dit METHODE HUMPICH

Il s'agit d'une carte bancaire dont la principale caractéristique est d'accepter toutes les opérations bancaires^53(*).   En 1998, l'affaire Serge Humpich fait la une des journaux. Cet informaticien a montré qu'il était possible de fabriquer de toute pièce une fausse carte qui permettait de payer chez un commerçant^54(*). On parle très souvent soit de Simulacre de carte à puce avec numéro de porteur inexistant ou de simulacre de carte à puce avec numéro de porteur existant.

La première consiste à appliquer une formule mathématique secrète des cartes bancaires publiées sur internet. C'est-à-dire :

- Un numéro de carte de 16 chiffres correspondant à une banque est généré aléatoirement. Elle vérifie le format de clé de Luhn.

- Une date d'expiration dans le futur est choisie

- Un nom de porteur est choisi arbitrairement

- Ces informations sont encodées au format hexadécimal

- Cela donne un numéro de 48 chiffres décimal (160 bits) appelé identifié (Id)

- Ce chiffre est multiplié par 1+2^160 (un plus 2 puissance par 160), cela donne un numéro de 96 chiffres décimaux (320 bits)

- ce numéro de 96 chiffres est élevé à la puissance exposant privé modulo le produit public (ces deux chiffres ont été publiés sur Internet). Cela donne un numéro de 96 chiffres (320 bits) appelé valeur d'authentification (VA)

- programmer une carte à puce blanche pour dialoguer avec un terminal de paiement, cela ressemble à la programmation d'une carte à puce pirate pour les décodeurs de téléviseurs satellite ou de canal +.

- Ces numéros de 48 (Id) et 96 chiffres (VA) sont alors stockés sur cette carte à puce blanche programmable. Comme les numéros utilisés seraient mis normalement en opposition le soir, il faut changer le numéro de carte à 16 chiffres après chaque jour d'utilisation.

La seconde est une variante de la méthode "Yescard Humpich" : au lieu d'utiliser des numéros de carte inexistants choisis au hasard, le pirate choisit des numéros de carte correspondant à un porteur réel trouvé sur une facturette ou lus sur une carte bancaire laissée sans surveillance quelques secondes ou trouvés sur un fichier de commerçants (que le commerçant soit sur internet ou pas. Cela revient au final à faire un clonage de puce sans avoir besoin de lire sur la puce d'un porteur tiers. Il s'agit de recopier les informations de la carte à puce sur une autre carte à puce programmable. Pour cela il n'y a nullement besoin de connaître le code secret, les informations sont en lecture libre : voir l'explorateur de carte bancaire
les informations sur la carte à puce sont échangées avec le terminal de paiement avant que le porteur tape son code secret à 4 chiffres
il est donc également possible d'intercepter les échanges entre la carte à puce et un terminal de paiement chez un commerçant. Cela peut être fait très simplement à l'insu du porteur. Il n'y a pas besoin de retenir le code secret. Le simulacre de carte bancaire ("Yescard") répond "Oui" à n'importe quel code à 4 chiffres. Cette méthode est pratiquée par les pirates.

* ⁵⁰ Plusieurs facteurs montrent la vulnérabilité des cartes bancaires : les Faux distributeurs constatés en Afrique du sud, l'interception communication des DAB, les codes devinés pour les DAB, le Clonage de carte à puce, le Cassage algorithme DES 56 bits puce...

* ⁵¹ http://www.ladepeche.fr/article/2008/04/24/450338-Arnaques-a-la-carte-bancaire.html consulté le 26/08/2010.

* ⁵² http://www.france-jeunes.net/lire-alerte-a-la-carte-bancaire-6093.htm 27/09/2010 consulté le 26/08/2010

* ⁵³ http://dictionnaire.phpmyvisites.net/definition-Yescard-9318.htm consulté le 04/09/2010.

* ⁵⁴ http://www.bibmath.net/crypto/moderne/cb.php3 consulté le 04/09/2010.