Celui qui a inventé la Yes Card (3/3)
Après avoir été arrêté, Serge Humpich, précurseur des hackers éthiques, est condamné.
Bonsoir,
Bienvenue pour le dernier volet de cet épisode de Pwned. Si vous n’êtes pas inscrit, voici le formulaire.
L’ingénieur qui a réussi à cracker la carte bancaire s’appelle donc Serge Humpich. Et si son livre témoignage, publié après l’affaire, est titré “Le Cerveau bleu”, c’est parce que cet homme est quelqu’un vraiment à part.
Relisez ce passage d’un article de Libération. “Je n'ai jamais d'états d'âme sur rien, comme un moteur qui ronronne, raconte Serge Humpich, originaire d’Alsace. Je m'auto-éduque tout le temps. Je range tout, mes vêtements, mes idées. Ça vous aide vraiment à vivre, ce genre de truc.”
Parfois qualifié de lunaire, cet ingénieur du genre assez froid et implacable sait aussi donner un visage plus avenant, allez donc voir cette vidéo récente (mais pas géniale) d’Underscore pour l’écouter.
Mais on sent que dans la tête de Serge Humpich, ça turbine vite, très vite. Un peu mauvais joueur, l’inventeur de la carte à puce Roland Moreno dira que l’ingénieur n’a fait que simuler une vraie carte sans vraiment trouver de faille dans son invention.
L’ingénieur électronicien est pourtant indiscutablement très doué dans son domaine. Toutefois, il n’a pas non plus réussi à casser tout le système. En réussissant à calculer la signature RSA, Serge Humpich peut créer des Yes card qui vont être authentifiées à tort par des terminaux comme des cartes valides.
Mais ces fausses cartes ont une portée limitée : elles ne marchent qu’avec les petits achats, ceux où le terminal ne vérifie pas auprès des banques l’existence du compte, et elle ne permet pas de dévaliser des distributeurs automatiques de billets.
Serge Humpich est donc arrêté le 17 septembre 1998. Son procès pour contrefaçon et piratage informatique suit, dix-huit mois plus tard. Cela ne va pas fort pour l’homme de 38 ans: il est au chômage après avoir été licencié par son employeur.
Après avoir gardé le silence, l’ingénieur décide de s’exprimer dans la presse pour défendre sa démarche, celle d’un bidouilleur curieux qui vient de montrer l’existence d’une faille très sérieuse dans un instrument de paiement capital.
Aux juges, il explique avoir voulu améliorer le système de sécurité du groupement des cartes bancaires. Avant d'ensuite tenter de négocier sa découverte. Mais pour le parquet, c’est au contraire une espèce de chantage pour lequel il demandera deux ans de prison avec sursis.
Le jugement du 25 février fait référence à cette drôle de négociation. Le représentant de l’ingénieur aurait ainsi tenté de mettre la pression sur les banques en disant ne pas pouvoir se porter garant de son client.
Ce dernier serait “susceptible de vider les distributeurs automatiques de billets” et prêt à aller voir d’autres industriels si le groupement n’est pas intéressé par cette invention, une négociation à 200 millions de francs selon certains médias.
C’était sans doute un argumentaire assez maladroit à employer. On dit que dans toute négociation commerciale, il faut savoir mettre la pression, mais là je trouve que le bouchon a été poussé trop loin.
Pour autant les magistrats rappellent que Serge Humpich n’a pas tiré de profit direct de son invention en dehors des quelques tickets de métro. Ils condamnent donc l’ingénieur le 25 février 2000 à dix mois d’emprisonnement avec sursis et accordent seulement un franc symbolique pour la partie civile. La peine sera confirmée en appel.
Paradoxalement, si la négociation avortée avec les banques est sans doute à l’origine des poursuites, Serge Humpich n’a pas été condamné, ni poursuivi pour tentative d'extorsion, mais seulement pour piratage et contrefaçon.
Vous l’avez compris, l’affaire de ce soir pose la question du statut de ceux qui découvrent des vulnérabilités informatiques. C’est toujours un sujet très brûlant. A partir de quand une personne est-elle considérée comme un lanceur d’alerte, un hacker éthique ou un maître-chanteur?
Serge Humpich a bien certaines des caractéristiques du hacker éthique. C’est un bidouilleur et il n'envisage pas d’utiliser de façon malveillante sa découverte. Par contre, sa manière de négocier sa découverte est beaucoup plus critiquable.
Mais il faut se souvenir qu’à l’époque il n’y avait pas vraiment de chemin balisé. Aujourd’hui les choses sont plus claires. Un hacker éthique peut avertir l’Anssi, qui est depuis octobre 2016 dispensée d’article 40, la dénonciation d’un crime ou d’un délit à l’autorité judiciaire dont un fonctionnaire aurait connaissance. Ce chemin de signalement ne permet pas cependant de demander une prime, l’Anssi ne transmet pas de factures.
Le général Jean-Louis Desvignes, ancien chef du service central de la sécurité des systèmes d'information (le nom à l’époque de l’Anssi) a raconté plus tard comment il avait été contacté à l’époque par les banquiers, soucieux d’évaluer la crédibilité de cet énergumène qui prétendait avoir trouvé une faille dans leur carte. “Je surpris mon interlocuteur en disant que j’aimerais bien disposer d’un tel talent dans mon équipe”, raconte-t-il.
Par contre, les poursuites contre Serge Humpich ne règlent en rien le problème des banquiers. L’ingénieur a suscité des émules. Début février 2000, “Anie nomat” publie ainsi un long message sur un forum. En suivant les déclarations de l’ingénieur - qui est resté plus ou moins elliptique dans ses déclarations à la presse -, cette personne retrace son cheminement intellectuel.
Deux clés privées utilisées par le groupement cartes bancaires vont être rapidement découvertes. Logiquement, ce que Serge Humpich a trouvé, d’autres réussissent à le faire. Des internautes s’échangent des tutos sur des forums pour par exemple dévaliser des stations-services.
Évidemment, l’industrie va riposter en renforçant la sécurité des cartes bancaires. Malgré tout, même si la technique de fraude sera délaissée au profit du skimming (la copie magnétique) ou du hacking du distributeur automatique de billets, les variantes de la Yes card vont ennuyer pendant encore longtemps les banques françaises.
A bientôt pour une nouvelle histoire de cybercrime,
Bonne soirée,
Relecture: Mnyo
PS: L’histoire vous a plu? Pour me payer un café c'est ici ou sur mon wallet BTC (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
La Carte bleue perd son crédit
On a reçu l'électronicien qui a cracké sa carte bancaire
Intervention commune de Jean-Jacques Quisquater et Jean-Louis Desvignes
Condamné pour « contrefaçon », Serge Humpich avait trouvé une faille en 1997
Alertes aux vulnérabilités et failles de sécurité
Cambridge refuse de censurer une thèse sur l’insécurité des cartes bancaires
La peine de Serge Humpich confirmée en appel
La cour d’appel confirme la condamnation de Serge Humpich
Tribunal de grande instance de Paris, 13eme Ch. Correctionnelle, Jugement du 25 février 2000