Serge Humpich et les cartes bancaires en France

Les poursuites étaient fondées

Indragandhi Balassoupramaniane

---

Serge Humpich¹, le chercheur solitaire de 37 ans qui a voulu démontrer les failles de la carte à puce bancaire, est un pirate informatique. À la suite du procès du 23 janvier dernier où l'ingénieur-informaticien a comparu devant la 13² pour « intrusion frauduleuse dans un système automatisé de données » et « contrefaçon de cartes bancaires », le tribunal, dans son jugement du 25 février, l'a condamné à 10 mois de prison avec sursis, 12 000 francs d'amende (2600 $ environ), un franc symbolique à titre de dommages et intérêts, ainsi qu'à la confiscation de tous les scellés, soit l'ensemble de ses notes, disquettes et outils de travail.

Les personnes qui tentent de forcer les dispositifs de sécurité des institutions financières doivent s'attendre à en payer le prix..

Lors du procès, face aux deux accusations, la défense avait soutenu, d'une part, que l'infraction n'était matériellement pas établie, les travaux ayant été réalisés sur des éléments séparés du système de paiement automatisé et n'ayant donc pas impliqué d'accès au système au sens de la loi. Elle avait plaidé, d'autre part, l'absence d'élément moral et avait affirmé que Serge Humpich avait été animé, dès l'origine, « non par l'appât du gain mais par la seule curiosité du chercheur scientifique ».

Mais, rejetant les arguments de la défense, le Tribunal correctionnel de Paris a déclarée les poursuites fondées. Répondant au premier moyen, le tribunal a affirmé que l'infraction est matériellement établie en se basant sur des motifs factuels. Plus intéressant est le raisonnement concernant l'imputabilité morale de l'infraction: « Attendu que cette démarche, pour scientifique qu'elle fût au regard de la méthode utilisée, inclut la connaissance de la violation de la norme, Serge Humpich, qui s'est attaché précisément à forcer les dispositifs de sécurité mis en place, n'ayant pu à aucun moment ignorer au cours de ses années de recherches (...) qu'il accédait dans le STAD du GIE Cartes bancaires contre le gré du maître du système; que, partant, l'élément moral est suffisamment établi ». Le Tribunal poursuit en ajoutant « qu'il en est de même en ce qui concerne l'infraction de maintien frauduleux dans le système de traitement automatisé de données; que cette infraction réside plus spécifiquement dans la recherche pour isoler et identifier l'algorithme de cryptage; que le caractère frauduleux de ce maintien est sans contexte établi dès lors que Serge Humpich a consacré ses efforts à décrypter une donnée cryptée par le maître du système ».

Quelques interrogations

Ce jugement soulève plusieurs questions: l'infraction est-elle établie lorsque le but poursuivi n'est pas frauduleux? Serge Humpich est-il un pirate informatique condamnable ou un inventeur incompris? Le GIE a-t-il déposé plainte uniquement pour accéder, via la procédure, au savoir-faire de l'inventeur sans devoir le payer? Y a-t-il une différence entre Serge Humpich et les testeurs, ces techniciens qui testent sans relâche tout ce qui se trouve dans le commerce pour trouver les failles des produits et les améliorer?

Sur le plan du droit, la décision du Tribunal est fondée: Serge Humpich connaissait le caractère illégal de sa démarche. Mais sur le plan moral, Serge Humpich a tout autant raison de clamer ses intentions innocentes: il a travaillé pendant des années pour percer le secret, ne s'est pas enrichi, et a préféré la voie du transfert de savoir-faire plutôt que le dépôt de brevet qui l'aurait obligé à dévoiler la technique utilisée et aurait permis à n'importe quel mafieux de s'en emparer. Mais l'intention innocente exonère-t-elle de toute responsabilité si les moyens mis en œuvre inclut des actes dont on sait qu'ils constituent une infraction?

En fait, les réponses à ces questions dépendent de la sensibilité de chacun. En revanche, le jugement du Tribunal correctionnel de Paris risque d'entraîner des répercutions négatives: les petits génies en herbe ne seront-ils pas tentés d'exploiter leur découverte, pour leur propre compte, avec certaines mafias plutôt que de négocier avec le GIE? De quel côté seront les escrocs et les escroqués?

À la sortie de l'audience, l'avocat de Serge Humpich a annoncé qu'il ferait appel de la décision.

L'avenir des cartes bancaires

Quelle que soit la décision qui sera prise par la Cour d'appel, une chose est certaine: l'affaire Serge Humpich aura éveillé un doute dans la tête des gens concernant la fiabilité des cartes de crédit que les banques juraient être « inviolables et infalsifiables ». Le problème est d'autant plus préoccupant qu'une partie de la clé secrète a été publiée dernièrement sur Internet par un auteur anonyme. D'après différents experts en cryptologie, les données ainsi rendues publiques peuvent permettre sans difficulté à un faussaire de fabriquer et diffuser en grand nombre des cartes qui « fonctionneront sur tous les terminaux inertes, c'est-à-dire ceux qui prennent leur décision localement, sans être connectés à un réseau ». Par ailleurs, même du côté officiel, le Service central de la sécurité des systèmes d'information (SCSSI) condamne la faiblesse du système actuel: « la carte à puce a bénéficié d'une réputation d'inviolabilité qui a écarté les attaques mafieuses, mais la technologie de ces cartes devient relativement accessible et, avec des moyens modestes, on peut les attaquer », explique le général Desvignes, porte-parole du SCSSI. Ainsi, une question cruciale se dégage de ces événements: quel est l'avenir de la sécurité des cartes bancaires?

De l'avis de certains experts, il n'est pas encore possible de falsifier l'intégralité d'une carte. Serge Humpich a, certes, réussi à mettre au point une carte à puce programmable capable de tromper les distributeurs de billets du métro, mais il a exploité une faille valable uniquement en circuit fermé: le système de paiement n'est trompé que lorsqu'il s'agit d'une borne ou d'un lecteur chez un commerçant, lesquels ne sont pas reliés à un serveur central bancaire. La trouvaille de Serge Humpich ne fonctionnerait donc pas avec les distributeurs automatiques de billets, reliés à un réseau de banques, qui fait intervenir plus d'une dizaine de fonctions de sécurité.

De même, les informations publiées sur la Toile concernent des éléments d'un algorithme de déchiffrement, lequel met à nu une clé soupçonnée d'être utilisée dans les cartes à puces. Mais la faille découverte ne pourrait être utilisée qu'en circuit fermé, c'est-à-dire chez les commerçants, et « ne remet [donc] pas en cause les outils de sécurité des banques », précise François Grilleux, spécialiste du cryptage et directeur technique d'Innovatron.

En revanche, de façon presque unanime, on reconnaît que le niveau de chiffrement des cartes est devenu trop faible. La taille de la clé RSA étant actuellement de 320 bits, on recommande aux autorités bancaires de l'augmenter à 768 ou 1024 bits.

En conclusion, en dépit des avis des experts, il est difficile d'affirmer que les cartes bancaires actuelles sont sécuritaires. À défaut d'avoir démontré une véritable faille de ces cartes, cette affaire aura au moins ébranlé l'image d'« inviolabilité » défendue par le GIE.

¹  Voir le premier article sur le sujet, paru dans le Journal du Barreau du 15 mars 2000 (Volume 32, numéro 5), en page 13 : « Quel est le crime de Serge Humpich ? Les banques prises en défaut »

²  Il s'agit du Groupement d'intérêt économique (GIE), un consortium qui garantit la sécurité des transactions de 30 millions de cartes bancaires en France.

 

Retour au haut de la page

© Barreau du Québec 1996-2012