Journal Banques : à quand une condamnation sévère pour non-sécurisation ?

Posté par  .
Étiquettes :
42
24
avr.
2012

En lisant les actualités ce matin, je suis tombé sur un article qui nous apprend que les banques font encore preuve d'amateurisme dans la gestion de la sécurité des transactions de leurs clients. En effet on y apprend qu'il est facile d'accéder aux données contenues dans les cartes bancaires sans contact (RFID) uniquement à l'aide d'un adaptateur USB NFC. Pas de faille particulière, les données sont en clair. Parmi ces données, la carte contient toutes les infos permettant à quelqu'un de faire des achats sans forcément avoir le code de la carte (nom prénom du titulaire, No de carte, etc …) ainsi la liste des 20 dernières opérations effectuées (je ne comprends pas l'intéret de stocker ça sur la carte). Renaud Lifchitz, le chercheur - ou ingénieur qui a fait ces découvertes, fait remarquer à juste titre que la carte Navigo, qui est moins sensible qu'une carte bancare, dispose de moyens de sécurisation assez poussé alors qu'il ne s'agit qu'une simple carte de transports.

Les arguments du monde bancaire :
- il n'est pas possible d'accéder à ces données à plus de 3 cm
- les paiements autorisés par cette fonctionnalité ne peuvent dépasser 20 euros.

Ces deux arguments sont démontés dans l'article original que je vous invite à lire pour plus de détails. Je vous invite à poster dans les commentaires des liens qui iraient compléter ou infirmer l'info originelle.

  • # Un oubli (si un modérateur pouvait corriger)

    Posté par  . Évalué à 6.

    Pouvez-vous SVP remplacer "En effet on y apprend qu'il est facile d'accéder aux données contenues dans cette carte uniquement à l'aide d'un adaptateur USB NFC. " par
    "En effet on y apprend qu'il est facile d'accéder aux données contenues dans les cartes bancaires sans contact (RFID) uniquement à l'aide d'un adaptateur USB NFC. "

    Je l'avias mis dans une phrase que j'ai supprimée, et je ne l'ai pas vu à la relecture.

    Merci d'avance.

  • # Tout est relatif

    Posté par  . Évalué à 10.

    À quand une condamnation sévère pour non-sécurisation ? En effet on y apprend qu'il est facile d'accéder aux données contenues dans cette carte uniquement à l'aide d'un adaptateur USB NFC. Pas de faille particulière, les données sont en clair.

    Bof, c'est pas grave, ça. Ce qui est criminel, c'est de laisser son Wi-Fi ouvert ! En taule, les internautes !

  • # Il devrait faire attention

    Posté par  (site web personnel) . Évalué à 5.

    • [^] # Re: Il devrait faire attention

      Posté par  . Évalué à 3. Dernière modification le 24 avril 2012 à 13:30.

      Effectivement, mais le cas d'Humpich est différent : Humpich s'est introduit dans le système et a utilisé ses découvertes pour payer frauduleusement des tickets de métro. Là il n'y a aucune utilisation. Pas d'introduction, juste un accès à des données mise à la vue de tous (c'est un peu comme si tu accusais quelqu'un de voyeurisme ou de violation de vie privée parce qu'il te prévient que l'on te vois à poil tous les matins lorsque tu t'habilles devant la fenêtre sans fermer ni rideau ni fenêtre). Humpich, ce serait plutôt un truc du genre débarquer sur ton balcon un matin, alors que tu es à poil, en te disant que la fermeture de ta fenetre est pourrie parce qu'il a réussi à la forcer juste en poussant le battant de celle-ci.

      • [^] # Re: Il devrait faire attention

        Posté par  . Évalué à 10. Dernière modification le 24 avril 2012 à 14:03.

        En fait, il a vu que les portes fabriquées par ACME n'avaient pas de verrous alors que le slogan de ACME est "les portes bien fermées". Alors il a prévenu ACME qui l'a envoyé bouler, plusieurs fois. Donc les gens continuent d'avoir des portes en carton en croyant qu'elles sont bien fermées. Alors il a ouvert une porte et est rentré chez quelqu'un (et encore, l'article dit que les comptes utilisés n'existaient même pas) et l'a étalé sur la place publique pour que tout le monde se rende compte qu'ACME vend de la merde.

        • [^] # Re: Il devrait faire attention

          Posté par  . Évalué à 6. Dernière modification le 24 avril 2012 à 15:16.

          Le cas est plutôt similaire à celui de fin 2010, où une voie d'attaque no-pin a été découverte. Canal+ avait filmé le chercheur faire une attaque où il peut payer sans entrer le code. Personne n'a été lésé, il a utilisé la carte du journaliste (qui était d'accord) et le marchand a été payé normalement.

          C'est différent du cas de Humpish, qui avait fait un achat sans le payer (yes-card, le paiement est accepté mais débité sur aucun compte). Il aurait dû faire un achat chez un marchand qui était d'accord et le régler en espèces en parallèle. Mais même dans ce cas les banques auraient pu l'accuser quand même pour avoir entré dans le système bancaire un paiement sur un compte fictif.

          Dans le cas de 2010, le professeur de Cambridge Ross Anderson a publié sur son blog, une lettre cinglante dont je conseille vivement la lecture (elle m'a fait bien marrer). Pour un débat, slashdot.

          • [^] # Re: Il devrait faire attention

            Posté par  . Évalué à 10.

            Pis c'est vrai que des tickets de métro, c'est pas du tout pour le symbole, hein! De toute évidence il se lançait dans un véritable trafic dans le seul but de s'enrichir personnellement!

            • [^] # Re: Il devrait faire attention

              Posté par  (site web personnel) . Évalué à 10.

              En plus c'est vachement rentable de piquer des tickets de métro quand on paie la présence d'un huissier.

            • [^] # Re: Il devrait faire attention

              Posté par  . Évalué à 1.

              dans le seul but de s'enrichir personnellement!

              Ben justement, il voulait se faire de l'argent. Pas en se lancant dans la fraude ni en cherchant a faire le maximum de fric avec sa decouverte, mais en monnayant quand meme ses connaissances aupres du GIE. Bref, on est quand meme vachement loin d'un chercheur qui n'espere pas de gain financier direct de ses decouvertes.

              Par ailleurs, aller voir quelqu'un et lui dire: "J'ai trouve des failles dans ton systeme, je peux t'aider a les fermer mais pour ca il va falloir passer a la caisse." c'est clairement stupide au niveau strategique.

              Attendu qu’au cours d’une seconde entrevue du 23 juillet 1998, Me Sayn fera valoir à ses interlocuteurs le souhait de son client, détenteur du “passe” des cartes bancaires, de négocier sa découverte dans le cadre d’un accord secret intitulé “contrat de transmission de savoir-faire et de secret” dont un projet, non chiffré quant aux exigences financières, sera remis par l’avocat ; que le nom de l’inventeur y est gardé secret, ce dernier étant présenté comme informaticien, électronicien et mathématicien ; qu’au dire du représentant du GIE Cartes bancaires, Me Sayn précisera ne pouvoir se porter garant de son client, susceptible de "vider les DAB", et envisager “si le groupement n’est pas intéressé (…) d’aller voir des industriels, voire aux Etats-Unis” ;
              http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=1200

              Le GIE n'est clairement pas a plaindre dans cette affaire et ils voulaient a tout prix garder la main niveau comm' aupres du grand public en annoncant un systeme super securise (ce qui etait de la grosse bidonade), mais en face on est loin du chevalier blanc

              • [^] # Re: Il devrait faire attention

                Posté par  . Évalué à 3.

                Par ailleurs, aller voir quelqu'un et lui dire: "J'ai trouve des failles dans ton systeme, je peux t'aider a les fermer mais pour ca il va falloir passer a la caisse." c'est clairement stupide au niveau strategique.

                Je ne comprends pas ta remarque : pour toi un chercheur ou amateur devrait travailler à l'oeil ? Non, je pense que le GIE a voulu simplement le faire taire lui et tous ceux qui auraient la mauvaise idée de remettre en question leur discours officiel.

                • [^] # Re: Il devrait faire attention

                  Posté par  . Évalué à 10. Dernière modification le 25 avril 2012 à 13:11.

                  pour toi un chercheur ou amateur devrait travailler à l'oeil ?

                  Demander de l'argent à un banquier, c'est vraiment chercher les problèmes.

                • [^] # Re: Il devrait faire attention

                  Posté par  . Évalué à 2.

                  pour toi un chercheur ou amateur devrait travailler à l'oeil ?

                  C'est quoi le rapport?

                  Le probleme c'est pas de se faire payer pour son boulot (ce qui est tout a fait normal), c'est de conditionner la divulgation de la faille a un remuneration (jusque la ca va), le tout assorti dixit le GIE de menaces voilees (et la c'est plus du tout la meme chose).

                  Pour le GIE, en plus de la mauvaise pub, ils ont surement pense que ca ressemblait un peu a de l'extorsion: au dire du représentant du GIE Cartes bancaires, Me Sayn précisera ne pouvoir se porter garant de son client, susceptible de "vider les DAB"

                  • [^] # Re: Il devrait faire attention

                    Posté par  . Évalué à 2.

                    Pour le GIE, en plus de la mauvaise pub, ils ont surement pense que ca ressemblait un peu a de l'extorsion.
                    Tiout dépend effectivement de la façon dont les choses ont été présentées, mais pour moi ce n'est pas simplement le fait de proposer ses services qui pose problème. Est-ce qu'il avait conditionné le fait de révéler la faille à cette rémunération, ou a-t-il proposé ses services après avoir révélé ladite faille ?

                  • [^] # Re: Il devrait faire attention

                    Posté par  . Évalué à 1.

                    au dire du représentant du GIE Cartes bancaires

                    Je ne sais pas pourquoi, j'ai comme un doute sur la suite…

                    Me Sayn précisera ne pouvoir se porter garant de son client, susceptible de "vider les DAB"

                    Cf ci-dessus. Si c'est vrai, c'est probablement l'avocat le plus con qu'on ait vu (bon, à part peut-être un certain G. Collard, mais j'ai du mal à le classer "avocat" au vu de ses brillants succès…)

                    Si c'était vrai, pourquoi donc ne pas avoir porté plainte pour tentative d'extorsion de fonds?

                    • [^] # Re: Il devrait faire attention

                      Posté par  . Évalué à 6. Dernière modification le 26 avril 2012 à 12:31.

                      pourquoi donc ne pas avoir porté plainte pour tentative d'extorsion de fonds?

                      Une tentative est caractérisée par un commencement d'exécution (L. 121-5 du code pénal, ou lire Responsabilité pénale en France). Ici il n'y a pas de commencement, juste une rumeur qu'il pourrait s'y mettre. Tu pourrais considérer qu'il menace de commettre un délit, mais il semble qu'il n'y ait dans le code pénal dans son cas particulier.

                      Y'a des articles contre :

                      • menaces de délit contre les personnes avec ordre de remplir une condition (« donne moi ton fric ou je te tabasse »), L. 222-18,
                      • extorsion sous la menace d'un animal dangereux, L. 312-12-1
                      • menaces de délit contre les personnes et les biens, mais seulement à l'encontre des élus et agents de l'autorité, L 433-3.
                      • menaces de destructions de biens avec ordre de remplir une condition, L 322-13.

                      Voir ce tableau de droit pénal pour la liste complète.

                      Même à considérer qu'il y aurait eu menaces (et ça resterait à prouver, l'avocat peut avoir raconté n'importe quoi), ces menaces ne sont apparemment pas un délit (pour autant que j'aie pu comprendre à la lecture du code).

  • # Presque

    Posté par  . Évalué à 4.

    2 choses à tempérer, toutefois :

    • les infos statiques sont en clair et sans auth, mais pour effectuer un paiement ou un retrait, il faut quand même passer par la puce de crypto.

    • pour le badge navigo, c'est la même chose, sauf que les données statiques se limitent à un id de carte et un id d'user. et bien qu'il y ait authentification lors d'un passage dans le métro, une location de vélib utilise uniquement l'un des id aussi récupérable en clair et sans auth.

    après, ça n'enlève rien au fait que (d'après Renaud Lipchitz), les infos dispo en clair sont suffisantes pour créer un clone utilisable partout où seule la bande magnétique est utilisée, ou effectuer des paiements en brute-forçant le CVV

    • [^] # Re: Presque

      Posté par  (site web personnel) . Évalué à 1.

      1) sauf à l'étranger.
      2) la crypto forte est utilisé : "le pass Navigo dispose d’une forte sécurité (échange de clés symétriques, authentification dynamique, chiffrement des données) « alors qu’il ne s’agit que d’un simple titre de transport ».

      Il faudrait lire l'article avant de répondre :)

      "La première sécurité est la liberté"

      • [^] # Re: Presque

        Posté par  . Évalué à 6.

        1) la réponse est à 46' de la vidéo, et j'ai bien rappelé que « les infos dispo en clair sont suffisantes pour créer un clone utilisable partout où seule la bande magnétique est utilisée ».
        2) la réponse est à 44'30 de la vidéo.

        Il faudrait peut-être aussi ne pas se contenter de la version formatée grand public de PC INpact :)

        « écouter une carte de paiement pendant une opération bancaire », « capter les communications »… Il n'en est pas du tout question dans la présentation.

  • # MOUARFF

    Posté par  . Évalué à 10.

    Elles sont deja pas condamne quand elles font n'importe quoi avec ton argent et cree a elles seules la crise actuelle alors pour ce genre de details ne rigolons pas stp.

    • [^] # Re: MOUARFF

      Posté par  . Évalué à -2.

      +1
      C'est quoi 20euro par rapport aux milliards de pertes en bourse.
      Il suffit de nationaliser la dette…

      Tout le monde a un cerveau. Mais peu de gens le savent.

  • # Vérifications ?

    Posté par  . Évalué à 4.

    ainsi la liste des 20 dernières opérations effectuées (je ne comprends pas l'intéret de stocker ça sur la carte)

    Le but n'est pas de pouvoir faire des vérifications en cas de contestation d'un payement ?

    « Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche

    • [^] # Re: Vérifications ?

      Posté par  . Évalué à 7.

      dans ce cas 20 c'est un peu léger. En une semaine tu fais 6 boulangerie pour la baguette le soir - ou le matin, 5 resto ou boulangerie le midi; tu arrives déjà à 11. Ça ne tient même pas 1 mois, pour contester c'est un peu léger non ?

      Si c'est pour contester avec le commerçant, les cinq dernière devraient être amplement suffisante; bref soit c'est trop, soit c'est pas assez.

      Il ne faut pas décorner les boeufs avant d'avoir semé le vent

  • # le but "du tout dématarialisé"?

    Posté par  . Évalué à -5.

    D'accord, c'est hyper pratique d'acheter sur un site chinois avec un compte type paypal.
    Mais n'abusons-nous pas ici avec le NFC? À terme disparition de toutes monnaies/medium physiques et donc contrôlables?

    Certes, c'est paradoxal de dire ça vu que l'argent dette nait de toute façon du néant, mais n'est-ce pas une étape de trop?

    • [^] # Re: le but "du tout dématarialisé"?

      Posté par  . Évalué à 5.

      C'est quoi la différence, pour toi, entre de l'argent échangé via NFC et de l'argent échangé via une carte bancaire ?!?

      • [^] # Re: le but "du tout dématarialisé"?

        Posté par  . Évalué à 1.

        Le NFC à plus vocation à remplacer la petite monnaie que les achats par carte bleue. Par contre je ne le rejoins absolument pas lorsqu'il parle de la disparition de monnaie contrôlable. Elle est déjà décoloré de la valeur réelle .

        Il ne faut pas décorner les boeufs avant d'avoir semé le vent

      • [^] # Re: le but "du tout dématarialisé"?

        Posté par  . Évalué à -4.

        C'est quoi la différence, pour toi, entre de l'argent échangé via NFC et de l'argent échangé via une carte bancaire ?!?

        Je n'ai pas dit qu'il y en avait, mais là avec le NFC on va plus loin. Je fais encore mes achats utiles cf: nourriture, toilette avec du "cash".
        J'essaie encore de garder ce contact, d'avoir une idée "physique" de ce qu'il me reste en poche, ça évite également les achats impulsifs. Je connais des gens qui ne savent même plus gérer de l'argent physique, comment par exemple savoir fractionner au mieux telle quantité de pièces et billets sans générer trop de fragmentation.

        • [^] # Re: le but "du tout dématarialisé"?

          Posté par  (site web personnel) . Évalué à 2.

          d'avoir une idée "physique" de ce qu'il me reste en poche

          Tu as un problème avec les nombre? physique ou pas, tu as le même montant.

          Je connais des gens qui ne savent même plus gérer de l'argent physique, comment par exemple savoir fractionner au mieux telle quantité de pièces et billets sans générer trop de fragmentation.

          Je connais des gens qui ne savent même plus monter à cheval. Vraiment ça craint d'avoir remplacé le cheval par la voiture.
          bref : et?

          Mmm… Résistance au changement?

          • [^] # Re: le but "du tout dématarialisé"?

            Posté par  . Évalué à -5.

            Je connais des gens qui ne savent même plus monter à cheval. Vraiment ça craint d'avoir remplacé le cheval par la voiture.

            Tu peux marcher, non?
            Ce n'est pas de la resistance au changement, mais on sait très bien où va cette dématerialisation de l'argent, pour l'instant c'est une option mais à terme?

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.