La célèbre affaire qui a opposé Serge Humpich au Groupement d'intérêt économique (GIE) Cartes bancaires et qui a fait grand bruit l'année dernière en France semble avoir trouvé un terme1.
Pour rappel, Serge Humpich, ingénieur informaticien de 37 ans, a été poursuivi et condamné pour avoir démontré les failles de la carte à puce bancaire. Fort de sa découverte, il a tenté de négocier son « savoir-faire » auprès du GIE Cartes bancaires, mais ce dernier, alors qu'il lui faisait passer des tests afin de vérifier la crédibilité de sa découverte, avait porté plainte en secret contre lui pour « intrusion frauduleuse dans un système automatisé de données » et « contrefaçon de cartes bancaires ».
L'instruction a conduit à la garde à vue de Serge Humpich et à la saisie de tous ses outils de travail, soient les matériels informatiques et l'ensemble de ses notes et disquettes. Ce dernier a, en vain, clamé son innocence et invoqué le fait que sa démarche était avant tout scientifique et nullement animée par des considérations mercantiles. Mais, par jugement du 25 février 2000, le tribunal correctionnel a déclaré l'ingénieur coupable de contrefaçon et de falsification de cartes de paiement, d'accès et maintien frauduleux dans un système de traitement automatisé de données et d'usage de cartes de paiement contrefaites, pour le condamner à 10 mois de prison avec sursis, 12000 francs (2 600 $) d'amende et un franc (symbolique) de dommages et intérêts en plus de la confiscation de tous les scellés. Une large partie de la communauté juridique en matière de nouvelles technologies s'est vivement indignée de cette décision qui, d'après elle, assimile les scientifiques à des hackers et condamne la recherche dans le domaine de la sécurité des cartes à puce.
Serge Humpich a fait appel de ce jugement et la position de la Cour de Paris était attendue avec impatience. Or, ce dernier a récemment décidé de se désister de son recours et d'accepter la décision du tribunal de première instance.
L'affaire semble donc être définitivement classée, mais la question de la sécurité des cartes bancaires reste entière. Malgré la victoire du groupement GIE, l'affaire Serge Humpich a au moins eu le mérite de jeter un doute dans la tête des gens concernant la fiabilité des cartes de crédit. C'est pourquoi divers efforts ont été entrepris durant ces derniers mois pour renforcer la sécurité du système. Le GIE Cartes bancaires a notamment renforcé ses systèmes de cryptographie pour lutter contre la fraude. Ainsi, les nouvelles cartes bancaires comportent, à l'endos, trois chiffres supplémentaires destinés à la validation des achats à distance. Il s'agit d'un cryptogramme visuel qui n'apparaît pas dans les relevés de transaction, mais qui permet aux commerçants et aux établissements bancaires de s'assurer du titulaire du compte à débiter. Ce nouveau système de sécurité représente une avancée non négligeable très utile pour les transactions effectuées sur Internet. Étant en effet en mesure de déjouer les fraudeurs ayant recours à des numéros de carte piratés, il peut contribuer à redonner confiance aux internautes dans le paiement en ligne.
1 Voir deux articles sur le sujet, parus dans le Journal du Barreau du 15 mars 2000 (Volume 32, numéro 5, page 13) et du 1er mai 2000 (Volume 32, numéro 8, page 9)
