Un programme permettant de créer des clones de cartes bancaires vient d’être rendu public. Sur l’Internet.
Le GIE (groupement d’intérêt économique) Cartes Bancaires, qui regroupe 175 banques, est de nouveau sur la sellette. Depuis quelques semaines, la rumeur bruissait sur les forums spécialisés. Le site de Laurent Pelé, spécialiste de la carte bancaire, l’avait annoncé, le Monde et l’AFP viennent de le confirmer : il existe désormais un programme informatique permettant de générer des "Yescards". Comme leur nom l’indique, ces vraies-fausses cartes bancaires répondent systématiquement "oui" à une demande de transaction, quel que soit le code secret entré sur le clavier. Le programme, intitulé geZeroLee Box, aurait déjà été testé, avec succès, dans des cabines téléphoniques et des pompes à essence. Il n’est certes pas à la portée de n’importe qui, mais il pourrait néanmoins permettre d’"industrialiser" la création, et donc la diffusion, de tels clones de cartes. C’est en tout cas ce qu’avance Laurent Pelé. Cet informaticien avait soutenu Serge Humpich dans le procès que lui avait intenté le GIE CB. Pelé rappelle également que Michel Renault, président du Conseil de direction du GIE CB, avait promis en mars 2000 qu’en cas d’apparition de Yescards, menace classée au top de l’échelle mesurant la gravité des risques liés à la CB, toutes les cartes seraient remplacées.
Toute fraude sera remboursée
Dans un communiqué de presse, le GIE CB cherche à relativiser l’affaire et rappelle que ces yescards "ne comportent pas de risque financier pour les porteurs ni pour les commerçants". La "Charte relative à la sécurité des cartes de paiement", adoptée en février dernier, prévoit en effet de "rembourser en moins d’un mois les débits frauduleux liés à une contrefaçon de carte ou à une utilisation frauduleuse d’un numéro de carte". Encore faut-il arriver à prouver que l’on n’est pas à l’origine de la fraude... Cela dit, les yescards ne peuvent être utilisées que pour de petits montants et dans des conditions bien particulières, les distributeurs de billets, tout comme la majeure partie des commerçants équipés de terminaux de paiement, ne risquant pas grand-chose. Enfin, le renouvellement en cours des cartes bancaires, ainsi que celui des terminaux de paiement, devraient d’ici à la fin de l’année rendre obsolètes l’utilisation de yescards.
Un risque plus médiatique que financier
Pour Jean-Jacques Quisquater, universitaire et expert en matière de carte à puce, "le système n’est pas en danger et ne va pas s’effondrer, mais tant que le système bancaire français n’aura pas pris des mesures très fermes, au moins par rapport à son image de marque, ça continuera de se produire de temps en temps". Ainsi, le GIE avait été fortement critiqué pour la manière avec laquelle il avait traité Serge Humpich. Celui-ci, ayant découvert une faille dans la carte bancaire, proposa au GIE un "contrat" visant à en améliorer la sécurité. Le groupement préféra lui intenter un procès, plutôt que de reconnaître le problème, entraînant la sur-médiatisation de ce qu’on appelle désormais "l’affaire Humpich". Résultat : les médias firent leurs choux gras d’un problème relativement circonstancié qui ne risquait pas de mettre à mal le système dans son entier. Cela renforça en tout cas, les réticences du public à utiliser les cartes bancaires pour des paiements sur le Net. Même si cela n’avait rien à voir... Yves Randoux, administrateur du Groupement des Cartes bancaires qui déclarait au Monde être "sur un petit volcan", reconnaît ainsi aujourd’hui que les risques de déstabilisation du système sont "plus médiatiques que financiers".