Cartes bancaires : la fraude qui menace
Isabelle Chaperon sur lefigaro.fr
Un leurre fait croire au terminal de paiement que le porteur de carte bancaire a bel et bien tapé son code confidentiel.
Depuis quelques jours, dans le plus grand secret, les grandes banques
françaises sont en état d'alerte. La profession prend très au sérieux
les affirmations d'un professeur de Cambridge assurant qu'il a trouvé
un moyen de contourner la sécurité des cartes bancaires à puce. Une
grande première quand le code confidentiel,
fierté du modèle français, était considéré jusque-là comme une
forteresse imprenable. «Le Crédit agricole, le Crédit mutuel, la Banque
postale ou encore BNP Paribas sont mobilisés pour prévenir un scénario
d'attaque», reconnaît un banquier.
L'universitaire britannique a
prévenu l'autorité qui supervise le secteur financier outre- manche, la
Financial Services Authority (FSA), ainsi que la Banque centrale
européenne (BCE), qu'il allait publier très bientôt le récit de son
expérience sur Internet. Cette perspective a provoqué un branle-bas de
combat en France afin de mettre en place un plan d'action sous la
houlette du Groupement des cartes bancaires, l'organisme qui gère le
système de paiement et de retrait par cartes dans l'Hexagone. Après la
panne géante intervenue en début de mois en Allemagne sur les cartes
bancaires, ou encore la récente fraude mise au jour en Espagne, jamais l'enjeu de la fiabilité et de la sécurité électronique n'aura été autant questionnée.
Identifier des failles dans les systèmes de cartes bancaires, c'est en tout cas l'obsession avouée du Britannique Ross Anderson, chercheur en sécurité informatique. Cette fois, l'universitaire reconnu s'en est pris au standard européen EMV (Europay-Mastercard-Visa), utilisé non seulement en France mais dans tous les pays d'Europe qui se sont ralliés progressivement ces dernières années à la carte à puce. Dans la ligne de mire, environ 500 millions de cartes en Europe, dont 60 millions en France.
Anticiper les attaques
«Le porteur de cartes ne subira pas de préjudice, pour autant qu'il soit de bonne foi», veut rassurer Gilles Guitton, président du conseil de direction du Groupement des cartes bancaires, «notre analyse technique est que le risque demeure extrêmement limité». «Le scénario de Ross Anderson fait partie de ces travaux universitaires qui nous aident à anticiper les attaques qui pourraient se produire un jour», positive même Jean-Marc Bornet, l'administrateur du Groupement.
En jargon de pirate informatique, le savant Cosinus anglais n'a pas «cassé» la puce, mais il a réussi à insérer un leurre faussant le dialogue entre la carte et le terminal de paiement. En clair, lors d'une transaction chez un commerçant, ce leurre fait croire au terminal de paiement que le porteur de carte bancaire a bel et bien tapé son code confidentiel. Dans de nombreux cas, cela suffit pour valider le paiement. Mais pas toujours.
Selon le Groupement, l'expérience réussie dans un laboratoire de Cambridge ne concerne que les cartes existantes en circulation et non des copies comme c'est le cas pour certaines fraudes. Ensuite, le leurre ne trompe pas les serveurs lorsqu'il y a une demande d'autorisation, ce qui exclut toutes les transactions sur Internet, les retraits au distributeur et les achats de gros montant. Dernier obstacle, enfin, la technique implique l'utilisation d'un gros matériel pas toujours très discret dans un magasin. Les professionnels estiment qu'il faudra du temps pour que les fraudeurs parviennent à miniaturiser un tel équipement. Et que d'ici là, ils auront peaufiné la parade.