jeudi 21 mars 2013

L'affaire H

Vous vous rappelez l’affaire Humpich ? Je vais citer Wikipedia : « En 1997, il met en évidence une faille dans le système de sécurité des cartes bancaires. Cette faille permet de créer des cartes acceptées par les terminaux, mais non liées à un compte bancaire.

Épaulé d'un avocat, il tente – sans succès – de négocier son « savoir-faire » auprès du GIE des cartes bancaires. Pour démontrer la faisabilité de cette technique, il effectue une démonstration publique de la vulnérabilité des cartes en retirant un carnet de tickets de métro au moyen d'une carte de sa fabrication dans un distributeur automatique. Cette tentative lui vaut une perquisition, la saisie de son matériel et une mise en garde à vue.

Il est jugé le 25 février 2000, « coupable de falsification de cartes bancaires et d'introduction frauduleuse dans un système automatisé de traitement ». Et cela, malgré de nombreux soutiens envers son geste, qui a mis en évidence des failles techniques et de conception à corriger dans ces cartes bancaires. Il est condamné à 10 mois de prison avec sursis et s'est ensuite désisté de la procédure d'appel qu'il avait lui-même engagée. À l'issue de cette condamnation, il écrit un livre, Le cerveau bleu, pour relater sa version de l'affaire. »

A cette époque, je bossais en relation avec le GIE en question. Etant spécialiste dans le domaine, nous avions un penchant naturel pour défendre le système : nous étions payés pour le mettre en place. 15 ans après, je dirais que le gars a fait preuve de bien de naïveté ! Je pense que, à l’époque, il y aurait eu une trentaine de millions de cartes en circulation. « Nous » ne pouvions pas prendre le risque de penser qu’elles étaient vulnérables.

Suite à cette affaire, Jean-Pierre Brard qui était député apparenté communiste (que j’ai beaucoup, notamment pour son humour) a pondu un rapport parlementaire. « Le présent rapport d'information constitue l'aboutissement d'une démarche entreprise en mai 2000, peu de temps après que l'importante médiatisation de l'« affaire Humpich » eut instillé le doute sur la sécurité du système français des cartes bancaires. » Je vais résumer la partie qui nous concerne, à très grosses mailles. Quand un client paye par carte bancaire, dès lors que son code confidentiel est saisi, il est responsable du paiement et sera débité. Au nom de la protection (justifiée, je ne fais pas ce billet pour juger) du consommateur, il aurait été envisagé de retirer cette responsabilité.

J’ai résumé mais évidemment ça a fait beaucoup de bruit chez nous, généré beaucoup d’inquiétude… Le paiement par carte n’aurait pas pu se développer. Imaginez les impacts sur votre vie quotidienne… Vous auriez du mal à payer une autoroute ou des achats sur Internet (ben oui, si le code ne garanti rien, un paiement sans code serait probablement interdit).

Peu importe… Je voulais juste dire que « l’affaire Humpich » était importante pour nous.

A l’époque, le Canard Enchaîné avait fait un article complètement à charge sur les banques, au sujet de l’affaire Humpich. Tout était passé en revue : le système n’est pas sûr, les banques ont fait du chantage à Humpich qui ne voulait que le bien de la cause commune…

Or, c’était Humpich qui était venu voir les banques en disant « vous me payez ou je dis tout » (ce n’est pas une affirmation de ma part, juste le ressenti de l’époque).

Le Canard n’avait pas dit que le système n’étant pas sûr, nous étions en train de préparer d’importantes évolutions.

Surtout, il n’avait pas dit que le système « pas sur », celui de paiement par carte à puce français, était le système de paiement le plus sûr au monde (à l’époque, il n’y avait des puces que chez nous) et le seul qui garantisse le commerçant et le client. A l’étranger, une carte volée pouvait être utilisée : il fallait uniquement que le client signe le ticket… En France, une fausse signature n’était pas possible et le commerçant est garanti d’être payé !

Je me méfie donc parfois des affirmations de mes journaux préférés.

Je vais faire un raccourci débile : en popularisant cette affaire, le Canard Enchaîné a quasiment généré un rapport parlementaire dont une des conclusions aurait pu être de faire en sorte que les banques ne développent plus les cartes bancaires. On aurait l'air malin, aujourd'hui, à avoir des banques qui ne facilitent pas les paiements par Internet...

La conséquence politique aurait été grave : il aurait fallu passer par des organismes de crédit (donc avec intérêts) étrangers pour pouvoir payer par carte. Le tout, au nom de la protection du consommateur et de la lutte contre les méchantes banques libérales...

C'est bizarre... Tous les pays du monde adoptent le paiement par carte à puce, depuis...

4 commentaires:

  1. Salut,
    '
    Dans ma partie du monde on paye encore avec la piste magnétique et on ne signe pas la plupart du temps en dessous de 30 euros. Et on peut faire des achat sur internet sans problème. En 2000 si mes souvenirs sont bon (tu dois pouvoir me confirmer ca) la France avait déjà commencé le processus de migration vers les cartes EMV

    RépondreSupprimer
    Réponses
    1. Salut,

      Les américains sont très forts pour nous imposer des normes qu'ils ne s'appliquent pas, notamment pour ce qui concerne la fraude dont ils se contrefoutent.

      Pour la date, je ne sais plus. Je sais que j'ai commencé à travailler dessus vers 1997 mais la migration réelle n'a commencé qu'après le passage à l'Euro.

      Supprimer