Cartes de crédit : la puce, la banque et ses défaillances
C'en est presque un lieu commun : l'ajout d'une « puce » sur les cartes de crédit a considérablement diminué le nombre de fraudes. Mais il y a une marge entre « considérablement diminué » et « totalement éliminé ». Deux récents rapports Britanniques concomitants considèrent ce verre à moitié vide ou à moitié plein. Le premier, rédigé par l'Apacs (association Britannique des organismes payeurs) dresse des statistiques sur la baisse -et non la totale disparition- des fraudes à la carte de crédit. Le bilan est globalement positif, compte tenu des 800 millions de livres sterling perdues chaque année avant que ne soient généralisés les TPV et distributeurs dotés d'un lecteur de cartes à puce. A noter, dans les derniers paragraphes, une sage réserve quant à l'avenir immédiat des procédés d'identification/authentification biométriques. Encore trop aisés à duper, ces outils ne « seront pas utilisable au moins avant 2016 » pensent les experts de l'Apacs. En attendant, les méthodes d'authentification double ou triple facteur devraient permettre de « tenir avant l'arrivée des renforts ». La cavalerie Bio parviendra-t-elle à temps ?
Il y a peu de chances. Car, toujours de l'autre côté de la manche, Tudieu, l'on s'évertue à tuer ce tuyau à phynance. Pirater une carte à puce ? Mais c'est très simple, nous expliquent trois universitaires de Cambridge, MM Saar Drimer, Steven J. Murdoch et Ross Anderson. L'on peut, par exemple, se contenter de la dérober et de l'expédier en des contrées où les distributeurs ne connaissent pas la puce. Rien n'interdit non plus de s'attaquer à un distributeur. Et laissons le pied de biche* aux brutes épaisses : viol du clavier par injection de fluide, analyse de signaux par attaque « carte in the middle », trépanation de terminal point de vente (PED en breton langage)... l'équipe de Cambridge a tout essayé, ou presque. La carte à puce, insiste le document liminaire rédigé par les universitaires, n'est pas une garantie absolue, qu'elle soit employée pour sécuriser des transactions bancaires, protéger un vote électronique ou contenir le bulletin de santé d'une personne. Des vulnérabilités flagrantes existent dans les processus de certification censés protéger l'usager. Des processus qui sont tenus secret de tous, et dont la responsabilité incombe directement aux organismes financiers qui les mettent en place insistent les trois experts. Lesquels précisent que « malgré nos recherches, aucun des TPV que nous avons examiné ne devraient être retirés du service ». Ce n'est pas la carte à puce ni son lecteur qui sont défaillants. C'est la manière de les employer.
NdlC, Note de la Correctrice : le pied de biche, c'est une délicate extension métallique que j'utilise sur ma machine à coudre pour parfaire mes festons et autres surplis. Les charpentiers en utilisent un autre, plus communément désigné sous le nom d'arrache-clou. L'auteur, qui ne fait jamais dans la dentelle, doit probablement parler d'une « pince de carrier ».
