La cryptographie dans le système bancaire

Pierre Busnel Louis Josso Arthur Pham Thomas Wisniewski Thibault Formal 3 Génie Mathématiques

2014-2015 Monographie

Enseignant : Philippe Echard

La cryptographie dans

le système bancaire

Description du sujet

On se pose la question de la sécurité de nos données bancaires dans un monde où la technologie est chaque jour de plus en plus performante. En effet, ces dernières années ont amorcé l'explosion des technologies du numérique, et cette course aux nouvelles techniques ne peut se faire sans remettre en cause la fiabilité de nos méthodes actuelles pour sécuriser nos données, en particulier les données bancaires. Un des challenge de la décennie à venir va être de trouver de nouvelles méthode de chiffrement, afin de faire face à la puissance sans cesse grandissante des nouveaux ordinateurs.

Aujourd’hui, le bilan est le suivant : la seule chose qui protège nos données et empêche d’éventuels « pirates » de se servir sur nos comptes est la puissance maximale de calcul atteignable par les ordinateurs actuels. Cependant, cette barrière est repoussée chaque jour par les nouvelles découvertes, et l'augmentation des performances de calcul. Combien de temps cette situation va-t-elle durer ? Comment va-t-on sécuriser nos données de manière optimale ? On se propose dans un premier temps de faire un bilan descriptif des méthodes et technologies utilisées aujourd’hui pour sécuriser les données bancaires, puis d’explorer les pistes qui sont actuellement étudiées pour améliorer, voir remplacer les systèmes actuels (ordinateurs quantiques, nouveaux algorithmes, …).

In a world suffering from a global monetary crisis, money and banks are at the center of every discussions. Everyone wants their savings to be protected, but in the light of the last decade's events you might doubt the efficiency of the encryption of our monetary

transactions.

Throughout History, men have always tried to hide information from one another. Some might say that today's banking encryption is the apex of that quest but we must not forget that there is a raging war between the ones protecting our data and the ones trying to break the code.As the machinery of today's banking encryption system is analyzed, both its efficiency and its limits will be exposed as a consequence of the exponential growth of technology.

After investigation, facts indicate that banks try to stay one step ahead of hackers, but the unknown future of technology might bring some balance changing breakthroughs that will imply a total change compared with today's encryption methods.

Sommaire

Partie I – Histoire et évolution de la cryptographie

1. Pourquoi la cryptographie existe-t-elle ? 2. Les balbutiements de la cryptographie

3. Les premières formes de cryptographie robuste 4. L'exemple de la machine Enigma ( XX^ème siècle)

Partie II – La cryptographie dans le monde bancaire

1. Un peu d’histoire...

2. Description rapide

3. Les modes de chiffrement 4. Le paiement

5. L'affaire Humpich 6. Correction du protocole

7. Sécurisation des paiements et des transactions sur internet

Partie III - Une avancée technologique : Payement sans contact

1. Fonctionnement 2. Failles de sécurité 3. Solutions

Partie IV - Bibliographie Partie V – Diagramme de Gantt

Partie I : Histoire et évolution de la cryptographie

1. Pourquoi la cryptographie existe-elle ?

Tout d'abord, il est important de comprendre quelques définitions :

La cryptologie, est la science du secret : elle regroupe la cryptographie (discipline de

protection d'un message, qui permet à 2 personnes d'échanger des informations de manière sécurisée,) et la cryptanalyse qui analyse cette dernière.

L'Homme a toujours ressenti le besoin de dissimuler des informations, et de pouvoir

communiquer de manière « privée ». Les premières utilisations de messages codés avaient des fins militaires, mais au fil des siècles, la cryptographie s'est révélée utile, puis

nécessaire, dans d'autres domaines, notamment le milieu bancaire.

Ainsi, pour notre génération, le monde numérique semble être un acquis, mais c'est en fait le résultat de plusieurs millénaires d'inventions, et de grands esprits qui ont ajouté leur pierre à l'édifice. Les méthodes de chiffrement des transactions bancaires sont les héritières de ce long processus intellectuel. On se propose de retracer l'histoire de la cryptographie (ou chiffrement) à travers les âges, pour comprendre toute la mesure de cet héritage ancestral.

2. Les balbutiements de la cryptographie

La plus ancienne, et la plus naturelle des méthodes pour échanger de manière privée est tout simplement la barrière de la langue. Ceci peu sembler un peu « faible » face aux méthodes modernes mais elle n'est en fait pas si désuète (certains dialectes étant parlé et/ou compris par peu de gens par exemple).

Quoi qu'il en soit, la cryptographie à proprement remonte à la scytale. Celle ci fait son apparition au V^ème siècle avant J.C, et elle est considérée comme la première méthode de chiffrement par transposition. Le principe est simple : la personne qui veut coder le message, enroule une bande de cuire autour d'un bâton de bois spécifique, puis écrit son message sur le cuir. La bande de cuir est ensuite déroulée et portée en ceinture par le messager. La personne recevant le message doit cependant posséder un bâton de même type, et de même diamètre, afin d'être en mesure de décoder le message.

figure 1 : reproduction d'une scytale

Durant la même période, Nabuchodonosor, le roi de Babylone, employait une

méthode totalement différente : il écrivait sur le crâne rasé de ses esclaves, attendait que leurs cheveux repoussent, puis les envoyait au destinataire, qui les rasaient à son tour.

A travers ses deux méthodes relativement différentes, mais assez rudimentaires, on voit déjà l'importance d'une méthode de cryptage qui soit plus robuste, afin d' assurer la pérennité des échanges.

3. Les premières techniques de cryptographie robuste

Le premier siècle voit l'apparition d'une célèbre technique de chiffrement : le Chiffre de César: celui ci est une méthode de substitution mono-alphabétique. Son système consiste à décaler les lettres de l'alphabet d'un nombre n. Par exemple, si n=3, on remplace A par D, puis B par E, C par F etc...

figure 2 : illustration d'un Chiffre de César pour n=3

Le système trouve ses limites relativement rapidement, puisqu'il n'existe que 25 façons de coder un message. Bien entendu, on n'utilise plus aujourd'hui ce type de chiffrement, sauf dans sa version n=13 appelé ROT13, utilisée dans des jeux pour éviter la lecture accidentelle (la réponse d'une énigme par exemple).

Cependant, les méthodes de substitution sont très sensibles aux analyses fréquentielles : celles ci consistent à regarder la fréquence d'apparition des lettres dans le message codé, et de la comparer avec la fréquence habituelle d'apparition dans la langue de décodage.

Une quinzaine de siècles plus tard, le diplomate français Blaise de Vigenère propose une méthode de substitution poly-alphabétique. Son système repose sur l'utilisation d'une clé partagée par l’émetteur et le destinataire, ainsi que d'une table comme celle ci contre.

figure 3 : table de Vigenère

Le texte chiffré s'obtient en prenant l'intersection, de la ligne qui commence par la lettre à coder, avec la colonne qui commence par la première lettre de la clef, et ainsi de suite. Dès que l'on atteint la fin de la clé, on recommence avec la première lettre. Pour décoder, il suffit de faire l'opération inverse.

Ce système est relativement robuste puisqu'on ne peut pas lui appliquer une analyse fréquentielle. De plus, la possibilité d'avoir un nombre infini de clés le rend très difficile à déchiffrer. Malgré sa robustesse, il reste assez simple et rapide d'utilisation (dans les deux sens). Cet algorithme est considéré comme un très bon algorithme de chiffrement, puisqu’il aura fallu trois siècle pour le décrypter.

4. L'exemple de la machine Enigma ( XX

^ème

siècle)

La cryptographie a connu un essor important durant le XX^ème siècle, et notamment pendant les périodes de guerre. En effet, la volonté de cacher de l'information en temps de guerre devient un besoin vital, c'est ainsi que la machine Enigma a vu le jour durant la première guerre mondiale.

Enigma est une machine électromécanique d'origine Allemande, dont l’utilisation fut intensive sous l'Allemagne nazie. A l'époque, réputée inviolable, les forces alliées ont cependant pu déchiffrer un certain nombre de messages vers la fin de la guerre, grâce notamment au travaux du Britannique Alan Turing.

figure 4 : machine de chiffrement Enigma

Son principe est relativement simple puisqu'il s'agit de remplacer une lettre tapée au clavier par une autre qui s'allume à chaque frappe. La partie mécanique de la machine est constituée d'un double clavier (l'un avec des touches et l'autre avec des ampoules marquées de lettres), de plusieurs anneaux rotatifs appelés rotors (trois généralement), ainsi que d'un réflecteur électrique.

Lorsque qu'une touche est pressée, un courant passe à travers les rotors suivant un chemin particulier pour atteindre le réflecteur, qui le renvoie dans les rotors suivant un chemin totalement différent puis, à la sortie des rotors, le courant va allumer une ampoule correspondant à la lettre codée.

Individuellement, les rotors représentent une substitution mono alphabétique, puisque de chaque coté du disque se trouvent 26 points (plats ou pointus selon le coté), qui représentent les lettres de l'alphabet. A l'intérieur du rotor, une lettre est reliée à une autre suivant un décalage précis.

A chaque pression sur une touche du clavier, le premier rotor tourne d'un cran sur lui-même, créant ainsi de nouveaux chemin pour le courant. Si l'on ajoute à cela le fait que les rotors soient dentés, et s’entraînent les uns les autres à intervalles réguliers, les possibilités de chemins sont considérables.

Pour pouvoir déchiffrer des messages avec une machine Enigma, il faut donc qu'il y ait les même rotors sur la machine de l’émetteur et sur celle du destinataire, ainsi que des positions initiales similaires pour les rotors lors de l 'écriture du message.

Avec Enigma on voit déjà l'apparition d'un chiffrement beaucoup plus complexe, et dont le rôle fût crucial durant la seconde guerre mondiale. Durant cette période, les avancées de la cryptographie et du calcul machine furent spectaculaires.

Partie II : la cryptographie dans le milieu bancaire

Nous entrons maintenant dans le vif du sujet. Cette partie va concerner l'usage de la cryptographie dans le milieu bancaire, où la sécurité des échanges est cruciale. Même s'il est vrai que l'on se doute que la sécurité est au cœur de ces procédés, on imagine assez mal tout ce qu'il se passe lorsque l'on introduit sa carte bancaire dans un terminal de paiement, par exemple. Ainsi, inconsciemment, nous utilisons chaque jour des protocoles cryptographiques.

Comment nos données bancaires sont elles sécurisées ? Comment contrer les tentatives de fraude ? Quel est au final l'usage de la cryptographie dans tout ça ?

(Remarque : on concentre ici l'étude sur un problème précis, le protocole de paiement par carte bancaire. Il faut avoir à l'esprit que c'est en réalité un sujet beaucoup plus vaste, et beaucoup plus compliqué à cerner dans sa globalité. Un protocole cryptographique est une succession d'échanges de messages chiffrés par des méthodes cryptographiques.)

Cette partie est fortement inspirée de l'article « le protocole cryptographique de paiement par carte bancaire » de Thomas Genet, maître de conférence à l'université de Rennes 1.

1. Un peu d'histoire…

C'est en 1967 que 6 banques françaises (Crédit Lyonnais, Société Générale, Banque Nationale de Paris, Crédit Industriel et Commercial (CIC), Crédit Commercial de France (CCF) et Crédit du Nord) lancent la première carte de paiement en France, appelée « Carte Bleue ». À cette date, les cartes bancaires ne possédaient pas encore de puce (celles ci étant créées quelques années plus tard, en 1974, par l'ingénieur Français Roland Moreno).

Ce n'est qu'en 1992 que celles ci se généralisent en France (alors pionnière dans le domaine).

2. Description rapide

Les éléments importants d'une carte bancaire sont :

⁃ Le numéro de la carte (qui comporte 16 chiffres)

⁃ La date d'expiration

⁃ Le nom du propriétaire

⁃ La puce

⁃La piste magnétique

⁃Le cryptogramme de sécurité

figure 5 : une carte bancaire

La puce est l'élément central de la carte : elle est au cœur de la sécurité des cartes bancaires. C'est une sorte d'ordinateur miniature, pouvant effectuer des calculs, et dont la mémoire contient les données importantes de la carte. Ce « coffre-fort », hautement sécurisé, contient en particulier : des clés cryptographiques spécifiques à chaque carte, le code secret (qui forme, avec le numéro de carte, un couple unique), et le compteur d'essai (qui permet de bloquer la carte au bout d'un certain nombre d'essais). De plus, elle contient aussi un des éléments de sécurisation des transactions à distance, le cryptogramme de sécurité (composé de 3 chiffres). Combiné avec la date de validité, et le numéro de carte, ils forment une combinaison UNIQUE. Tous ces éléments sont calculés par les outils cryptographiques de chaque banque émettrice.

3. Les modes de chiffrement

Il existe 2 grandes familles de méthodes de chiffrement : le chiffrement symétrique, et le chiffrement asymétrique.

3.1 Le chiffrement symétrique

Le chiffrement symétrique, aussi appelé chiffrement à clé secrète ou privée, est la plus ancienne forme de chiffrement. La caractéristique de ce chiffrement est l'usage de la même clé pour le chiffrement et pour le déchiffrement (type Chiffre de César, Vigenère …).

Pour chiffrer un message, on applique une opération (algorithme) à l'aide de la clé. Ce type de chiffrement est très sûr en théorie (l'utilisation d'une clé d'une longueur au moins égale à celle du message assure en effet l'inviolabilité du message).

figure 6 : schéma illustrant le fonctionnement du chiffrement symétrique

Cependant, en pratique, il se pose un problème majeur: comment échanger de manière sûre les clés ? C'est le principal défaut de ce système.

3.2 Le chiffrement asymétrique

On peut comparer ce système de chiffrement au fonctionnement d'un cadenas.

Alice dispose de 2 clés : une clé publique (verte ici, c'est elle qui fait office de « cadenas ») et une clé privée (rouge ici, la clé du « cadenas »).

Ainsi, Bob peut chiffrer un message à l'aide de la clé publique, et seule Alice pourra le déchiffrer avec sa clé secrète (elle est la seule à la posséder).

figure 7 : schéma illustrant le fonctionnement du chiffrement asymétrique

À l'inverse, Alice peut coder un message à l'aide de sa clé privée, et Bob peut le déchiffrer à l'aide de la clé publique : ce mécanisme est utilisé par la signature numérique pour

authentifier l'auteur d'un message.

Ce type de cryptographie est basé sur l'existence de fonctions à sens unique : ce sont des fonctions qu'il est facile d'appliquer dans un sens (chiffrement), mais très difficile « d'inverser

» (déchiffrement).

L'exemple du RSA

Un des algorithmes asymétriques le plus utilisé est l'algorithme RSA, du nom de ses créateurs Ronald Rivest, Adi Shamir et Leonard Adleman, en 1977). Il est basé sur une propriété simple des nombres premiers.

Petit rappel : Un nombre premier est un entier naturel qui admet exactement deux diviseurs distincts entiers et positifs (qui sont alors 1 et lui même, par exemple 5,7,13...)

Algorithme

1. Choisir p et q, deux nombres premiers distincts.

2. Calculer leur produit n = p*q, appelé module de chiffrement.

3. Calculer φ(n) = (p - 1)*(q -1).

4. Choisir un entier naturel e premier avec φ(n), et strictement inférieur à φ(n), appelé exposant de chiffrement.

5. Calculer l'entier naturel d, inverse de e modulo φ(n), et strictement inférieur à φ(n), appelé exposant de déchiffrement (par l'algorithme d'Euclide étendu).

Comme e est premier avec φ(n), d'après le théorème de Bézout, il existe deux entiers d et k tels que e*d + k*φ(n) = 1,

C’est-à-dire que e*d ≡ 1 (modulo φ(n)) donc e est bien inversible modulo φ(n).

Le couple (n,e) est la clé publique du chiffrement, alors que le couple (n,d) est sa clé privée.

Ce système est beaucoup plus sur qu'un chiffrement à simple clé de par sa conception, mais il présente quelques inconvénients. : les temps de traitement sont plus longs, et pour un niveau de sécurité équivalent, nécessite des clés plus longues.

4. Le paiement

4.1 Le paiement sans code

Ce type de paiement s'effectue couramment, lorsque l'on réalise un achat en ligne par exemple. Prenons le cas « classique ».

Ainsi, il suffit juste de donner :

⁃ Le numéro de la carte bancaire ⁃ La date de validité de la carte ⁃ Le nom du propriétaire ⁃Le cryptogramme de sécurité

Comme l'on peut s'en douter, ceci offre une sécurité plus faible que lors d'un achat « classique » (où il nous faut le code de la carte). Par exemple, si quelqu'un vous dérobe votre carte, ou récupère ces informations d'une autre manière, il pourra l'utiliser. Toutefois, le cryptogramme de sécurité assure une sécurité supplémentaire, celui ci n'étant pas stocké dans la carte.

Notons qu'aujourd'hui, la sécurité de ce type de paiement a été renforcée. Ainsi, certaines banques proposent des cartes bancaires « virtuelles » (e-carte bleu, virtualis...) : une carte bleu est générée, numéro unique pour un seul paiement. Ainsi, pour chaque achat, il faudra générer un numéro virtuel (généralement avec un programme fourni par la banque).

On peut aussi citer le protocole 3-D secure : pour résumer, il consiste à s'assurer que le paiement est bien effectué par le titulaire de la carte. Même si les modalités de ce protocole peuvent varier suivant les banques, pour finaliser la transaction, le client devra entrer un code d'authentification à usage unique, communiqué par sa banque (par SMS par exemple).

4.2 Le paiement avec code

Aujourd'hui, lorsque l'on achète quelque chose, on utilise souvent notre carte bancaire. C'est devenu un moyen de paiement rapide, efficace, pratique. Durant ces quelques secondes où la carte est dans le terminal, et lorsque l'on tape son code, de nombreuses opérations s'effectuent, notamment des chiffrements/déchiffrements. Le type de chiffrement utilisé pour ce type de protocole est le chiffrement asymétrique (algorithme RSA notamment).

On introduit les notations suivantes :

{m}K, le message m chiffré par la clé K

A → B : m, l’envoi par l’agent A d’un message m à l’agent B

Lors de la création de la carte, un ensemble de données est inscrit sur la carte (plus particulièrement la puce) :

⁃ Un ensemble data:{nom,prénom,numéro de carte} en clair, et en chiffré, par la clé secrète du groupement bancaire Kb^-1. On l'appelle valeur de signature, (S)={data}KB^-1 (calculée lors de l'initialisation de la carte, et stockée une fois pour toute dans celle ci).

⁃ Le terminal possède la clé publique de la banque Kb Le protocole peut se décrire ainsi :

T → A : « Authentification » : affichage de « authentification » sur le terminal.

C → T : Data, {Data}KB^-1 : la carte envoie Data, S (valeur de signature) au terminal. Ainsi, le terminal déchiffre S={Data}KB-1 à l'aide de la clé publique de la banque (voir chiffrement asymétrique) et vérifie qu'il correspond à la donnée Data. Si c'est le cas, la carte est valide.

T → A : « Code ? » : affichage de « code ? » sur le terminal.

A → T : XXXX : Alice envoie son code confidentiel à 4 chiffres au terminal.

T → C : XXXX : le terminal envoie le code à la carte.

C → T : ok : la carte transmet au terminal qu'elle a accepté le code qui lui a été transmis.

figure 8 : illustration du protocole de paiement par carte bancaire

De plus, se déroule ensuite une étape d’authentification en ligne (que l'on ne détaillera pas ici), qui ne concerne pas toutes les transactions (seulement celles avec un montant assez élevé, par exemple une centaine d'euros). Notons que cette phase authentification est assez longue, elle n'est donc pas réalisée à chaque fois (20% du temps).

5. L'affaire Humpich

En 1998, l’informaticien Serge Humpich met en effet en évidence une faille dans le protocole de chiffrement du système bancaire de son époque. Les banques utilisaient un protocole basé sur un envoi de nombre aléatoire à la carte bancaire, qui renvoie ensuite un code grâce à une clé contenue dans la carte bancaire (tout ceci à l'aide d'un chiffrement à clé publique type RSA). Le terminal calcule le même code et peut ensuite les comparer pour valider le paiement, si et seulement si les 2 codes sont similaires.

Humpich prévient les banques que ce protocole présente des failles, et qu’il est en mesure d’effectuer des paiements avec de fausses cartes. En effet, les cartes possèdent une clé appelée (S), qui permet de calculer S(données), afin d'effectuer l’authentification de la carte par le terminal, qui lui aussi connait le code S, ainsi qu'un code P permettant de vérifier que P(S(données) est égale à données.

figure 10 : illustration de la faille détectée par Serge Humpich

Serge Humpich a premièrement montré qu’il était possible de dupliquer une carte, les données étant lisibles, et qu’il suffisait de faire ce qu'il appela des « yescard » qui répondent « OK » quel que soit le code tapé lors de la vérification. Il était donc possible de réaliser un « clonage » d’une carte bancaire valide.

Deuxièmement, Humpich a utilisé un logiciel japonais de factorisation de nombres premiers, afin de découvrir la clé secrète S du groupement des cartes bancaires, qui n'étaient alors pas assez grandes, dont calculables. Il pouvait donc créer de toute pièce une carte bancaire valide.

6.Correction du protocole

S

uite à ces affaires, la sécurité du protocole a été clairement remise en compte. La première réaction du groupement des cartes bancaires suite à l'affaire Humpich en 1998 fût d'allonger la taille des clés RSA utilisées (rendant la factorisation et par conséquent le calcul de la clé secrète de la banque impossible).

En plus de la faiblesse cryptographique, le protocole présentait une faiblesse logique (cf partie précédente). Le protocole de paiement devait donc être modifié afin de le rendre plus sûr.

Ainsi, le groupement EMVCo (Europay, MasterCard, Visa) publia les spécifications détaillées du nouveau protocole, EMV. Celui propose 3 protocoles de transaction (pouvant être activés en fonction de la carte/terminal) : SDA, DDA et CDA.

Un de ces protocoles est le DDA (Dynamic Data Authentication), et on ne s’intéresse ici qu'à la phase d'authentification hors ligne (qui est la plus fragile).

Pour faire simple, ce protocole met un jeu un nouveau couple de clés secrète/publique, qui permet d'échanger de manière chiffrée le code secret entre la carte et le terminal, et éviter d'être « espionné ». Il nécessite cependant des cartes à puce pouvant réaliser un chiffrement RSA assez rapidement (qui est un algorithme assez couteux).

7. Sécurisation des paiements et des transactions sur internet

Même si la tendance tend à s'inverser avec l'évolution incessante des technologies du numérique, bon nombre d'internautes n'ont jamais initié de paiements en ligne. Cette réticence est souvent liée aux problèmes de paiement; les internautes sont peu enclins à communiquer leur coordonnées bancaires sur internet.

Cependant, il faut savoir que la majorité des transactions sur internet sont sécurisées. La majorité des sites utilisent le même protocole, appelé SSL (Security Sockets Layer), protocole standard de nos jours. On peut le reconnaître lors de transaction par la présence d'un petit cadenas et du protocole « https » dans l'url.

SSL crée un canal sécurisé entre deux machines communiquant sur internet ou un réseau interne : sa fonction essentielle est d'assurer la confidentialité des échanges entre les 2 machines, et il utilise pour ça des algorithmes de chiffrement (échange de clés entre serveur et client) (encore une fois cryptographie à clé publique).

Conclusion partielle : La sécurité du système RSA repose sur 2 conjectures.

La première est que, pour casser le code, donc trouver la clé, il faut factoriser le nombre n. La deuxième est que, la factorisation d’un très grand nombre premier est un problème compliqué (en terme de complexité algorithmique): il n’existe pas aujourd’hui d’algorithme rapide (c’est à dire de complexité polynomiale) pour factoriser de grands nombres premiers.

Ces 2 conjectures ne sont pas prouvées, on peut donc envisager qu’elles soient fausses:

auquel cas, RSA ne serait plus considéré comme sûr. Ainsi, l'efficacité du RSA ne repose pas sur une « démonstration », mais sur l’échec des tentatives pour casser ce système.

Partie III : Une avancée technologique : le paiement sans contact

Les avancées technologiques dues à la cryptographie sont nombreuses. Par celles-ci, on compte le paiement « classique » par cartes bancaires, le paiement en ligne...

Mais ces normes, bien qu’elles permettent un paiement sécurisé, impliquent des transactions

« longues » (authentification, validation, code...). Dans des domaines où la vitesse est essentielle (restauration rapide, stations essence, cinéma…), les transactions doivent être rapides. Pour répondre à ce problème, les paiements sans contacts ont été initiés. Malgré des avantages apparents pour les commerçants et pour les banques, ils présentent de graves failles de sécurité.

1. Fonctionnement

La mise en place du paiement sans contact est le fruit de nombreuses expérimentations depuis le milieu des années 1990. Au début, pour l’utilisation des transports en commun, Visa et Mastercard mettent en place ce service dans les années 2000, et le succès est au rendez-vous. Le paiement sans contact a pour but de simplifier les transactions, réduisant le nombre d'achat en espère, augmentant la rapidité au niveaux des caisses...

Le paiement sans contact étant développé pour des transactions de tous les jours, il ne peut être utilisé que pour de petits transactions (20€ en France). Ainsi, il n’est pas nécessaire de saisir le code PIN. Pour savoir si une carte supporte ce type de paiement, un petit logo est présent en haut à droite de la carte bancaire.

Les cartes bancaires sans contacts sont de plus en plus utilisées, avec une progression constante ces dernières années.

figure 11 : paiement sans contact en France (novembre 2014)

Le principe de fonctionnement se base principalement sur un protocole de communication RFID (Radio Frequency Identification)/NFC(Near Field Communication). Il s’agit d’un moyen de communication de données et d’identification automatique. La puce RFID doit être collé au terminal de paiement, ce qui implique une portée très réduite.

2. Failles de sécurité

Renaud Lifchitz démontre une faille de sécurité en prouvant qu’il est possible, avec un simple lecteur RFID et un programme, d'intercepter les données entre le terminal de paiement et la carte (c'est à dire le nom de son détenteur et la date de validité, qui sont données suffisantes pour faire un achat sur internet par exemple), si l'on est suffisamment proche de la carte. Le lecteur RFID peut être un simple smartphone.

Ainsi, les banques ont été de se montrer rassurantes, expliquant que le montant maximum pour ce type de paiement est de 20 euros.

Cependant, une autre faille a été mise en évidence, plus récemment, en novembre 2014, par des chercheurs de sécurité de l’université de Newcastle au Royaume-Un. Plus

« importante » que la précédente, cette faille dans le protocole permet de lancer des

paiements d’un montant maximum (et théorique) de 999 999,99$, car la limite des 20 euros n’a aucun effet si le paiement est demandé dans une devise étrangère. Il semble logique qu’une banque n’acceptera jamais une transaction d’une telle valeur, mais plutôt des fraudes d’un montant de 50€, 500€...

Malgré des progrès dans la sécurité bancaire croissants, les failles du paiement sans contact témoignent d'un système peu adapté à notre époque, et d’un lancement précipité du projet.

3. Solutions

Pour empêcher ces fraudes de se produire, deux types de solutions sont possibles.

Après une étude menée durant l'été 2012, la CNIL a confirmé la possibilité d'intercepter certaines données à distance, et obtenu des industriels du secteur la suppression des informations sur le porteur de la carte, et sur l'historique des achats. Restent donc

récupérables sans contact les informations suivantes: numéro de carte et date d'expiration, informations étant indispensables pour l’opération de paiement sans contact.

Il est aussi possible de réclamer une carte auprès de la banque qui ne soit pas NFC, et donc incompatible avec les paiements sans contacts. On peut aussi acheter un portefeuille ou un étui qui bloque les ondes, et ainsi protéger ses données contre ces attaques.

Partie IV : Bibliographie

Partie1

Cryptographie, 2015. Wikipédia [en ligne]. [Consulté le 8 janvier 2015].

Disponible à l’adresse : http://fr.wikipedia.org/w/index.php?

title=Cryptographie&oldid=110506009

Document générique pour se faire une idée globale de la cryptographie Page Version ID: 110506009

Enigma (machine), 2014. Wikipédia [en ligne]. [Consulté le 8 janvier 2015].

Disponible à l’adresse : http://fr.wikipedia.org/w/index.php?

title=Enigma_(machine)&oldid=109889883

Document complet et précis décrivant en détail le fonctionnement des composants de la machine Enigma.

Page Version ID: 109889883 Google image, [sans date]. .

Source principale d’images ( libres de droits)

Histoire de la cryptographie, 2014. Wikipédia [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://fr.wikipedia.org/w/index.php?

title=Histoire_de_la_cryptographie&oldid=110149940

Cet article résume l’histoire de la cryptographie, de l’Antiquité à aujourd’hui.

Page Version ID: 110149940

NOURRY, Pascal, [sans date]. L’art du secret.

Document présenté par Pascal Nourry, ingénieur chez Orange, lors d’un séance de séminaire d’entreprise.

Partie 2

Cryptographie, [sans date]. Wikipédia.

Voir en Partie 1, ibid

Humpich, perceur de cartes bancaires., [en ligne]. [Consulté le 8 janvier 2015].

Disponible à l’adresse : http://www.liberation.fr/societe/2000/01/22/humpich- perceur-de-cartes-bancaires-ce-genie-a-viole-leur-secret-les-banques-ont-porte- plainte-le-pr_313694

Article sorti au moment de l’affaire Humpich.

Interstices - Le protocole cryptographique de paiement par carte bancaire, [sans date]. [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse :

https://interstices.info/jcms/c_33835/le-protocole-cryptographique-de-paiement- par-carte-bancaire

Site entretenu par une communauté exclusivement scientifique. Le document explique en détail les protocoles de cryptographie bancaire sur le plan logique et mathématique, ainsi qu'un article très détaillé sur le chiffrement RSA.

La sécurité des cartes bancaires, [sans date]. [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://www.bibmath.net/crypto/index.php?

action=affiche&quoi=moderne/cb

Les Yescards, [sans date]. [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://mp.cpgedupuydelome.fr/document.php?doc=Cryptanalyse%20-

%20les%20yescards.txt

Document décrivant en détail la technologie utilisée par Serge Humpich.

Vérificateur de clés, [sans date]. [en ligne]. [Consulté le 8 janvier 2015].

Disponible à l’adresse : http://fagot.alain.free.fr/helpilaro/verifcle.html

Site interactif pour comprendre la génération des codes de cartes bancaires.

Partie 3

BIBMATH, [sans date]. La sécurité des cartes bancaires.

Voir en Partie 2, ibid.

Communication en champ proche, [sans date]. [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse :

http://fr.wikipedia.org/wiki/Communication_en_champ_proche

Explication de la technologie NFC utilisée dans les paiements sans contact.

KORBEN, [sans date]. L’incroyable FAIL des cartes bancaires sans contact (NFC). [en ligne]. [Consulté le 8 janvier 2015 a]. Disponible à l’adresse : http://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas- securisees.html

Article de presse présentant l’échec du mode de paiement sans contact.

KORBEN, [sans date]. Une nouvelle faille de sécurité découverte dans les cartes bancaires sans contact. [en ligne]. [Consulté le 8 janvier 2015 b]. Disponible à l’adresse : http://korben.info/nouvelle-faille-securite-decouverte-les-cartes- bancaires-contact.html

Article présentant un témoignage d’une victime d’un paiement sans contact.

La sécurité du paiement sans contact, [sans date]. .

MICRO HEBDO N°745, [sans date]. Le scandale des nouvelles cartes bancaires. .

Article général présentant la technologie et les méthodes pour contourner le paiement sans contact.

NFC : pirater une carte bancaire, c’est possible, [sans date]. [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://www.zdnet.fr/actualites/nfc- pirater-une-carte-bancaire-c-est-possible-39809181.htm

Article récent montrant qu’il est toujours possible de passer à travers le système de paiement sans contact.

Partie V : Diagramme de Gantt