C'est l'histoire d'un homme honnête et intelligent, un génie de l'informatique même, tellement doué qu'il pensait pouvoir s'attaquer, non sans naïveté, au monstre financier qu'est le Groupement d'intérêt économique-cartes bancaires (GIE-CB), le consortium qui garantit la sécurité des transactions de 30 millions de cartes bancaires en France, avec un système de sécurité « inviolable » qui brasse 3,5 milliards de francs (environ 765 000 $) par an. Le défi, il l'a relevé avec excellence puisque cet homme, Serge Humpich, ingénieur-informaticien de 37 ans, est le premier individu à avoir réussi à « casser » le système de sécurité des cartes à puces. Et pourtant, bien que n'ayant rien volé, ni fraudé, il risque de se voir infliger deux ans de prison et 50 000 francs (environ 11 000 $) d'amende.
Serge Humpich a découvert comment fabriquer des cartes bancaires pouvant être acceptées par n'importe quel terminal de paiement, et en composant n'importe quel code secret. Depuis la mise en circulation sur le marché français des cartes de paiement à puces, tous les efforts des ingénieurs ont été focalisés sur la protection de la puce elle-même, négligeant ainsi le terminal de paiement, souvent sous-traité par divers constructeurs. Qu'elles soient dotées d'une puce ou d'une bande magnétique, les cartes bancaires obéissent à un mécanisme similaire. Schématiquement, le fonctionnement peut être décrit de la manière suivante: après avoir tapé notre code à quatre chiffres à la suite d'un achat dans un magasin ou restaurant, la petite machine à facturettes demande à la carte: « Est-ce le bon code ? », et la carte répond: « Oui, c'est le bon code ». Le langage nécessaire à ce petit dialogue est une « clé RSA », soit un algorithme de cryptage et de décryptage à 96 chiffres, dont Serge Humpich a compris la logique après quatre ans de tâtonnements sur son ordinateur. Il fabrique alors une carte « universelle », qui répond toujours : « le code est bon », quels que soient les chiffres entrés par l'utilisateur. Fort de cette découverte, au lieu de se présenter à n'importe quel distributeur, de taper sa date de naissance et de prendre les billets, animé d'une honnêteté exemplaire, il cherche plutôt à tenter de négocier sa découverte auprès du GIE.
C'est ainsi qu'en juillet 1998, Serge Humpich entre en relation, par l'intermédiaire d'un avocat, avec le GIE cartes bancaires pour que soit réalisé un transfert de savoir-faire, un « contrat très courant dans le monde des affaires », de l'avis d'un expert en propriété intellectuelle. Après plusieurs contacts, le groupement lui demande cependant d'apporter les preuves de sa capacité réelle à leurrer les terminaux de paiement. Serge Humpich achète alors dix carnets de métro avec des fausses cartes et remet au GIE les tickets et les facturettes. Le GIE lui fait ensuite parvenir un jeu de carte-tests qu'Humpich reprogramme sans difficulté.
La situation qui semblait être une simple transaction commerciale, faite dans le respect des lois et règlements, puisque menée et négociée par des avocats, tourne au scandale. Le GIE, pendant qu'il lui faisait passer des tests afin de vérifier la crédibilité de sa découverte, mais surtout pour lui arracher son savoir-faire à moindre frais, avait porté plainte en secret contre Serge Humpich pour « intrusion frauduleuse dans un système automatisé de données » et « contrefaçon de cartes bancaires ». Le 17 septembre au matin, l'ingénieur-informaticien est placé en garde à vue et son domicile ainsi que le cabinet de son avocat sont perquisitionnés. Le vendredi 21 janvier 2000, Serge Humpich comparaît devant la 13e chambre du tribunal correctionnel de Paris.
Cette affaire soulève d'importantes questions juridiques dont la principale est la suivante: quel est exactement le crime de Serge Humpich?
Face à l'accusation d'« intrusion frauduleuse dans un système automatisé de données » et de « contrefaçon de cartes bancaires », la défense a plaidé les points suivants : il n'y a pas eu d'introduction frauduleuse dans le réseau de cartes bancaires, car toutes les recherches de Serge Humpich ont été effectuées sur un terminal de paiement non connecté, c'est-à-dire inerte. Dès lors, l'élément matériel de l'article L323-1 du code pénal français, qui punit le fait d'accéder ou de se maintenir frauduleusement dans un système automatisé de données, n'était pas constitué.
Par ailleurs, Serge Humpich a rappelé, lors de l'audience, qu'à aucun moment il n'a profité de sa découverte pour frauder les droits de tiers. Il était animé d'un esprit de « curiosité », voire de « défi ». Les seuls achats qu'il a effectués grâce à sa découverte sont des tickets de métro, non utilisés et remis au GIE. Où se trouve dès lors l'intention délictueuse et donc l'élément moral de l'infraction? N'y a-t-il pas lieu de faire application de l'article L121-3 du code pénal français qui précise qu'il « n'y a point de crime ou délit sans intention de le commettre »?
Enfin, la question essentielle de ce procès est celle de déterminer la frontière entre le hacker (pirate informatique) et le scientifique. Or, pour les avocats d'Humpich, ce dernier est un « savant », un « inventeur », qui a simplement et légitimement cherché à rémunérer son savoir-faire. Dès lors si sa découverte contribue à améliorer la sécurité des cartes à puce, qui demain contiendront toutes sortes d'information sur notre vie quotidienne, l'intérêt de la société est-il de punir ceux qui se livrent à des recherches dans le domaine de la sécurité informatique? Aujourd'hui, personne ne songerait à porter plainte contre une association de consommateur si elle décortiquait un micro-ondes ou un appareil-photo pour en démontrer le manque de fiabilité. Alors pourquoi s'en prendre à cet ingénieur-informaticien qui a eu la même démarche? Si aucune recherche ne peut être faite sur la carte à puce, n'est-ce pas le principe même du brevet qui est remis en cause?
En fait, le véritable crime de Serge Humpich est sûrement d'avoir « dérangé » un système informatique qui se disait « inviolable »; son crime est d'avoir eu le culot de s'attaquer à un monstre financier qu'est le GIE et surtout d'avoir démontré que lui, simple petit informaticien de 37 ans, avait réussi à défier un des plus gros systèmes informatiques mis en place par les meilleurs ingénieurs du monde. Il n'y a pourtant aucun article du code pénal qui sanctionne ce genre de comportement.
Le jugement a été mis en délibéré. La décision des juges risque de soulever d'importants débats, tant sur le plan juridique que sociologique. L'affaire est à suivre...
