MISC HS 2

Le geste est devenu tellement coutumier que nous n'y prêtons même plus attention : nous nous présentons face à un distributeur de billets, introduisons notre carte bancaire dans le lecteur, tapons notre code PIN, et les billets nous tombent dans la main tandis que notre compte bancaire est automatiquement débité. La même carte nous permet d'ailleurs de régler la note d’un restaurant, d'effectuer un achat dans une grande surface, de prendre de l'essence, tandis qu'une autre d'apparence similaire nous permet de nous connecter à l'ordinateur de notre entreprise et qu'une troisième – quoique d'un format un peu différent – protège le cœur de notre téléphone portable. Ce petit objet qui ne pèse que quelques grammes a acquis une telle importance dans nos vies que sa perte s'apparente presque à une catastrophe. Et cette minuscule carte à puce, dont le prix de revient est aujourd'hui ridiculement bas, met pourtant en œuvre une technologie très évoluée, fruit de plusieurs décennies de développement et d'idées ingénieuses.

L'idée de paiement sans argent liquide n'est pas récente : « Chaque fois qu'un Gonda désirait quelque chose de nouveau, des vêtements, des objets, il payait avec sa clé. Il pliait le majeur, enfonçait sa clé dans un emplacement prévu à cet effet et son compte, à l'ordinateur central, était aussitôt diminué de la valeur de la marchandise ou du service demandé. » [1]. Depuis plus de vingt ans, la carte à puce est au cœur du système bancaire. Elle fait l'objet de toutes les attentions de la part des banques et des utilisateurs, mais aussi, voire encore plus, de la part des pirates. La carte à puce en tant que coffre-fort électronique impénétrable était censée apporter le niveau de sécurité élevé requis pour les applications bancaires. Mais il semble que deux lois de base aient été oubliées par les banques, à savoir que le niveau de sécurité d'un système est caractérisé par son maillon le plus faible et qu'un système sécurisé ne résiste pas éternellement aux attaques. Nous allons tenter dans cet article de décrire le rôle de la carte à puce dans le système bancaire français. Nous détaillerons d'abord le premier protocole qui était encore en vigueur il y a quelques années. Nous verrons ensuite les failles de sécurité que ce protocole présentait et comment elles ont été exploitées par les pirates avec notamment les « YesCard ». Enfin, nous étudierons les principales évolutions de sécurité liées en particulier à ces attaques.

Face aux nouvelles menaces liées à l’interconnexion croissante des SI (commerce en ligne, dématérialisation, mobilité des salariés,…) et des menaces internes, l’utilisation de certificats électroniques s’impose comme étant l’une des solutions les plus sécurisées pour garantir le contrôle d’accès, la traçabilité et l’imputabilité, en d’autres termes, garantir l’identité de la personne ayant agi. Des infrastructures de gestion de clés (PKI) ont d’ailleurs été déployées dans de nombreuses grandes entreprises. Il apparaît même aujourd’hui des cartes d’identité nationales intégrant des certificats numériques (Portugal, Belgique,…).La sécurité d’un système bâti sur des certificats repose sur la protection des clés privées des autorités de certification, des serveurs et des utilisateurs. C’est au confinement de la clé privée de ces derniers que nous nous intéresserons : la carte à puce.