"La carte à puce n’est pas inviolable", avaient écrit Libération et Le Monde, suite à l’affaire Humpich (1). Piqué au vif, son inventeur, Roland Moreno, a lancé un défi le 13 mars 2000 : il promettait un million de francs à quiconque lirait et écrirait des informations dans la puce. Il a gagné, et revient aujourd’hui sur la polémique des cartes bancaires. Car inviolable ne veut pas dire infalsifiable...

Qui a relevé votre défi ?

Il y a eu trois candidats. Deux d’entre eux n’y connaissaient rien en électronique et en informatique et voulaient juste gagner le million. Le troisième était un illuminé qui prétendait pouvoir deviner le code secret d’une carte bancaire en la regardant. Rien de sérieux, donc, mais je ne suis pas étonné. Les hackers savaient qu’ils ne pouvaient pas gagner.

©Transfert

Certains hackers ont contesté les conditions restrictives du défi...

Je pense au contraire que le défi valable trois mois était très ouvert. Il fallait lire dans la puce le code secret de trois cartes bancaires en circulation. Mais comme la probabilité de les deviner au hasard restait assez élevée, il fallait aussi écrire une information sur la zone réservée d’une télécarte. Pour cela, les candidats pouvaient utiliser n’importe quel ordinateur, même un super-calculateur Cray s’ils le désiraient. Et ils avaient accès à des informations de conception de la puce très détaillées. Mais j’ai délibérément exclu les moyens chimiques, mécaniques ou otiques pour des raisons pratiques. De toute façon, aucune méthode de ce type ne fonctionne (2).

Pourtant, dans un article paru dans la revue Pirate Mag (n°7), Patrick Gueulle affirme avoir réussi à écrire dans la zone protégée d’une télécarte de la deuxième génération !

J’ai lu en détail l’article et il ne s’agit pas vraiment d’écrire dans la zone de mémoire protégée, préservée par mon brevet. ...crire dans une zone protégée est impossible.

Une carte à puce est donc inviolable. Infalsifiable aussi ?

Non, effectivement, puisque Serge Humpich a réussi à acheter des tickets de métro avec une pseudo-carte. Mais il n’a pas violé la puce de la carte. Il a seulement trompé le système de sécurité cryptologique mis en place par les banques. Les banques avaient été mises en garde dès les années 80, mais elles ont tardé à réagir. C’est fait désormais, puisque la clé de cryptage est passée de 320 à 1 024 bits.

La carte à puce restera donc inviolable ?

Oui ! Aucun ordinateur ne pourra jamais ouvrir les portes logiques de la puce. Et si quelqu’un était sur le point d’y parvenir, ça se saurait et ça ferait beaucoup plus de bruit encore que la méthode Humpich !

(1) Serge Humpich avait réussi à acheter des tickets de métro avec des leurres de cartes bancaires.

(2) Laurent Pelé, responsable du site des amis de Serge Humpich, rappelle cependant qu’il est possible de lire le code secret d’une carte bancaire avec de gros moyens (acide, laser, microscope électronique). Mais la carte est ensuite inutilisable...