lundi 16 janvier 2012

Pourquoi déchirer ses reçus ? De la sécurité des cartes bancaires

L'expert en sécurité informatique Bruce Schneier attire l'attention sur ce post émanant du Luxembourg : il montre comment deux tickets, venant de deux garages différents, affichent différentes parties du numéro de carte de crédit, permettant ainsi de reconstituer le numéro entier.

Ayant remarqué ceci depuis longtemps, puisque cela vaut, en France, pour les supermarchés et tout endroit où l'on paie par carte, j'ai été étonné que B. Schneier se déclare surpris par cette nouvelle.

De cette brève, deux enseignements:
  • plutôt que de se focaliser sur des procédures coûteuses et attentatoires à la vie privée telles que la biométrie (cf. La Carte VISA biométrique débarque en France, Vos Papiers!, 2 avril 2010), il conviendrait d'élaborer des standards permettant de répondre aux failles les plus évidentes. On retrouve les mêmes questions dans l'élaboration de la carte d'identité biométrique, alors même que la CNIL regrette le manque de sécurisation de la "chaîne d'état civil" et notamment de la transmission des actes d'état civil.
  • en attendant que les "spécialistes" se penchent sur ce problème guère nouveau, la moindre des choses est de bien déchirer ses reçus de CB lorsqu'on les jette à la poubelle.

Les normes PCI et du report des responsabilités bancaires sur les marchands

Remarquons que les normes concernant les cartes visas, dites PCI (payment-card industry), sont selon B. Schneier "probablement les standards de sécurité non-gouvernementaux les plus importants". Le site officiel de PCI indique que le consortium a été fondé par American Express, Discover Financial Services, JCB International, MasterCard Worldwide, et Visa Inc.

Wired a récemment fait état d'une action en justice inédite émise contre PCI par des restaurateurs de l'Utah (USA), qui se sont vus prélever des sommes sur leur compte en guise d' "amendes" suite au hacking des coordonnées bancaires de leurs clients (Rare Legal Fight Takes On Credit Card Company Security Standards and Fines, Wired, 11 janvier 2012). Si les organismes de carte bancaire (VISA, etc.), se retournent en effet contre les banques lorsqu'il s'agit de rembourser ces frais de piratage, les banques elles-mêmes ont des accords avec leurs clients (restaurants, magasins, etc.) permettant de se retourner à leur tour contre eux pour se faire rembourser. Les magasins sont ainsi tenus pour directement responsables, au motif de non-respect des normes PCI. Au vu de cette responsabilité, il serait heureux que ces normes soient plus sérieuses. L'avocat des restaurateurs indique sur Wired! que "c'est comme si Visa et MasterCard étaient des gouvernements": "d'où reçoivent-ils l'autorité d'imposer un système d'amendes et de pénalités contre les marchands"? Ce d'autant plus qu'il n'y a aucun système d'appel ou de recours contre ces pénalités.

Dans un article consacré aux standards PCI en vigueur à partir du 1er janvier 2012, M. Estrade tient le même langage que ces avocats: rappelant le hacking de deux systèmes bancaires conformes à ces standards (Heartland Payment Systems, en 2009, qui traite plus de 100 millions de transactions par jour, et celui concernant la Playstation Sony), il considère ainsi que "la norme PCI DSS n'est pas en mesure de garantir la sécurité des données porteurs" (Journal du Net, 07/09/11). Et de déclarer:

Pour des nombreux experts, de meilleures solutions existent, comme le chiffrement des informations porteuses sur toute la chaîne de paiement (en partant de la carte elle même). Ou encore l'adoption par les américains (sic) de la carte à puce, technologie encore inconnue outre Atlantique. Mais ces solutions sont lourdes à mettre en place, et ces modifications impacteraient surtout les banques et les sociétés émettrices de cartes. Pour celles-ci, il est plus facile de définir une norme contractuelle, et de déporter, ainsi, sur les utilisateurs (en l'occurrence les marchands) le soin de garantir la sécurité de leur technologie.

Sans doute les gouvernements, et la France en premier, préfèrent-ils soutenir leur "industrie stratégique" en favorisant tous azimuts la biométrie (utilisée désormais par la console de jeux X-Box 360 Kinect de Microsoft aux fins explicites d' "habituer le consommateur"), que de contraindre le consortium PCI à un peu de sérieux... Voilà sans doute un sujet que pourrait saisir la CGPME (Confédération générale des Petites et Moyennes Entreprises) afin de défendre les commerçants contre ce consortium de multinationales : on attend une lettre ouverte aux candidats à la présidentielle, en particulier au candidat sortant qui a tant œuvré pour la "valeur-travail". Et pourtant, une recherche "standards PCI" ou "PCI" sur le site de la CGPME ne donne... rien.


Creative Commons LicenseMerci d’éviter de reproduire cet article dans son intégralité sur d’autres sites Internet et de privilégier une redirection de vos lecteurs vers notre site et ce, afin de garantir la fiabilité des éléments de webliographie.

Aucun commentaire:

Enregistrer un commentaire