Ceci cache en fait une remise en cause de la toute-puissance du cartel bancaire, qui avait alors pu cacher à tous la faiblesse de la sécurité des cartes bancaires alors en usage. Jusqu'ici en effet seul le GIE Carte Bancaire avait autorité en matière de sécurité relative aux cartes bancaires, sous la tutelle symbolique de la Banque de France. Désormais la Banque de France, la nouvelle DCSSI et cet Observatoire surveilleront de plus près les nouvelles orientations du système informatique bancaire.
Pour réponse, le GIE CB a annoncé avoir certifié de nouvelles cartes à puces 32 bits, contre 8 bits précédemment, afin de pouvoir enfin disposer d'une authentification dynamique, à l'opposé de la valeur d'authentification statique si facilement clonée dans les Yes-cards.
Petit rappel : plus de 50% de la puissance de calcul tous CPU confondus est embarqué dans les cartes à puces, et déjà on pense à des cartes à puces multi-taches, POSIX voir même Linux, même si le projet GCOS est mort...
Aller plus loin
- le J.O. (6 clics)
- la news (3 clics)
- le site du DCSSI (7 clics)
# Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Slaanesh . Évalué à 10.
Comment espérer de vrai changements et améliorations de nos cartes bleues si l'observatoire n'est pas composé au moins en partie de personnes ayant une expertise dans le domaine de la sécurité.....
Et puis que les puces soient 32bits ou 8bits ne changera pas grand chose si cette amélioration n'est pas exploitée correctement....
Enfin peut-être que je suis mauvaise langue mais avec le système banquaire, je m'attends à tout sauf du bon....
[^] # Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Bruno (site web personnel) . Évalué à 10.
* Les CB B4-B0', les "vieilles",qui devraient enfin posséder pour les dernières des clefs secrètes 3DES (contre DES pour les précédentes), et un certificat signé (enfin ... un nouveau certificat, depuis que le précédent a été trouvé, cf. les yescards)
* Les CB a techno EMV (Europay-MasterCard-Visa ... pour une fois qu'ils sont d'accord), dont les spécifications sont publiques, et basées sur des algos ma foi assez performants : il y a plusieurs niveaux de signatures pour les certificats stockés : banque émettrice de la carte, elle-même signée par le GIE, lui-même signé par une autorité de certification,... parmi les méthodes d'authentification et de certification de la carte, on trouve des techniques avec des algo symétriques (et donc des cryptoprocesseurs péchus dans les puces), voire des communications chiffrées (type SSL) entre le lecteur et la carte, pour éviter les man-in-the-middle. Reste à voir si ces méthodes seront effectivement utilisées. Cette nouvelle techno devrait commencer à être utilisée d'ici juillet 2003, et les cb récentes devraient être mixtes B0'/EMV.
[^] # Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Bruno (site web personnel) . Évalué à 4.
Oops ... il fallait bien sûr lire "des algo. asymétriques", mais vous aurez corrigé de vous-mêmes ;)
Un p'tit lien en passant, d'où on peut récupérer les specs EMV : http://www.emvco.com(...)
# Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Stéphane Bourzeix . Évalué à 10.
Bien content que quelqu'un surveille le GIE CB ...
[^] # Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par TSelek . Évalué à 5.
Donc les gens qui peuvent parler ne savent pas et ceux qui savent ne peuvent pas parler...
Humpich, ce qu'il a découvert, des tas de gens le savaient depuis longtemps, les cryptologues employés par le secteur public l'avaient même publié, et ce avant même que la carte CB ne soit lancée...
[^] # Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Pierre Jarillon (site web personnel) . Évalué à 2.
[^] # Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Pierre . Évalué à 4.
[^] # Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Éric (site web personnel) . Évalué à 1.
Dites, il a été condamné ou pas ? parce que dans le cas contraire ... (à moins que tu aies des infos exclusives et personnelles sur les faits mais si tu te contentes de juger par rapport au fait qu'il soit accusé alors c'est vraiment abuser que d'en tirer la conclusion que "c'est un escroc qui devrait être en tole depuis longtemps")
[^] # Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Hubert (site web personnel) . Évalué à 3.
Pour ce monsieur, la presidence de l'Observatoire de la securite de cartes de paiement n'est qu'un confortable et juteux salon d'attente...
Je ne me fais guere d'illusions sur ses ambitions et ses motivations a faire reellement avancer les chose en matiere de securite des cartes de paiement...
Il y a decidement quelque chose de pourri au royaume de la politique...
# Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Hubert (site web personnel) . Évalué à 10.
J'en veux pour preuve la nomination a la tete de l'Observatoire de l'ex-Directeur de la Banque de France qui se voyait bien dirceteur de la Banque Centrale Europeenne, mais qui ne peut y alle pour l'instant a cause de la mise en examen dans le dossier du Credit Lyonnais... Dans ces conditions je ne pense pas que ce monsieur soit d'une grande motivation pour mener a bien les travaux de l'Observatoire...
On va encore se retrouver avec une institution qui aurait pu etre formidable, a condition qu'elle eut ete composee de politiques motives et ouverts, d'experts techniques et d'usagers...
Et la, du coup ca me semble mal barre... sniff :-(
[^] # Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par kesako . Évalué à 10.
Tes jeunes expert techniques seront surement geniaux mais que veux tu qu'ils fassent ? Ils auront beau gueuller , rien ne bougera.
Alors que l'ex-boss de la BdF , il lui suffit de prendre son telephonne et d'appeler directement le pdg de n'importe quelle banque meme Citycorp , et de dire "Cher ami, je vous remercie beaucoup pour votre reception du weekend dernier. Mon epouse etait ravie. oui oui c'etait tres bien ... Au fait j'ai sous les yeux un rapport de mes services a propos de votre systeme de payement. C'est pas mal du tout ce que vous faites, oui pas mal du tout, neamoins .... ( petit silence...) il me semble qu'il y a quelques points que vous devriez ameliorer " etc etc
Tu peux etre sur qu'en face dans les heures qui suivent , ca va etre le branlebas de combat , tout le monde sur le pont ! Corrigez moi ca et vite !
[^] # Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Moby-Dik . Évalué à 5.
Bien sûr que si. Il suffit de leur donner un pouvoir coercitif, et des moyens d'application.
[^] # Re: Composition de l'observatoire de la sécurité des cartes de pai
Posté par Hubert (site web personnel) . Évalué à 2.
Ce que je voulais dire, c'est que si ce genre d'institutions ne contient pas un minimum de gens pointus sur le sujet, alors il y a peu de chances que les travaux soient ambitieux et pertinents...
Alors avec en plus de politicards qui ne sont venus la que pour pantoufler et empocher les indemnites...
Si bien que les carnets d'adresses bien garnis en question ne seront meme pas utilises a leur meilleur escient...
# solécisme
Posté par Douglas Rafferty . Évalué à 1.
mis à jour -> mis au jour
Il s'agit d'une révélation, pas d'un ajout de fonctionnalité et de correction de bogues.
[^] # Re: solécisme
Posté par Xavier Antoviaque (site web personnel) . Évalué à 1.
# Il y a des représentants des consommateurs
Posté par Mes Zigues . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.