Affaire Humpich Contre GIE Cartes Bancaires

L’affaire Humpich et
le régime juridique de la
carte bancaire
Introduction
Introduction
„
Le mode de paiement privilégié des Français
Introduction
„
6 milliards de transactions en 2004 en France
Plan de l’exposé
Plan de l’exposé
I.
Présentation de la Carte Bancaire
1.
2.
Historique de la carte à puce
Principe de fonctionnement
Plan de l’exposé
II. Affaire Humpich
1.
2.
3.
4.
La démarche de Serge Humpich
Le commentaire d’arrêt
Avis d’experts sur la décision de justice
Humpich aujourd’hui
Plan de l’exposé
III. Régime juridique de la Carte Bancaire
1.
2.
3.
Avant l’affaire Humpich
Les ajouts législatifs
Les chiffres actuels de la fraude à la
Carte Bancaire
I. Présentation de la
Carte Bancaire
La carte à puce
2. La Carte Bancaire
3. Principe de fonctionnement
1.
La carte à puce
„ Inventée
en 1974 par un Français
Roland Moreno
La Carte Bancaire
„ La
puce est une sorte de petit ordinateur,
avec :
– un processeur peu puissant qui permet
d'effectuer des calculs,
– une mémoire dont :
ƒ une partie est accessible en écriture
(enregistrement de l'historique des transactions),
ƒ une autre en lecture seule,
ƒ et enfin une dernière en lecture cachée.
La Carte Bancaire
„
1967 : premières cartes de paiements
„
1971 : premier DAB (distributeur automatique de billets)
„
1980 : premiers TPE (terminaux de paiements
électroniques)
„
1984 : création du GIE CB
„
1992 : généralisation de la puce sur les cartes (320 bits)
„
1999 : affaire Humpich (yescard et clonage)
„
2001 : amélioration du système de sécurité (768 bits)
Principe de fonctionnement
„ Fonctionnement
en trois étapes
– Authentification de la carte
– Vérification du code confidentiel
– Authentification en ligne
Principe de fonctionnement
„ Authentification
de la carte
Envoi d’informations
Authentification
Numéro inconnu
Principe de fonctionnement
„
Vérification du code confidentiel
Code stocké dans la puce
La carte vérifie le code entré
Code valide
Code erroné
Principe de fonctionnement
„ Authentification
en ligne
– Seulement pour les montants importants
Envoi d’un nombre aléatoire X
Renvoie f(K, X)
Vérifie et donne autorisation
II. L’affaire Humpich
II.1 – La démarche de
Serge Humpich
Biographie succincte
b. Sa démarche
a.
Biographie succincte
„
Né à Mulhouse en 1963 d'un
père mineur
„
Ingénieur INSA Lyon,
promotion 1986
„
Expérience de Chef de Projet
informatique dans la banque
et l'industrie
Sa démarche
„
„
„
„
„
Ingénieur en électronique-informatique
Cartes bancaires pas "inviolables" ou
"infalsifiables"
4 ans de recherches
Réalisation de son but
Proposition d'amélioration du système
II.2 – Le commentaire
d'arrêt
a.
b.
c.
d.
e.
Les faits
La procédure
Les problèmes posés
Les arguments des parties
La décision rendue
Les faits
„ Découverte
: met à jour le fonctionnement
des terminaux de paiement
„ Juillet
1998 : entre en relation avec le GIE
„ Après
plusieurs contacts : preuves à fournir
Cartes bancaires
„4
août 1998 : GIE Cartes bancaires porte
plainte contre Serge Humpich
„ 17
septembre 1998 : perquisitions et
placement en garde à vue
La procédure
„ Première
instance :
Tribunal de Grande Instance de Paris, 25 février 2000
– Le tribunal fait droit à GIE Carte Bancaire
– Serge Humpich interjette appel
„ Rétractation
de Serge Humpich
– Le parquet maintient l’appel
„ Deuxième
instance :
Cour d’appel de Paris, 18 décembre 2000
– La cour d’appel confirme le jugement
Les problèmes posés
„ Y’a-t-il
infraction sans volonté de nuire?
intention innocente dispense-t-elle
de respecter la loi?
„ Une
Les arguments des parties
„ Serge
Humpich
– Recherches effectuées sur un terminal non
connecté
– Aucune intention de nuire
– Démarche similaire à celle d’un chercheur et
non pas un pirate.
Les arguments des parties
„ GIE
Carte Bancaire
– Extraction de données d’un terminal, élément
du système.
– Conscience d’accéder à un système sans en
avoir l’autorisation.
– Maintenu dans le système afin de décrypter
des données.
– Introduction de données dans le système.
– Contrefaçon de cartes bancaires.
La décision rendue
„
Déclaré coupable pour:
–
–
–
–
„
Contrefaçon ou falsification de cartes bancaires
Accès et maintien frauduleux dans un système
Introduction frauduleuse de données dans un système
Usage de cartes bancaires contrefaites
Condamné à:
– 10 mois de prison avec sursis
– 12 000Frs d’amende et 1Fr de dommages et intérêts
II.3 - Avis d'experts sur
la décision de justice
Aspect technique
b. Aspect juridique
a.
Aspect technique
PATRICK GUEULLE
du livre « PC et
cartes à puces »
- Carte à péages plus sûres
que la CB
- L’émetteur de la CB est
certain de la sécurité de ses
propres cartes.
„ Auteur
Aspect technique
ROLAND MORENO
„
Inventeur de la carte à
mémoire
Les failles étaient
connues depuis 1984 et
met en cause les
banques
Aspect technique
FRANCE TELECOM
Dans un brevet de 1997
du CCETT, France
Télécom dénonce les
spécifications du système
d’authentification de la
carte bancaire.
Aspect technique
LOUIS CLAUDE GUILLON
„ Chercheur
au CCETT, un des concepteurs
en 1983 du système d'authentification
utilisé dans la carte bancaire.
Æ En 1988, il apporte une note critique de sa
propre invention : le système n’est pas sûr.
Aspect juridique
MAÎTRE SAYN
„ Dol
: Le GIE a trompé ses co-contractants en
garantissant la sécurité du système.
„ Négligence
:
Le GIE a laissé ses cartes en
circulation avec la connaissance des failles.
„ Défaut
d’information : Les clients finaux et les
commerçants ne sont pas prévenus des risques avérés.
II.4 - Humpich
aujourd'hui
a.
b.
c.
Sa situation financière et juridique
Médiatisation de l’affaire
Un nouveau départ
Sa situation
„ Août
1999 : licencié de la SSII GFI
Informatique pour faute grave
– Procès pour licenciement abusif (découverte
en dehors du temps de travail)
>règlement à l’amiable
„ Février
2000 : 10 mois avec sursis et
12000 FF d’amende
– Demande l’annulation de la procédure d’appel
sans succès
Sa situation
„ Période
difficile
– Endetté
– Au chômage
– Démoralisé
Médiatisation de l’affaire
„ Surmédiatisation
„ Janvier
2001 :
– Livre "le cerveau bleu", Ed Xo
Un nouveau départ
„ Fait
table rase sur cette affaire
„ Crée un laboratoire d'électronique
(réalisation de prototypes)
„ Plus
de nouvelles de lui après 2002
Les conséquences de cette affaire
III. Régime juridique de
la Carte Bancaire
1.
2.
3.
Avant l’affaire Humpich
Les ajouts législatifs
Quelques chiffres relatifs à
la fraude à la Carte Bancaire
Avant l’affaire Humpich
„
Avant 1991 : Le droit contractuel s’applique
„
Loi du 30/12/1991 : Loi relative à la sécurité des
chèques et des cartes de paiement
„
Directive européenne du 20/05/1997 :
Article 8
Paiement par carte
Les États membres veillent à ce que des mesures appropriées existent pour que
le consommateur:
- puisse demander l'annulation d'un paiement en cas d'utilisation frauduleuse de
sa carte de paiement dans le cadre de contrats à distance couverts par la
présente directive,
- en cas d'utilisation frauduleuse, soit recrédité des sommes versées en paiement
ou se les voie restituées.
III. 2 – Les ajouts
législatifs
Aspect historique
b. Aspect juridique
a.
Aspect historique
Quelques chiffres en 2000
Type de fraude
1999
2000
fraude carte bancaire à puce française en france
178 millions F
250 millions F
fraude CB étrangères chez commerçants français
220 millions
360 millions
fraude cartes bancaires françaises à l'étranger
142 millions
195 millions
fraude distributeurs de billets en France
61 millions
Env 65 millions
Total
> 636 millions
> 940 millions
Aspect juridique
Principales raisons de la loi
clé mathématique de cryptage
est publiée par un internaute.
„ Une
chef du Service central de la sécurité
des systèmes d'information déclare :
« depuis longtemps, la vulnérabilité des
cartes à puce est connue »
„ Le
Aspect juridique
Principales raisons de la loi
„ Affaire
Humpich
„ Croissance
„ Chiffres
des plaintes des citoyens
de la fraude en augmentation
Aspect juridique
Création de la loi 1/2
„
17 mai 2000
- Proposition de résolution n° 2397
¾ Souhait de créer une commission
d’enquête
„
29 Juin 2000
- Rapport n° 2530
¾ Proposition n°2397 rejetée
„
14 Mars 2001
- Projet de loi n° 2938
¾ Sécurité quotidienne
Jean-Pierre Brard
Aspect juridique
Création de la loi 2/2
„
18 Avril 2001, Avis n° 2992
- Dépôt de l’avis concernant le chapitre III du
projet de loi
„
31 Octobre 2001
- Projet de loi adopté par l’Assemblée Nationale
„
15 Novembre 2001
- Loi promulguée par le Président de la
République
Aspect juridique
Loi relative à la sécurité quotidienne
„
Le chapitre VI de la loi est spécifique
à la carte bancaire
- Protection des utilisateurs
- Répression envers les fraudeurs
- Extension de la responsabilité
- Nomination d’une autorité de contrôle :
la Banque De France
Quelques chiffres
EVOLUTION DE LA FRAUDE
fraude totale (en
millions d'Euros)
2002
2003
2004
246
273,3
241,6
+ 11%
variation
-11,70%
Internet, le faux coupable ….
Fraude totale déclarée à Fia-Net entre 2000 et 2003 en France
Année
(sur 761sites marchands)
M ontants
Sinistres déclarés
correspondants
Coût moyen de la fraude
2003
1.611
700.294 euros
437 euros
2002
2.664
1.631.344 euros
612 euros
2001
2.713
1.212.073 euros
447 euros
2000
461
179.377 euros
389 euros
Source : Fia-Net, 2004
Malgré tout, tentative de fraude par Internet en 2004 : +15%
Conclusion
Ce qu'exige tôt ou tard le plus fort, ce n'est pas qu'on soit
à ses côtés mais dessous.
Georges Bernanos