Isabelle Chaperon sur lefigaro.fr 


Un leurre fait croire au terminal de paiement que le porteur de carte bancaire a bel et bien tapé son code confidentiel.

Depuis quelques jours, dans le plus grand secret, les grandes banques françaises sont en état d'alerte. La profession prend très au sérieux les affirmations d'un professeur de Cambridge assurant qu'il a trouvé un moyen de contourner la sécurité des cartes bancaires à puce. Une grande première quand le code confidentiel, fierté du modèle français, était considéré jusque-là comme une forteresse imprenable. «Le Crédit agricole, le Crédit mutuel, la Banque postale ou encore BNP Paribas sont mobilisés pour prévenir un scénario d'attaque», reconnaît un banquier.
L'universitaire britannique a prévenu l'autorité qui supervise le secteur financier outre- manche, la Financial Services Authority (FSA), ainsi que la Banque centrale européenne (BCE), qu'il allait publier très bientôt le récit de son expérience sur Internet. Cette perspective a provoqué un branle-bas de combat en France afin de mettre en place un plan d'action sous la houlette du Groupement des cartes bancaires, l'organisme qui gère le système de paiement et de retrait par cartes dans l'Hexagone. Après la panne géante intervenue en ­début de mois en Allemagne sur les cartes bancaires, ou encore la récente fraude mise au jour en Espagne, jamais l'enjeu de la fiabilité et de la sécurité électronique n'aura été autant questionnée.

Identifier des failles dans les systèmes de cartes bancaires, c'est en tout cas l'obsession avouée du Britannique Ross Anderson, chercheur en sécurité ­informatique. Cette fois, l'universitaire reconnu s'en est pris au standard européen EMV (Europay-Mastercard-Visa), utilisé non seulement en France mais dans tous les pays d'Europe qui se sont ralliés progressivement ces dernières années à la carte à puce. Dans la ligne de mire, environ 500 millions de cartes en Europe, dont 60 millions en France.

Anticiper les attaques

«Le porteur de cartes ne subira pas de préjudice, pour autant qu'il soit de bonne foi», veut rassurer Gilles Guitton, président du conseil de direction du Groupement des cartes bancaires, «notre analyse technique est que le risque demeure extrêmement limité». «Le scénario de Ross Anderson fait partie de ces travaux universitaires qui nous aident à anticiper les attaques qui pourraient se produire un jour», positive même Jean-Marc Bornet, l'administrateur du Groupement.

En jargon de pirate informatique, le savant Cosinus anglais n'a pas «cassé» la puce, mais il a réussi à insérer un leurre faussant le dialogue entre la carte et le terminal de paiement. En clair, lors d'une transaction chez un commerçant, ce leurre fait croire au terminal de paiement que le porteur de carte bancaire a bel et bien tapé son code confidentiel. Dans de nombreux cas, cela suffit pour valider le paiement. Mais pas toujours.

Selon le Groupement, l'expérience réussie dans un laboratoire de Cambridge ne concerne que les cartes existantes en circulation et non des copies comme c'est le cas pour certaines fraudes. Ensuite, le leurre ne trompe pas les serveurs lorsqu'il y a une demande d'autorisation, ce qui exclut toutes les transactions sur Internet, les retraits au distributeur et les achats de gros montant. Dernier obstacle, enfin, la technique implique l'utilisation d'un gros matériel pas toujours très discret dans un magasin. Les professionnels estiment qu'il faudra du temps pour que les fraudeurs parviennent à miniaturiser un tel équipement. Et que d'ici là, ils auront peaufiné la parade.