Affaire Humpich Contre GIE Cartes Bancaires
Transcription
Affaire Humpich Contre GIE Cartes Bancaires
L’affaire Humpich et le régime juridique de la carte bancaire Introduction Introduction Le mode de paiement privilégié des Français Introduction 6 milliards de transactions en 2004 en France Plan de l’exposé Plan de l’exposé I. Présentation de la Carte Bancaire 1. 2. Historique de la carte à puce Principe de fonctionnement Plan de l’exposé II. Affaire Humpich 1. 2. 3. 4. La démarche de Serge Humpich Le commentaire d’arrêt Avis d’experts sur la décision de justice Humpich aujourd’hui Plan de l’exposé III. Régime juridique de la Carte Bancaire 1. 2. 3. Avant l’affaire Humpich Les ajouts législatifs Les chiffres actuels de la fraude à la Carte Bancaire I. Présentation de la Carte Bancaire La carte à puce 2. La Carte Bancaire 3. Principe de fonctionnement 1. La carte à puce Inventée en 1974 par un Français Roland Moreno La Carte Bancaire La puce est une sorte de petit ordinateur, avec : – un processeur peu puissant qui permet d'effectuer des calculs, – une mémoire dont : une partie est accessible en écriture (enregistrement de l'historique des transactions), une autre en lecture seule, et enfin une dernière en lecture cachée. La Carte Bancaire 1967 : premières cartes de paiements 1971 : premier DAB (distributeur automatique de billets) 1980 : premiers TPE (terminaux de paiements électroniques) 1984 : création du GIE CB 1992 : généralisation de la puce sur les cartes (320 bits) 1999 : affaire Humpich (yescard et clonage) 2001 : amélioration du système de sécurité (768 bits) Principe de fonctionnement Fonctionnement en trois étapes – Authentification de la carte – Vérification du code confidentiel – Authentification en ligne Principe de fonctionnement Authentification de la carte Envoi d’informations Authentification Numéro inconnu Principe de fonctionnement Vérification du code confidentiel Code stocké dans la puce La carte vérifie le code entré Code valide Code erroné Principe de fonctionnement Authentification en ligne – Seulement pour les montants importants Envoi d’un nombre aléatoire X Renvoie f(K, X) Vérifie et donne autorisation II. L’affaire Humpich II.1 – La démarche de Serge Humpich Biographie succincte b. Sa démarche a. Biographie succincte Né à Mulhouse en 1963 d'un père mineur Ingénieur INSA Lyon, promotion 1986 Expérience de Chef de Projet informatique dans la banque et l'industrie Sa démarche Ingénieur en électronique-informatique Cartes bancaires pas "inviolables" ou "infalsifiables" 4 ans de recherches Réalisation de son but Proposition d'amélioration du système II.2 – Le commentaire d'arrêt a. b. c. d. e. Les faits La procédure Les problèmes posés Les arguments des parties La décision rendue Les faits Découverte : met à jour le fonctionnement des terminaux de paiement Juillet 1998 : entre en relation avec le GIE Après plusieurs contacts : preuves à fournir Cartes bancaires 4 août 1998 : GIE Cartes bancaires porte plainte contre Serge Humpich 17 septembre 1998 : perquisitions et placement en garde à vue La procédure Première instance : Tribunal de Grande Instance de Paris, 25 février 2000 – Le tribunal fait droit à GIE Carte Bancaire – Serge Humpich interjette appel Rétractation de Serge Humpich – Le parquet maintient l’appel Deuxième instance : Cour d’appel de Paris, 18 décembre 2000 – La cour d’appel confirme le jugement Les problèmes posés Y’a-t-il infraction sans volonté de nuire? intention innocente dispense-t-elle de respecter la loi? Une Les arguments des parties Serge Humpich – Recherches effectuées sur un terminal non connecté – Aucune intention de nuire – Démarche similaire à celle d’un chercheur et non pas un pirate. Les arguments des parties GIE Carte Bancaire – Extraction de données d’un terminal, élément du système. – Conscience d’accéder à un système sans en avoir l’autorisation. – Maintenu dans le système afin de décrypter des données. – Introduction de données dans le système. – Contrefaçon de cartes bancaires. La décision rendue Déclaré coupable pour: – – – – Contrefaçon ou falsification de cartes bancaires Accès et maintien frauduleux dans un système Introduction frauduleuse de données dans un système Usage de cartes bancaires contrefaites Condamné à: – 10 mois de prison avec sursis – 12 000Frs d’amende et 1Fr de dommages et intérêts II.3 - Avis d'experts sur la décision de justice Aspect technique b. Aspect juridique a. Aspect technique PATRICK GUEULLE du livre « PC et cartes à puces » - Carte à péages plus sûres que la CB - L’émetteur de la CB est certain de la sécurité de ses propres cartes. Auteur Aspect technique ROLAND MORENO Inventeur de la carte à mémoire Les failles étaient connues depuis 1984 et met en cause les banques Aspect technique FRANCE TELECOM Dans un brevet de 1997 du CCETT, France Télécom dénonce les spécifications du système d’authentification de la carte bancaire. Aspect technique LOUIS CLAUDE GUILLON Chercheur au CCETT, un des concepteurs en 1983 du système d'authentification utilisé dans la carte bancaire. Æ En 1988, il apporte une note critique de sa propre invention : le système n’est pas sûr. Aspect juridique MAÎTRE SAYN Dol : Le GIE a trompé ses co-contractants en garantissant la sécurité du système. Négligence : Le GIE a laissé ses cartes en circulation avec la connaissance des failles. Défaut d’information : Les clients finaux et les commerçants ne sont pas prévenus des risques avérés. II.4 - Humpich aujourd'hui a. b. c. Sa situation financière et juridique Médiatisation de l’affaire Un nouveau départ Sa situation Août 1999 : licencié de la SSII GFI Informatique pour faute grave – Procès pour licenciement abusif (découverte en dehors du temps de travail) >règlement à l’amiable Février 2000 : 10 mois avec sursis et 12000 FF d’amende – Demande l’annulation de la procédure d’appel sans succès Sa situation Période difficile – Endetté – Au chômage – Démoralisé Médiatisation de l’affaire Surmédiatisation Janvier 2001 : – Livre "le cerveau bleu", Ed Xo Un nouveau départ Fait table rase sur cette affaire Crée un laboratoire d'électronique (réalisation de prototypes) Plus de nouvelles de lui après 2002 Les conséquences de cette affaire III. Régime juridique de la Carte Bancaire 1. 2. 3. Avant l’affaire Humpich Les ajouts législatifs Quelques chiffres relatifs à la fraude à la Carte Bancaire Avant l’affaire Humpich Avant 1991 : Le droit contractuel s’applique Loi du 30/12/1991 : Loi relative à la sécurité des chèques et des cartes de paiement Directive européenne du 20/05/1997 : Article 8 Paiement par carte Les États membres veillent à ce que des mesures appropriées existent pour que le consommateur: - puisse demander l'annulation d'un paiement en cas d'utilisation frauduleuse de sa carte de paiement dans le cadre de contrats à distance couverts par la présente directive, - en cas d'utilisation frauduleuse, soit recrédité des sommes versées en paiement ou se les voie restituées. III. 2 – Les ajouts législatifs Aspect historique b. Aspect juridique a. Aspect historique Quelques chiffres en 2000 Type de fraude 1999 2000 fraude carte bancaire à puce française en france 178 millions F 250 millions F fraude CB étrangères chez commerçants français 220 millions 360 millions fraude cartes bancaires françaises à l'étranger 142 millions 195 millions fraude distributeurs de billets en France 61 millions Env 65 millions Total > 636 millions > 940 millions Aspect juridique Principales raisons de la loi clé mathématique de cryptage est publiée par un internaute. Une chef du Service central de la sécurité des systèmes d'information déclare : « depuis longtemps, la vulnérabilité des cartes à puce est connue » Le Aspect juridique Principales raisons de la loi Affaire Humpich Croissance Chiffres des plaintes des citoyens de la fraude en augmentation Aspect juridique Création de la loi 1/2 17 mai 2000 - Proposition de résolution n° 2397 ¾ Souhait de créer une commission d’enquête 29 Juin 2000 - Rapport n° 2530 ¾ Proposition n°2397 rejetée 14 Mars 2001 - Projet de loi n° 2938 ¾ Sécurité quotidienne Jean-Pierre Brard Aspect juridique Création de la loi 2/2 18 Avril 2001, Avis n° 2992 - Dépôt de l’avis concernant le chapitre III du projet de loi 31 Octobre 2001 - Projet de loi adopté par l’Assemblée Nationale 15 Novembre 2001 - Loi promulguée par le Président de la République Aspect juridique Loi relative à la sécurité quotidienne Le chapitre VI de la loi est spécifique à la carte bancaire - Protection des utilisateurs - Répression envers les fraudeurs - Extension de la responsabilité - Nomination d’une autorité de contrôle : la Banque De France Quelques chiffres EVOLUTION DE LA FRAUDE fraude totale (en millions d'Euros) 2002 2003 2004 246 273,3 241,6 + 11% variation -11,70% Internet, le faux coupable …. Fraude totale déclarée à Fia-Net entre 2000 et 2003 en France Année (sur 761sites marchands) M ontants Sinistres déclarés correspondants Coût moyen de la fraude 2003 1.611 700.294 euros 437 euros 2002 2.664 1.631.344 euros 612 euros 2001 2.713 1.212.073 euros 447 euros 2000 461 179.377 euros 389 euros Source : Fia-Net, 2004 Malgré tout, tentative de fraude par Internet en 2004 : +15% Conclusion Ce qu'exige tôt ou tard le plus fort, ce n'est pas qu'on soit à ses côtés mais dessous. Georges Bernanos