Pierre BusnelLouis Josso

Arthur PhamThomas Wisniewski

Thibault Formal

3 Génie Mathématiques 2014-2015

Monographie

Enseignant : Philippe Echard

La cryptographie dans le système bancaire

Description du sujet

On se pose la question de la sécurité de nos données bancaires dans un monde où latechnologie est chaque jour de plus en plus performante. En effet, ces dernières années ontamorcé l'explosion des technologies du numérique, et cette course aux nouvelles techniquesne peut se faire sans remettre en cause la fiabilité de nos méthodes actuelles pour sécurisernos données, en particulier les données bancaires. Un des challenge de la décennie à venirva être de trouver de nouvelles méthode de chiffrement, afin de faire face à la puissancesans cesse grandissante des nouveaux ordinateurs.

Aujourd’hui, le bilan est le suivant : la seule chose qui protège nos données et empêched’éventuels « pirates » de se servir sur nos comptes est la puissance maximale de calculatteignable par les ordinateurs actuels. Cependant, cette barrière est repoussée chaque jourpar les nouvelles découvertes, et l'augmentation des performances de calcul. Combien detemps cette situation va-t-elle durer ? Comment va-t-on sécuriser nos données de manièreoptimale ? On se propose dans un premier temps de faire un bilan descriptif des méthodeset technologies utilisées aujourd’hui pour sécuriser les données bancaires, puis d’explorerles pistes qui sont actuellement étudiées pour améliorer, voir remplacer les systèmes actuels(ordinateurs quantiques, nouveaux algorithmes, …).

In a world suffering from a global monetary crisis, money and banks are at the center of every discussions. Everyone wants their savings to be protected, but in the light of the last decade's events you might doubt the efficiency of the encryption of our monetary transactions.

Throughout History, men have always tried to hide information from one another. Some might say that today's banking encryption is the apex of that quest but we must not forget that there is a raging war between the ones protecting our data and the ones trying to break the code.As the machinery of today's banking encryption system is analyzed, both its efficiency and its limits will be exposed as a consequence of the exponential growth of technology.

After investigation, facts indicate that banks try to stay one step ahead of hackers, but theunknown future of technology might bring some balance changing breakthroughs that willimply a total change compared with today's encryption methods.

Sommaire

Partie I – Histoire et évolution de la cryptographie

1. Pourquoi la cryptographie existe-t-elle ?

2. Les balbutiements de la cryptographie

3. Les premières formes de cryptographie robuste

4. L'exemple de la machine Enigma ( XXème siècle)

Partie II – La cryptographie dans le monde bancaire

1. Un peu d’histoire...

2. Description rapide

3. Les modes de chiffrement

4. Le paiement

5. L'affaire Humpich

6. Correction du protocole

7. Sécurisation des paiements et des transactions sur internet

Partie III - Une avancée technologique : Payement sans contact

1. Fonctionnement

2. Failles de sécurité

3. Solutions

Partie IV - Bibliographie

Partie V – Diagramme de Gantt

Partie I : Histoire et évolution de la cryptographie

1. Pourquoi la cryptographie existe-elle ?

Tout d'abord, il est important de comprendre quelques définitions :

La cryptologie, est la science du secret : elle regroupe la cryptographie (discipline de protection d'un message, qui permet à 2 personnes d'échanger des informations de manière sécurisée,) et la cryptanalyse qui analyse cette dernière.

L'Homme a toujours ressenti le besoin de dissimuler des informations, et de pouvoir communiquer de manière « privée ». Les premières utilisations de messages codés avaient des fins militaires, mais au fil des siècles, la cryptographie s'est révélée utile, puis nécessaire, dans d'autres domaines, notamment le milieu bancaire.

Ainsi, pour notre génération, le monde numérique semble être un acquis, mais c'est en fait lerésultat de plusieurs millénaires d'inventions, et de grands esprits qui ont ajouté leur pierre àl'édifice. Les méthodes de chiffrement des transactions bancaires sont les héritières de celong processus intellectuel. On se propose de retracer l'histoire de la cryptographie (ouchiffrement) à travers les âges, pour comprendre toute la mesure de cet héritage ancestral.

2. Les balbutiements de la cryptographie

La plus ancienne, et la plus naturelle des méthodes pour échanger de manière privée esttout simplement la barrière de la langue. Ceci peu sembler un peu « faible » face auxméthodes modernes mais elle n'est en fait pas si désuète (certains dialectes étant parléet/ou compris par peu de gens par exemple).

Quoi qu'il en soit, la cryptographie à proprement remonte à la scytale. Celle ci fait sonapparition au Vème siècle avant J.C, et elle est considérée comme la première méthode dechiffrement par transposition. Le principe est simple : la personne qui veut coder le message,enroule une bande de cuire autour d'un bâton de bois spécifique, puis écrit son message surle cuir. La bande de cuir est ensuite déroulée et portée en ceinture par le messager. Lapersonne recevant le message doit cependant posséder un bâton de même type, et demême diamètre, afin d'être en mesure de décoder le message.

figure 1 : reproduction d'une scytale

Durant la même période, Nabuchodonosor, le roi de Babylone, employait une méthode totalement différente : il écrivait sur le crâne rasé de ses esclaves, attendait que leurs cheveux repoussent, puis les envoyait au destinataire, qui les rasaient à son tour.

A travers ses deux méthodes relativement différentes, mais assez rudimentaires, on voit déjàl'importance d'une méthode de cryptage qui soit plus robuste, afin d' assurer la pérennité deséchanges.

3. Les premières techniques de cryptographie robuste

Le premier siècle voit l'apparition d'une célèbre technique de chiffrement : le Chiffre deCésar: celui ci est une méthode de substitution mono-alphabétique. Son système consiste àdécaler les lettres de l'alphabet d'un nombre n. Par exemple, si n=3, on remplace A par D,puis B par E, C par F etc...

figure 2 : illustration d'un Chiffre de César pour n=3

Le système trouve ses limites relativement rapidement, puisqu'il n'existe que 25 façons decoder un message. Bien entendu, on n'utilise plus aujourd'hui ce type de chiffrement, saufdans sa version n=13 appelé ROT13, utilisée dans des jeux pour éviter la lecture accidentelle(la réponse d'une énigme par exemple).

Cependant, les méthodes de substitution sont très sensibles aux analyses fréquentielles :celles ci consistent à regarder la fréquence d'apparition des lettres dans le message codé, etde la comparer avec la fréquence habituelle d'apparition dans la langue de décodage.

Une quinzaine de siècles plus tard, le diplomate français Blaise de Vigenère propose uneméthode de substitution poly-alphabétique. Son système repose sur l'utilisation d'une clépartagée par l’émetteur et le destinataire, ainsi que d'une table comme celle ci contre.

figure 3 : table de Vigenère

Le texte chiffré s'obtient en prenant l'intersection, de la ligne qui commence par la lettre àcoder, avec la colonne qui commence par la première lettre de la clef, et ainsi de suite. Dèsque l'on atteint la fin de la clé, on recommence avec la première lettre. Pour décoder, il suffitde faire l'opération inverse.

Ce système est relativement robuste puisqu'on ne peut pas lui appliquer une analyse fréquentielle. De plus, la possibilité d'avoir un nombre infini de clés le rend très difficile à déchiffrer. Malgré sa robustesse, il reste assez simple et rapide d'utilisation (dans les deux sens). Cet algorithme est considéré comme un très bon algorithme de chiffrement, puisqu’il aura fallu trois siècle pour le décrypter.

4. L'exemple de la machine Enigma ( XXème siècle)

La cryptographie a connu un essor important durant le XXème siècle, et notamment pendantles périodes de guerre. En effet, la volonté de cacher de l'information en temps de guerredevient un besoin vital, c'est ainsi que la machine Enigma a vu le jour durant la premièreguerre mondiale.

Enigma est une machine électromécanique d'origine Allemande, dont l’utilisation fut intensivesous l'Allemagne nazie. A l'époque, réputée inviolable, les forces alliées ont cependant pudéchiffrer un certain nombre de messages vers la fin de la guerre, grâce notamment autravaux du Britannique Alan Turing.

figure 4 : machine de chiffrement Enigma

Son principe est relativement simple puisqu'il s'agit de remplacer une lettre tapée au clavierpar une autre qui s'allume à chaque frappe. La partie mécanique de la machine estconstituée d'un double clavier (l'un avec des touches et l'autre avec des ampoules marquéesde lettres), de plusieurs anneaux rotatifs appelés rotors (trois généralement), ainsi que d'unréflecteur électrique.

Lorsque qu'une touche est pressée, un courant passe à travers les rotors suivant un cheminparticulier pour atteindre le réflecteur, qui le renvoie dans les rotors suivant un chemintotalement différent puis, à la sortie des rotors, le courant va allumer une ampoulecorrespondant à la lettre codée.

Individuellement, les rotors représentent une substitution mono alphabétique, puisque dechaque coté du disque se trouvent 26 points (plats ou pointus selon le coté), quireprésentent les lettres de l'alphabet. A l'intérieur du rotor, une lettre est reliée à une autresuivant un décalage précis.

A chaque pression sur une touche du clavier, le premier rotor tourne d'un cran sur lui-même,créant ainsi de nouveaux chemin pour le courant. Si l'on ajoute à cela le fait que les rotorssoient dentés, et s’entraînent les uns les autres à intervalles réguliers, les possibilités dechemins sont considérables.

Pour pouvoir déchiffrer des messages avec une machine Enigma, il faut donc qu'il y ait lesmême rotors sur la machine de l’émetteur et sur celle du destinataire, ainsi que des positionsinitiales similaires pour les rotors lors de l 'écriture du message.

Avec Enigma on voit déjà l'apparition d'un chiffrement beaucoup plus complexe, et dont le rôle fût crucial durant la seconde guerre mondiale. Durant cette période, les avancées de la cryptographie et du calcul machine furent spectaculaires.

Partie II : la cryptographie dans le milieu bancaire

Nous entrons maintenant dans le vif du sujet. Cette partie va concerner l'usage de lacryptographie dans le milieu bancaire, où la sécurité des échanges est cruciale. Même s'ilest vrai que l'on se doute que la sécurité est au cœur de ces procédés, on imagine assezmal tout ce qu'il se passe lorsque l'on introduit sa carte bancaire dans un terminal depaiement, par exemple. Ainsi, inconsciemment, nous utilisons chaque jour des protocolescryptographiques.

Comment nos données bancaires sont elles sécurisées ? Comment contrer les tentatives defraude ? Quel est au final l'usage de la cryptographie dans tout ça ?

(Remarque : on concentre ici l'étude sur un problème précis, le protocole de paiement parcarte bancaire. Il faut avoir à l'esprit que c'est en réalité un sujet beaucoup plus vaste, etbeaucoup plus compliqué à cerner dans sa globalité. Un protocole cryptographique est unesuccession d'échanges de messages chiffrés par des méthodes cryptographiques.)

Cette partie est fortement inspirée de l'article « le protocole cryptographique de paiement parcarte bancaire » de Thomas Genet, maître de conférence à l'université de Rennes 1.

1. Un peu d'histoire…

C'est en 1967 que 6 banques françaises (Crédit Lyonnais, Société Générale, BanqueNationale de Paris, Crédit Industriel et Commercial (CIC), Crédit Commercial de France(CCF) et Crédit du Nord) lancent la première carte de paiement en France, appelée « CarteBleue ». À cette date, les cartes bancaires ne possédaient pas encore de puce (celles ciétant créées quelques années plus tard, en 1974, par l'ingénieur Français Roland Moreno).Ce n'est qu'en 1992 que celles ci se généralisent en France (alors pionnière dans ledomaine).

2. Description rapide

Les éléments importants d'une carte bancaire sont :

⁃ Le numéro de la carte (qui comporte 16 chiffres)

⁃ La date d'expiration

⁃ Le nom du propriétaire

⁃ La puce

⁃La piste magnétique

⁃Le cryptogramme de sécurité

figure 5 : une carte bancaire

La puce est l'élément central de la carte : elle est au cœur de la sécurité des cartesbancaires. C'est une sorte d'ordinateur miniature, pouvant effectuer des calculs, et dont lamémoire contient les données importantes de la carte. Ce « coffre-fort », hautementsécurisé, contient en particulier : des clés cryptographiques spécifiques à chaque carte, lecode secret (qui forme, avec le numéro de carte, un couple unique), et le compteur d'essai(qui permet de bloquer la carte au bout d'un certain nombre d'essais). De plus, elle contientaussi un des éléments de sécurisation des transactions à distance, le cryptogramme desécurité (composé de 3 chiffres). Combiné avec la date de validité, et le numéro de carte, ilsforment une combinaison UNIQUE. Tous ces éléments sont calculés par les outilscryptographiques de chaque banque émettrice.

3. Les modes de chiffrement

Il existe 2 grandes familles de méthodes de chiffrement : le chiffrement symétrique, et le chiffrement asymétrique.

3.1 Le chiffrement symétrique

Le chiffrement symétrique, aussi appelé chiffrement à clé secrète ou privée, est la plusancienne forme de chiffrement. La caractéristique de ce chiffrement est l'usage de la mêmeclé pour le chiffrement et pour le déchiffrement (type Chiffre de César, Vigenère …).

Pour chiffrer un message, on applique une opération (algorithme) à l'aide de la clé. Ce typede chiffrement est très sûr en théorie (l'utilisation d'une clé d'une longueur au moins égale àcelle du message assure en effet l'inviolabilité du message).

figure 6 : schéma illustrant le fonctionnement du chiffrement symétrique

Cependant, en pratique, il se pose un problème majeur: comment échanger de manière sûreles clés ? C'est le principal défaut de ce système.

3.2 Le chiffrement asymétrique

On peut comparer ce système de chiffrement au fonctionnement d'un cadenas.

Alice dispose de 2 clés : une clé publique (verte ici, c'est elle qui fait office de « cadenas ») etune clé privée (rouge ici, la clé du « cadenas »).

Ainsi, Bob peut chiffrer un message à l'aide de la clé publique, et seule Alice pourra ledéchiffrer avec sa clé secrète (elle est la seule à la posséder).

figure 7 : schéma illustrant le fonctionnement du chiffrement asymétrique

À l'inverse, Alice peut coder un message à l'aide de sa clé privée, et Bob peut le déchiffrer à l'aide de la clé publique : ce mécanisme est utilisé par la signature numérique pour authentifier l'auteur d'un message.

Ce type de cryptographie est basé sur l'existence de fonctions à sens unique : ce sont des fonctions qu'il est facile d'appliquer dans un sens (chiffrement), mais très difficile « d'inverser » (déchiffrement).

L'exemple du RSA

Un des algorithmes asymétriques le plus utilisé est l'algorithme RSA, du nom de ses créateurs Ronald Rivest, Adi Shamir et Leonard Adleman, en 1977). Il est basé sur une propriété simple des nombres premiers.

Petit rappel : Un nombre premier est un entier naturel qui admet exactement deux diviseurs distincts entiers et positifs (qui sont alors 1 et lui même, par exemple 5,7,13...)

Algorithme

1. Choisir p et q, deux nombres premiers distincts.

2. Calculer leur produit n = p*q, appelé module de chiffrement.

3. Calculer φ(n) = (p - 1)*(q -1).

4. Choisir un entier naturel e premier avec φ(n), et strictement inférieur à φ(n), appeléexposant de chiffrement.

5. Calculer l'entier naturel d, inverse de e modulo φ(n), et strictement inférieur à φ(n), appeléexposant de déchiffrement (par l'algorithme d'Euclide étendu).

Comme e est premier avec φ(n), d'après le théorème de Bézout, il existe deux entiers d et ktels que e*d + k*φ(n) = 1,

C’est-à-dire que e*d ≡ 1 (modulo φ(n)) donc e est bien inversible modulo φ(n).

Le couple (n,e) est la clé publique du chiffrement, alors que le couple (n,d) est sa cléprivée.

Ce système est beaucoup plus sur qu'un chiffrement à simple clé de par saconception, mais il présente quelques inconvénients. : les temps de traitement sontplus longs, et pour un niveau de sécurité équivalent, nécessite des clés plus longues.

4. Le paiement

4.1 Le paiement sans code

Ce type de paiement s'effectue couramment, lorsque l'on réalise un achat en ligne parexemple. Prenons le cas « classique ».

Ainsi, il suffit juste de donner :

⁃ Le numéro de la carte bancaire

⁃ La date de validité de la carte

⁃ Le nom du propriétaire

⁃Le cryptogramme de sécurité

Comme l'on peut s'en douter, ceci offre une sécurité plus faible que lors d'un achat «classique » (où il nous faut le code de la carte). Par exemple, si quelqu'un vous dérobe votrecarte, ou récupère ces informations d'une autre manière, il pourra l'utiliser. Toutefois, lecryptogramme de sécurité assure une sécurité supplémentaire, celui ci n'étant pas stockédans la carte.

Notons qu'aujourd'hui, la sécurité de ce type de paiement a été renforcée. Ainsi, certainesbanques proposent des cartes bancaires « virtuelles » (e-carte bleu, virtualis...) : une cartebleu est générée, numéro unique pour un seul paiement. Ainsi, pour chaque achat, il faudragénérer un numéro virtuel (généralement avec un programme fourni par la banque).

On peut aussi citer le protocole 3-D secure : pour résumer, il consiste à s'assurer que lepaiement est bien effectué par le titulaire de la carte. Même si les modalités de ce protocolepeuvent varier suivant les banques, pour finaliser la transaction, le client devra entrer uncode d'authentification à usage unique, communiqué par sa banque (par SMS par exemple).

4.2 Le paiement avec code

Aujourd'hui, lorsque l'on achète quelque chose, on utilise souvent notre carte bancaire. C'estdevenu un moyen de paiement rapide, efficace, pratique. Durant ces quelques secondes oùla carte est dans le terminal, et lorsque l'on tape son code, de nombreuses opérationss'effectuent, notamment des chiffrements/déchiffrements. Le type de chiffrement utilisé pource type de protocole est le chiffrement asymétrique (algorithme RSA notamment).

On introduit les notations suivantes :

{m}K, le message m chiffré par la clé K

A → B : m, l’envoi par l’agent A d’un message m à l’agent B

Lors de la création de la carte, un ensemble de données est inscrit sur la carte (plusparticulièrement la puce) :

⁃ Un ensemble data:{nom,prénom,numéro de carte} en clair, et en chiffré, par la clésecrète du groupement bancaire Kb^-1. On l'appelle valeur de signature, (S)={data}KB^-1(calculée lors de l'initialisation de la carte, et stockée une fois pour toute dans celle ci).

⁃ Le terminal possède la clé publique de la banque Kb

Le protocole peut se décrire ainsi :

T → A : « Authentification » : affichage de « authentification » sur le terminal.

C → T : Data, {Data}KB^-1 : la carte envoie Data, S (valeur de signature) au terminal. Ainsi,le terminal déchiffre S={Data}KB-1 à l'aide de la clé publique de la banque (voir chiffrementasymétrique) et vérifie qu'il correspond à la donnée Data. Si c'est le cas, la carte est valide.

T → A : « Code ? » : affichage de « code ? » sur le terminal.

A → T : XXXX : Alice envoie son code confidentiel à 4 chiffres au terminal.

T → C : XXXX : le terminal envoie le code à la carte.

C → T : ok : la carte transmet au terminal qu'elle a accepté le code qui lui a été transmis.

figure 8 : illustration du protocole de paiement par carte bancaire

De plus, se déroule ensuite une étape d’authentification en ligne (que l'on ne détaillera pasici), qui ne concerne pas toutes les transactions (seulement celles avec un montant assezélevé, par exemple une centaine d'euros). Notons que cette phase authentification est assezlongue, elle n'est donc pas réalisée à chaque fois (20% du temps).

5. L'affaire Humpich

En 1998, l’informaticien Serge Humpich met en effet en évidence une faille dans le protocolede chiffrement du système bancaire de son époque. Les banques utilisaient un protocolebasé sur un envoi de nombre aléatoire à la carte bancaire, qui renvoie ensuite un code grâceà une clé contenue dans la carte bancaire (tout ceci à l'aide d'un chiffrement à clé publiquetype RSA). Le terminal calcule le même code et peut ensuite les comparer pour valider lepaiement, si et seulement si les 2 codes sont similaires.

Humpich prévient les banques que ce protocole présente des failles, et qu’il est en mesure d’effectuer des paiements avec de fausses cartes. En effet, les cartes possèdent une clé appelée (S), qui permet de calculer S(données), afin d'effectuer l’authentification de la carte par le terminal, qui lui aussi connait le code S, ainsi qu'un code P permettant de vérifier que P(S(données) est égale à données.

figure 10 : illustration de la faille détectée par Serge Humpich

Serge Humpich a premièrement montré qu’il était possible de dupliquer une carte, les données étant lisibles, et qu’il suffisait de faire ce qu'il appela des « yescard » qui répondent « OK » quel que soit le code tapé lors de la vérification. Il était donc possible de réaliser un « clonage » d’une carte bancaire valide.

Deuxièmement, Humpich a utilisé un logiciel japonais de factorisation de nombres premiers, afin de découvrir la clé secrète S du groupement des cartes bancaires, qui n'étaient alors pas assez grandes, dont calculables. Il pouvait donc créer de toute pièce une carte bancaire valide.

6.Correction du protocole

Suite à ces affaires, la sécurité du protocole a été clairement remise en compte. La premièreréaction du groupement des cartes bancaires suite à l'affaire Humpich en 1998 fût d'allongerla taille des clés RSA utilisées (rendant la factorisation et par conséquent le calcul de la clésecrète de la banque impossible).

En plus de la faiblesse cryptographique, le protocole présentait une faiblesse logique (cfpartie précédente). Le protocole de paiement devait donc être modifié afin de le rendre plussûr.

Ainsi, le groupement EMVCo (Europay, MasterCard, Visa) publia les spécifications détailléesdu nouveau protocole, EMV. Celui propose 3 protocoles de transaction (pouvant être activésen fonction de la carte/terminal) : SDA, DDA et CDA.

Un de ces protocoles est le DDA (Dynamic Data Authentication), et on ne s’intéresse ici qu'àla phase d'authentification hors ligne (qui est la plus fragile).

Pour faire simple, ce protocole met un jeu un nouveau couple de clés secrète/publique, quipermet d'échanger de manière chiffrée le code secret entre la carte et le terminal, et éviterd'être « espionné ». Il nécessite cependant des cartes à puce pouvant réaliser un chiffrementRSA assez rapidement (qui est un algorithme assez couteux).

7. Sécurisation des paiements et des transactions sur internet

Même si la tendance tend à s'inverser avec l'évolution incessante des technologies dunumérique, bon nombre d'internautes n'ont jamais initié de paiements en ligne. Cetteréticence est souvent liée aux problèmes de paiement; les internautes sont peu enclins àcommuniquer leur coordonnées bancaires sur internet.

Cependant, il faut savoir que la majorité des transactions sur internet sont sécurisées. Lamajorité des sites utilisent le même protocole, appelé SSL (Security Sockets Layer), protocolestandard de nos jours. On peut le reconnaître lors de transaction par la présence d'un petitcadenas et du protocole « https » dans l'url.

SSL crée un canal sécurisé entre deux machines communiquant sur internet ou un réseauinterne : sa fonction essentielle est d'assurer la confidentialité des échanges entre les 2machines, et il utilise pour ça des algorithmes de chiffrement (échange de clés entre serveuret client) (encore une fois cryptographie à clé publique).

Conclusion partielle : La sécurité du système RSA repose sur 2 conjectures.

La première est que, pour casser le code, donc trouver la clé, il faut factoriser lenombre n. La deuxième est que, la factorisation d’un très grand nombre premier est unproblème compliqué (en terme de complexité algorithmique): il n’existe pas aujourd’huid’algorithme rapide (c’est à dire de complexité polynomiale) pour factoriser de grandsnombres premiers.

Ces 2 conjectures ne sont pas prouvées, on peut donc envisager qu’elles soient fausses:auquel cas, RSA ne serait plus considéré comme sûr. Ainsi, l'efficacité du RSA ne repose passur une « démonstration », mais sur l’échec des tentatives pour casser ce système.

Partie III : Une avancée technologique : le paiement sans contact

Les avancées technologiques dues à la cryptographie sont nombreuses. Par celles-ci, on compte le paiement « classique » par cartes bancaires, le paiement en ligne...Mais ces normes, bien qu’elles permettent un paiement sécurisé, impliquent des transactions « longues » (authentification, validation, code...). Dans des domaines où la vitesse est essentielle (restauration rapide, stations essence, cinéma…), les transactions doivent être rapides. Pour répondre à ce problème, les paiements sans contacts ont été initiés. Malgré des avantages apparents pour les commerçants et pour les banques, ils présentent de graves failles de sécurité.

1. Fonctionnement

La mise en place du paiement sans contact est le fruit de nombreuses expérimentations depuis le milieu des années 1990. Au début, pour l’utilisation des transports en commun, Visa et Mastercard mettent en place ce service dans les années 2000, et le succès est au rendez-vous. Le paiement sans contact a pour but de simplifier les transactions, réduisant le nombre d'achat en espère, augmentant la rapidité au niveaux des caisses...

Le paiement sans contact étant développé pour des transactions de tous les jours, il ne peut être utilisé que pour de petits transactions (20€ en France). Ainsi, il n’est pas nécessaire de saisir le code PIN. Pour savoir si une carte supporte ce type de paiement, un petit logo est présent en haut à droite de la carte bancaire.

Les cartes bancaires sans contacts sont de plus en plus utilisées, avec une progression constante ces dernières années.

figure 11 : paiement sans contact en France (novembre 2014)

Le principe de fonctionnement se base principalement sur un protocole de communication RFID (Radio Frequency Identification)/NFC(Near Field Communication). Il s’agit d’un moyen de communication de données et d’identification automatique. La puce RFID doit être collé au terminal de paiement, ce qui implique une portée très réduite.

2. Failles de sécurité

Renaud Lifchitz démontre une faille de sécurité en prouvant qu’il est possible, avec un simple lecteur RFID et un programme, d'intercepter les données entre le terminal de paiement et la carte (c'est à dire le nom de son détenteur et la date de validité, qui sont données suffisantes pour faire un achat sur internet par exemple), si l'on est suffisamment proche de la carte. Le lecteur RFID peut être un simple smartphone.

Ainsi, les banques ont été de se montrer rassurantes, expliquant que le montant maximum pour ce type de paiement est de 20 euros.

Cependant, une autre faille a été mise en évidence, plus récemment, en novembre 2014, par des chercheurs de sécurité de l’université de Newcastle au Royaume-Un. Plus « importante » que la précédente, cette faille dans le protocole permet de lancer des paiements d’un montant maximum (et théorique) de 999 999,99$, car la limite des 20 euros n’a aucun effet si le paiement est demandé dans une devise étrangère. Il semble logique qu’une banque n’acceptera jamais une transaction d’une telle valeur, mais plutôt des fraudes d’un montant de 50€, 500€...

Malgré des progrès dans la sécurité bancaire croissants, les failles du paiement sans contact témoignent d'un système peu adapté à notre époque, et d’un lancement précipité du projet.

3. Solutions

Pour empêcher ces fraudes de se produire, deux types de solutions sont possibles.

Après une étude menée durant l'été 2012, la CNIL a confirmé la possibilité d'intercepter certaines données à distance, et obtenu des industriels du secteur la suppression des informations sur le porteur de la carte, et sur l'historique des achats. Restent donc récupérables sans contact les informations suivantes: numéro de carte et date d'expiration, informations étant indispensables pour l’opération de paiement sans contact.

Il est aussi possible de réclamer une carte auprès de la banque qui ne soit pas NFC, et donc incompatible avec les paiements sans contacts. On peut aussi acheter un portefeuille ou un étui qui bloque les ondes, et ainsi protéger ses données contre ces attaques.

Partie IV : Bibliographie

Partie1

Cryptographie, 2015. Wikipédia [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://fr.wikipedia.org/w/index.php?title=Cryptographie&oldid=110506009

Document générique pour se faire une idée globale de la cryptographie

Page Version ID: 110506009

Enigma (machine), 2014. Wikipédia [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://fr.wikipedia.org/w/index.php?title=Enigma_(machine)&oldid=109889883

Document complet et précis décrivant en détail le fonctionnement des composants de la machine Enigma.

Page Version ID: 109889883

Google image, [sans date]. .

Source principale d’images ( libres de droits)

Histoire de la cryptographie, 2014. Wikipédia [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://fr.wikipedia.org/w/index.php?title=Histoire_de_la_cryptographie&oldid=110149940

Cet article résume l’histoire de la cryptographie, de l’Antiquité à aujourd’hui.

Page Version ID: 110149940

NOURRY, Pascal, [sans date]. L’art du secret.

Document présenté par Pascal Nourry, ingénieur chez Orange, lors d’un séance de séminaire d’entreprise.

Partie 2

Cryptographie, [sans date]. Wikipédia.

Voir en Partie 1, ibid

Humpich, perceur de cartes bancaires., [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://www.liberation.fr/societe/2000/01/22/humpich-perceur-de-cartes-bancaires-ce-genie-a-viole-leur-secret-les-banques-ont-porte-plainte-le-pr_313694

Article sorti au moment de l’affaire Humpich.

Interstices - Le protocole cryptographique de paiement par carte bancaire, [sans date]. [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : https://interstices.info/jcms/c_33835/le-protocole-cryptographique-de-paiement-par-carte-bancaire

Site entretenu par une communauté exclusivement scientifique. Le document explique en détail les protocoles de cryptographie bancaire sur le plan logique et mathématique, ainsi qu'un article très détaillé sur le chiffrement RSA.

La sécurité des cartes bancaires, [sans date]. [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://www.bibmath.net/crypto/index.php?action=affiche&quoi=moderne/cb

Les Yescards, [sans date]. [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://mp.cpgedupuydelome.fr/document.php?doc=Cryptanalyse%20-%20les%20yescards.txt

Document décrivant en détail la technologie utilisée par Serge Humpich.

Vérificateur de clés, [sans date]. [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://fagot.alain.free.fr/helpilaro/verifcle.html

Site interactif pour comprendre la génération des codes de cartes bancaires.

Partie 3

BIBMATH, [sans date]. La sécurité des cartes bancaires.

Voir en Partie 2, ibid.

Communication en champ proche, [sans date]. [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://fr.wikipedia.org/wiki/Communication_en_champ_proche

Explication de la technologie NFC utilisée dans les paiements sans contact.

KORBEN, [sans date]. L’incroyable FAIL des cartes bancaires sans contact (NFC). [en ligne]. [Consulté le 8 janvier 2015 a]. Disponible à l’adresse : http://korben.info/les-cartes-bancaires-sans-contact-nfc-ne-sont-pas-securisees.html

Article de presse présentant l’échec du mode de paiement sans contact.

KORBEN, [sans date]. Une nouvelle faille de sécurité découverte dans les cartes bancaires sans contact. [en ligne]. [Consulté le 8 janvier 2015 b]. Disponible à l’adresse : http://korben.info/nouvelle-faille-securite-decouverte-les-cartes-bancaires-contact.html

Article présentant un témoignage d’une victime d’un paiement sans contact.

La sécurité du paiement sans contact, [sans date]. .

MICRO HEBDO N°745, [sans date]. Le scandale des nouvelles cartes bancaires. .

Article général présentant la technologie et les méthodes pour contourner le paiement sans contact.

NFC : pirater une carte bancaire, c’est possible, [sans date]. [en ligne]. [Consulté le 8 janvier 2015]. Disponible à l’adresse : http://www.zdnet.fr/actualites/nfc-pirater-une-carte-bancaire-c-est-possible-39809181.htm

Article récent montrant qu’il est toujours possible de passer à travers le système de paiement sans contact.

Partie V : Diagramme de Gantt