Composition de l'observatoire de la sécurité des cartes de paiement

Posté par . Modéré par Xavier Antoviaque.
Tags :
0
12
fév.
2003
Sécurité
Suite à l'affaire Humpich (oui, ça date déjà...) qui avait in fine mis au jour la position juge-et-partie du GIE Carte Bancaire, le gouvernement Jospin avait alors mis en oeuvre deux réformes. En toute discrétion... La première était la réforme du SCSSI, transmuté en DCSSI. La seconde était la création d'un Observatoire de la sécurité des cartes de paiement. Or ses membres viennent d'être nommés... Un an après sa création, les membres de l'Observatoire de la sécurité des cartes de paiement ont donc été nommés par certains des ministres ainsi que par des représentants de la Banque de France et d'organismes représentant commercants et consommateurs. Il s'agit donc d'hommes politiques ou de représentants de la société civile n'ayant pas, ou peu, d'expertise dans le domaine...

Ceci cache en fait une remise en cause de la toute-puissance du cartel bancaire, qui avait alors pu cacher à tous la faiblesse de la sécurité des cartes bancaires alors en usage. Jusqu'ici en effet seul le GIE Carte Bancaire avait autorité en matière de sécurité relative aux cartes bancaires, sous la tutelle symbolique de la Banque de France. Désormais la Banque de France, la nouvelle DCSSI et cet Observatoire surveilleront de plus près les nouvelles orientations du système informatique bancaire.

Pour réponse, le GIE CB a annoncé avoir certifié de nouvelles cartes à puces 32 bits, contre 8 bits précédemment, afin de pouvoir enfin disposer d'une authentification dynamique, à l'opposé de la valeur d'authentification statique si facilement clonée dans les Yes-cards.

Petit rappel : plus de 50% de la puissance de calcul tous CPU confondus est embarqué dans les cartes à puces, et déjà on pense à des cartes à puces multi-taches, POSIX voir même Linux, même si le projet GCOS est mort...

Aller plus loin

  • # Re: Composition de l'observatoire de la sécurité des cartes de pai

    Posté par . Évalué à 10.

    C'est déjà une avancée mais je dois dire que je suis assez dubitatif....

    Comment espérer de vrai changements et améliorations de nos cartes bleues si l'observatoire n'est pas composé au moins en partie de personnes ayant une expertise dans le domaine de la sécurité.....

    Et puis que les puces soient 32bits ou 8bits ne changera pas grand chose si cette amélioration n'est pas exploitée correctement....

    Enfin peut-être que je suis mauvaise langue mais avec le système banquaire, je m'attends à tout sauf du bon....
    • [^] # Re: Composition de l'observatoire de la sécurité des cartes de pai

      Posté par (page perso) . Évalué à 10.

      De ce que je sais, il y a aujourd'hui 2 technologies embarquées dans les CB :
      * Les CB B4-B0', les "vieilles",qui devraient enfin posséder pour les dernières des clefs secrètes 3DES (contre DES pour les précédentes), et un certificat signé (enfin ... un nouveau certificat, depuis que le précédent a été trouvé, cf. les yescards)
      * Les CB a techno EMV (Europay-MasterCard-Visa ... pour une fois qu'ils sont d'accord), dont les spécifications sont publiques, et basées sur des algos ma foi assez performants : il y a plusieurs niveaux de signatures pour les certificats stockés : banque émettrice de la carte, elle-même signée par le GIE, lui-même signé par une autorité de certification,... parmi les méthodes d'authentification et de certification de la carte, on trouve des techniques avec des algo symétriques (et donc des cryptoprocesseurs péchus dans les puces), voire des communications chiffrées (type SSL) entre le lecteur et la carte, pour éviter les man-in-the-middle. Reste à voir si ces méthodes seront effectivement utilisées. Cette nouvelle techno devrait commencer à être utilisée d'ici juillet 2003, et les cb récentes devraient être mixtes B0'/EMV.
  • # Re: Composition de l'observatoire de la sécurité des cartes de pai

    Posté par . Évalué à 10.

    Comme quoi, ne pas avoir accès à l'information est EXTREMEMENT dangeureux !
    Bien content que quelqu'un surveille le GIE CB ...
    • [^] # Re: Composition de l'observatoire de la sécurité des cartes de pai

      Posté par . Évalué à 5.

      Oui, mais le vrai problème est que les gens qui ont l'expertise dans ce domaine, et ils sont plutôt nombreux en France, ont tous signé des accords de non-divulgation ou de confidentialité vu qu'on ne vous laissera jamais entrer dans la partie sans avoir l'assurance que vous allez rester bien muet.

      Donc les gens qui peuvent parler ne savent pas et ceux qui savent ne peuvent pas parler...

      Humpich, ce qu'il a découvert, des tas de gens le savaient depuis longtemps, les cryptologues employés par le secteur public l'avaient même publié, et ce avant même que la carte CB ne soit lancée...
    • [^] # Re: Composition de l'observatoire de la sécurité des cartes de pai

      Posté par (page perso) . Évalué à 2.

      Un gros doute quand même : Dans le J.O. http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=ECOT0214265A Article 7 «M. Jean-Claude Trichet, gouverneur de la Banque de France, est nommé président de l'Observatoire de la sécurité des cartes de paiement.» J'ai entendu tout à l'heure qu'il passait actuellement au tribunal correctionnel suite à un énorme détournement de fonds. Je ne trouve pas que ça inspire confiance. Voir : http://fr.news.yahoo.com/030212/202/31p99.html
      • [^] # Re: Composition de l'observatoire de la sécurité des cartes de pai

        Posté par . Évalué à 4.

        C'est clair que c'est un énorme escroc qui devrait etre en tole depuis longtemps... Mais bon en France apparemment c'est plutot bien vu en ce moment... on peut meme finir president...
        • [^] # Re: Composition de l'observatoire de la sécurité des cartes de pai

          Posté par (page perso) . Évalué à 1.

          vive la présomption d'innocence ...


          Dites, il a été condamné ou pas ? parce que dans le cas contraire ... (à moins que tu aies des infos exclusives et personnelles sur les faits mais si tu te contentes de juger par rapport au fait qu'il soit accusé alors c'est vraiment abuser que d'en tirer la conclusion que "c'est un escroc qui devrait être en tole depuis longtemps")
      • [^] # Re: Composition de l'observatoire de la sécurité des cartes de pai

        Posté par (page perso) . Évalué à 3.

        Effectivement, non seulement ca n'inspire pas confiance... Mais si Jean-Claude Trichet se retrouve a l atete de cet Observatoire c'est uniquement parce que ses ennuis avec la Justice dans le cadre du dossier du Lyonnais l'empechent - pour l'instant - d'etre nomme a la tete de la Banque Centrale Europeenne...
        Pour ce monsieur, la presidence de l'Observatoire de la securite de cartes de paiement n'est qu'un confortable et juteux salon d'attente...

        Je ne me fais guere d'illusions sur ses ambitions et ses motivations a faire reellement avancer les chose en matiere de securite des cartes de paiement...

        Il y a decidement quelque chose de pourri au royaume de la politique...
  • # Re: Composition de l'observatoire de la sécurité des cartes de pai

    Posté par (page perso) . Évalué à 10.

    Personellement, je me demande ce qu'on peut attendre d'une institution dans laquelle les politiques qui ont ete nommes sont venus uniquement pour pantoufler et recuperer au passage les indemnites...

    J'en veux pour preuve la nomination a la tete de l'Observatoire de l'ex-Directeur de la Banque de France qui se voyait bien dirceteur de la Banque Centrale Europeenne, mais qui ne peut y alle pour l'instant a cause de la mise en examen dans le dossier du Credit Lyonnais... Dans ces conditions je ne pense pas que ce monsieur soit d'une grande motivation pour mener a bien les travaux de l'Observatoire...

    On va encore se retrouver avec une institution qui aurait pu etre formidable, a condition qu'elle eut ete composee de politiques motives et ouverts, d'experts techniques et d'usagers...

    Et la, du coup ca me semble mal barre... sniff :-(
    • [^] # Re: Composition de l'observatoire de la sécurité des cartes de pai

      Posté par . Évalué à 10.

      manifestement tu ne sais pas ce que c'est qu'un "carnet d'adresses".

      Tes jeunes expert techniques seront surement geniaux mais que veux tu qu'ils fassent ? Ils auront beau gueuller , rien ne bougera.

      Alors que l'ex-boss de la BdF , il lui suffit de prendre son telephonne et d'appeler directement le pdg de n'importe quelle banque meme Citycorp , et de dire "Cher ami, je vous remercie beaucoup pour votre reception du weekend dernier. Mon epouse etait ravie. oui oui c'etait tres bien ... Au fait j'ai sous les yeux un rapport de mes services a propos de votre systeme de payement. C'est pas mal du tout ce que vous faites, oui pas mal du tout, neamoins .... ( petit silence...) il me semble qu'il y a quelques points que vous devriez ameliorer " etc etc

      Tu peux etre sur qu'en face dans les heures qui suivent , ca va etre le branlebas de combat , tout le monde sur le pont ! Corrigez moi ca et vite !
      • [^] # Re: Composition de l'observatoire de la sécurité des cartes de pai

        Posté par . Évalué à 5.

        Tes jeunes expert techniques seront surement geniaux mais que veux tu qu'ils fassent ? Ils auront beau gueuller , rien ne bougera.

        Bien sûr que si. Il suffit de leur donner un pouvoir coercitif, et des moyens d'application.
      • [^] # Re: Composition de l'observatoire de la sécurité des cartes de pai

        Posté par (page perso) . Évalué à 2.

        Je sais tres bien ce qu'est un carnet d'adresses et son utilite...

        Ce que je voulais dire, c'est que si ce genre d'institutions ne contient pas un minimum de gens pointus sur le sujet, alors il y a peu de chances que les travaux soient ambitieux et pertinents...

        Alors avec en plus de politicards qui ne sont venus la que pour pantoufler et empocher les indemnites...

        Si bien que les carnets d'adresses bien garnis en question ne seront meme pas utilises a leur meilleur escient...
  • # solécisme

    Posté par . Évalué à 1.

    à l'attention du modérateur et du posteur de la news :
    mis à jour -> mis au jour
    Il s'agit d'une révélation, pas d'un ajout de fonctionnalité et de correction de bogues.
  • # Il y a des représentants des consommateurs

    Posté par . Évalué à 2.

    Donc arrétez, si vous découvrez un problème, informez en votre association de consommateurs préférée qui se fera un plaisir de faire suivre et si cela ne suit pas de faire du bruit.

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.