Articles précédents : Humeur
- [40] France : les plaintes du SNEP provoquent le marasme Internet
- [11] Les spécs d'OASIS bientot la cible de Ben Laden ?
- [48] Offensive de communication
- [75] Free Drivers Petition
- [18] De l'esprit du Libre ... de l'ouverture du Libre !
- [42] Nouvelles de la Société Générale et de mozilla
- [100] L'industrie musicale demande des comptes aux FAI
- [48] Réflexion lancée à propos d'alternatives aux majors !
- [36] Comment s'en sortir toujours ultra-gagnant... par Microsoft
- [15] Humour dans le noyau
Liens connexes
- le J.O. (696 hits)
- la news (630 hits)
- le site du DCSSI (648 hits)
Dépêche modérée par
Humeur : Composition de l'observatoire de la sécurité des cartes de paiement
Posté par TSelek (). Modéré le 12 février 2003.
![[fr]](../../../images/fr.png)
le J.O. (696 hits)-
la news (630 hits)
-
le site du DCSSI (648 hits)
> Lire la dépêche (16 commentaires, moyenne: 6,2).
Ceci cache en fait une remise en cause de la toute-puissance du cartel bancaire, qui avait alors pu cacher à tous la faiblesse de la sécurité des cartes bancaires alors en usage. Jusqu'ici en effet seul le GIE Carte Bancaire avait autorité en matière de sécurité relative aux cartes bancaires, sous la tutelle symbolique de la Banque de France. Désormais la Banque de France, la nouvelle DCSSI et cet Observatoire surveilleront de plus près les nouvelles orientations du système informatique bancaire.
Pour réponse, le GIE CB a annoncé avoir certifié de nouvelles cartes à puces 32 bits, contre 8 bits précédemment, afin de pouvoir enfin disposer d'une authentification dynamique, à l'opposé de la valeur d'authentification statique si facilement clonée dans les Yes-cards.
Petit rappel : plus de 50% de la puissance de calcul tous CPU confondus est embarqué dans les cartes à puces, et déjà on pense à des cartes à puces multi-taches, POSIX voir même Linux, même si le projet GCOS est mort...
Re: Composition de l'observatoire de la sécurité des cartes de pai
C'est déjà une avancée mais je dois dire que je suis assez dubitatif....
Comment espérer de vrai changements et améliorations de nos cartes bleues si l'observatoire n'est pas composé au moins en partie de personnes ayant une expertise dans le domaine de la sécurité.....
Et puis que les puces soient 32bits ou 8bits ne changera pas grand chose si cette amélioration n'est pas exploitée correctement....
Enfin peut-être que je suis mauvaise langue mais avec le système banquaire, je m'attends à tout sauf du bon....
-
[^]Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Dsls (page perso, ) le 12/02/2003 à 11:51. (lien). Évalué à 20.De ce que je sais, il y a aujourd'hui 2 technologies embarquées dans les CB :
* Les CB B4-B0', les "vieilles",qui devraient enfin posséder pour les dernières des clefs secrètes 3DES (contre DES pour les précédentes), et un certificat signé (enfin ... un nouveau certificat, depuis que le précédent a été trouvé, cf. les yescards)
* Les CB a techno EMV (Europay-MasterCard-Visa ... pour une fois qu'ils sont d'accord), dont les spécifications sont publiques, et basées sur des algos ma foi assez performants : il y a plusieurs niveaux de signatures pour les certificats stockés : banque émettrice de la carte, elle-même signée par le GIE, lui-même signé par une autorité de certification,... parmi les méthodes d'authentification et de certification de la carte, on trouve des techniques avec des algo symétriques (et donc des cryptoprocesseurs péchus dans les puces), voire des communications chiffrées (type SSL) entre le lecteur et la carte, pour éviter les man-in-the-middle. Reste à voir si ces méthodes seront effectivement utilisées. Cette nouvelle techno devrait commencer à être utilisée d'ici juillet 2003, et les cb récentes devraient être mixtes B0'/EMV.-
[^]Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Dsls (page perso, ) le 12/02/2003 à 15:17. (lien). Évalué à 4.on trouve des techniques avec des algo symétriques (et donc des cryptoprocesseurs péchus dans les puces)
Oops ... il fallait bien sûr lire "des algo. asymétriques", mais vous aurez corrigé de vous-mêmes ;)
Un p'tit lien en passant, d'où on peut récupérer les specs EMV : http://www.emvco.com(...)
-
Re: Composition de l'observatoire de la sécurité des cartes de pai
Comme quoi, ne pas avoir accès à l'information est EXTREMEMENT dangeureux !
Bien content que quelqu'un surveille le GIE CB ...
-
[^]Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par TSelek () le 12/02/2003 à 15:35. (lien). Évalué à 5.Oui, mais le vrai problème est que les gens qui ont l'expertise dans ce domaine, et ils sont plutôt nombreux en France, ont tous signé des accords de non-divulgation ou de confidentialité vu qu'on ne vous laissera jamais entrer dans la partie sans avoir l'assurance que vous allez rester bien muet.
Donc les gens qui peuvent parler ne savent pas et ceux qui savent ne peuvent pas parler...
Humpich, ce qu'il a découvert, des tas de gens le savaient depuis longtemps, les cryptologues employés par le secteur public l'avaient même publié, et ce avant même que la carte CB ne soit lancée...
-
[^]Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Pierre Jarillon (page perso, ) le 12/02/2003 à 23:15. (lien). Évalué à 2.Un gros doute quand même : Dans le J.O. http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=ECOT0214265A Article 7 «M. Jean-Claude Trichet, gouverneur de la Banque de France, est nommé président de l'Observatoire de la sécurité des cartes de paiement.» J'ai entendu tout à l'heure qu'il passait actuellement au tribunal correctionnel suite à un énorme détournement de fonds. Je ne trouve pas que ça inspire confiance. Voir : http://fr.news.yahoo.com/030212/202/31p99.html
-
[^]Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Pierre () le 13/02/2003 à 02:05. (lien). Évalué à 4.C'est clair que c'est un énorme escroc qui devrait etre en tole depuis longtemps... Mais bon en France apparemment c'est plutot bien vu en ce moment... on peut meme finir president...
-
[^]Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Éric (Jabber id, page perso, ) le 13/02/2003 à 10:51. (lien). Évalué à 1.vive la présomption d'innocence ...
Dites, il a été condamné ou pas ? parce que dans le cas contraire ... (à moins que tu aies des infos exclusives et personnelles sur les faits mais si tu te contentes de juger par rapport au fait qu'il soit accusé alors c'est vraiment abuser que d'en tirer la conclusion que "c'est un escroc qui devrait être en tole depuis longtemps")
-
-
[^]Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Hubert (page perso, ) le 13/02/2003 à 08:53. (lien). Évalué à 3.Effectivement, non seulement ca n'inspire pas confiance... Mais si Jean-Claude Trichet se retrouve a l atete de cet Observatoire c'est uniquement parce que ses ennuis avec la Justice dans le cadre du dossier du Lyonnais l'empechent - pour l'instant - d'etre nomme a la tete de la Banque Centrale Europeenne...
Pour ce monsieur, la presidence de l'Observatoire de la securite de cartes de paiement n'est qu'un confortable et juteux salon d'attente...
Je ne me fais guere d'illusions sur ses ambitions et ses motivations a faire reellement avancer les chose en matiere de securite des cartes de paiement...
Il y a decidement quelque chose de pourri au royaume de la politique...
-
Re: Composition de l'observatoire de la sécurité des cartes de pai
Personellement, je me demande ce qu'on peut attendre d'une institution dans laquelle les politiques qui ont ete nommes sont venus uniquement pour pantoufler et recuperer au passage les indemnites...
J'en veux pour preuve la nomination a la tete de l'Observatoire de l'ex-Directeur de la Banque de France qui se voyait bien dirceteur de la Banque Centrale Europeenne, mais qui ne peut y alle pour l'instant a cause de la mise en examen dans le dossier du Credit Lyonnais... Dans ces conditions je ne pense pas que ce monsieur soit d'une grande motivation pour mener a bien les travaux de l'Observatoire...
On va encore se retrouver avec une institution qui aurait pu etre formidable, a condition qu'elle eut ete composee de politiques motives et ouverts, d'experts techniques et d'usagers...
Et la, du coup ca me semble mal barre... sniff :-(
-
[^]Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par kesako () le 12/02/2003 à 12:57. (lien). Évalué à 11.manifestement tu ne sais pas ce que c'est qu'un "carnet d'adresses".
Tes jeunes expert techniques seront surement geniaux mais que veux tu qu'ils fassent ? Ils auront beau gueuller , rien ne bougera.
Alors que l'ex-boss de la BdF , il lui suffit de prendre son telephonne et d'appeler directement le pdg de n'importe quelle banque meme Citycorp , et de dire "Cher ami, je vous remercie beaucoup pour votre reception du weekend dernier. Mon epouse etait ravie. oui oui c'etait tres bien ... Au fait j'ai sous les yeux un rapport de mes services a propos de votre systeme de payement. C'est pas mal du tout ce que vous faites, oui pas mal du tout, neamoins .... ( petit silence...) il me semble qu'il y a quelques points que vous devriez ameliorer " etc etc
Tu peux etre sur qu'en face dans les heures qui suivent , ca va etre le branlebas de combat , tout le monde sur le pont ! Corrigez moi ca et vite !-
[^]Re: Composition de l'observatoire de la sécurité des cartes de pai
-
[^]Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Hubert (page perso, ) le 12/02/2003 à 16:03. (lien). Évalué à 2.Je sais tres bien ce qu'est un carnet d'adresses et son utilite...
Ce que je voulais dire, c'est que si ce genre d'institutions ne contient pas un minimum de gens pointus sur le sujet, alors il y a peu de chances que les travaux soient ambitieux et pertinents...
Alors avec en plus de politicards qui ne sont venus la que pour pantoufler et empocher les indemnites...
Si bien que les carnets d'adresses bien garnis en question ne seront meme pas utilises a leur meilleur escient...
-
solécisme
à l'attention du modérateur et du posteur de la news :
mis à jour -> mis au jour
Il s'agit d'une révélation, pas d'un ajout de fonctionnalité et de correction de bogues.
-
[^]Re: solécisme
Posté par Xavier Antoviaque (page perso, ) le 12/02/2003 à 17:17. (lien). Évalué à 1.C'est corrigé. Merci pour la correction, et désolé pour la coquille...
--
Xavier.
Il y a des représentants des consommateurs
Donc arrétez, si vous découvrez un problème, informez en votre association de consommateurs préférée qui se fera un plaisir de faire suivre et si cela ne suit pas de faire du bruit.
Cette page a été générée par Templeet en 0.0912s (dont 0.011 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.