ast wrote on 20/01/2006 13:17:

Bonjour,

J'ai toujours lu que l'authentification de la CB était statique, c'est à dire qu'elle se limite à la vérification par le terminal
de paiement d'une signature numérique.
Cette authentification statique n'empèche pas la réalisation de
clones.

la CB (telle que définie par le GIE CB) n'a jamais été que statique; sa remplaçante aux normes EMV non plus.

l'utilisation d'une carte de crédit peut se faire selon 3 modes, et donc on peut distinguer 3 attaques / 3 clones possibles.

- le niveau 0 est la simple utilisation du numéro de compte encodé dans la piste magnétique (et/ou embossé sur le recto), ce fonctionnement est celui de certains automates type péage ou paiement de parking où le porteur ne saisit pas son code PIN. les clones se contente d'utiliser un numéro de compte valide et les attaques sont identiques à celles faites via internet par exemple.
(la petite histoire veut que suite à la présentation de la toute première carte à puce, des opérations illégales ont été enregistrées sur le compte de cette carte qui avait été exhibé et zoomé à souhait)

- le mode off-line est l'obtention par la carte d'une autorisation de paiement, cette autorisation est calculé après vérification du code porteur sur des éléments incluant date, montant, identifiant vendeur.
la carte applique alors *son* /card risk management/ pour déterminer si elle autorise spontanément / directement la transaction ou non. pour cela elle prends en compte différents paramètres dont le montant de la transaction en cours, le nombre de transactions réalisées depuis la dernière connexion à la banque, le montant cumulé de ces transactions (les seuils de ces derniers paramètres étant fixés par la banque avant la fabrication de la carte).
les attaques possibles dans ce mode sont nées de la publication de certaines clés sur le net et de la lenteur du GIE à opter pour une crypto digne (ne plus utiliser un cryptogramme simple DES).

il faut comprendre ici que la carte décide si elle vous fait crédit ou non; elle n'a aucun moyen de connaitre la situation de votre compte, peut être celui-ci vient d'être vidé ou même clos; cependant elle utilisera souvent ce mode car c'est ainsi que vous -utilisateur- voulez la voir fonctionner. (cf plus bas)

- le mode on-line résulte d'un refus par la carte d'autoriser la transaction sur ses seuls informations ou d'une volonté du terminal d'obtenir une vérifiation en-ligne (le terminal applique lui aussi un risk management qui lui est propre, un commerçant peut par exemple forcer la connexion pour toute opération dépassant un montant X).

la carte et le terminal conversent alors avec le réseau inter-bancaire comme briévement décrit par le lien fourni.

La question que l'on peut légitimement se poser est de savoir pourquoi cela n'est pas utilisé par TOUS les terminaux ?

commençons par noter que tous les terminaux désirant une vérification en-ligne peuvent l'obtenir; les faiblesses observables ne résultentdonc pas d'un système opaque géré par des méchants incapables mais seulement de la responsabilité de chaque participant.

coté opérateur de terminaux, certains ne peuvent pas se permettre une telle vérification - par exemple un péage auto-routier où la fluidité du traffic prime sur le reste; d'autres choississent d'y renoncer car la perte pour transactions invalides (fausses cartes, comptes bloqués, ...) est inférieure au cout de terminaux en-ligne (c'est la cas d'automates de paiement de parking percevant des sommes moyennes de 5 à 10 euros).

coté utilisteur, nous ne souhaitons pas non plus une vérification en ligne systématique - même si certaines banques présentent cette option, par tapage publicitaire, comme le génial moyen de "savoir où j'en suis avec mon compte" - car l'opération est nécessairement plus lente qu'une opération off-line.

ici l'historique joue certes un role (et je ne prétends pas qu'il faille perdurer dans l'erreur si erreur grave il y avait), nous pouvons par exemple comparer le système français (basé sur une carte à puce opérant son propre risk management) et le système US entièrement en-ligne (car basé sur des cartes à piste magnétiques); le système CB a permis le déploiement assez rapide et homogène sur tout le territoire d'un système inter-opérable pour toutes les banques avec un faible taux d'arnaque, la contre-partie est que la plupart des clients des services bancaires (le commerçant) est mal ou sous équipé en terminal efficace (les terminaux UMTS de Ingénico doivent représenter qlq pour-cents de leurs ventes), la plupart vous laissant planté suur place plusieurs minutes quand "le boitier doit se connecter"; le système (les systèmes!!) US a vu de son coté la multiplication des réseaux privés concurentiels (de Visa et MasterCard mais aussi propre à une enseigne bancaire) pouvant imposer de disposer de plusieurs comptes (car chacun de ces prestataires n'est pas présent partout) ou générant des frais d'opérations non négligeables lorsque qu'une opération est sous-traitée à un réseau concurrent.

pour revenir à votre question, en fait en tant qu'utilisateur de cartes de crédit, nous souhaiterions qu'elle ne réalise que des opérations hors-ligne lorsque nous l'utilisons mais qu'elle bascule en tout en-ligne dès qu'elle est volée, sur ce point les technos seront toujours criticables servant de bouc-émissaire à la responsabilité de l'utilisateur.

Sylvain.