laffaire humpich et le régime juridique de la carte bancaire
TRANSCRIPT
L’affaire Humpich etL’affaire Humpich etle régime juridique de le régime juridique de
la carte bancairela carte bancaire
IntroductionIntroduction
IntroductionIntroduction
Le mode de paiement privilégié des Le mode de paiement privilégié des FrançaisFrançais
IntroductionIntroduction
6 milliards de transactions en 2004 en 6 milliards de transactions en 2004 en FranceFrance
Plan de l’exposéPlan de l’exposé
Plan de l’exposéPlan de l’exposé
I.I. Présentation de la Carte BancairePrésentation de la Carte Bancaire1.1. Historique de la carte à puceHistorique de la carte à puce
2.2. Principe de fonctionnementPrincipe de fonctionnement
Plan de l’exposéPlan de l’exposé
II.II. Affaire HumpichAffaire Humpich1.1. La démarche de Serge HumpichLa démarche de Serge Humpich
2.2. Le commentaire d’arrêt Le commentaire d’arrêt
3.3. Avis d’experts sur la décision de Avis d’experts sur la décision de justicejustice
4.4. Humpich aujourd’huiHumpich aujourd’hui
Plan de l’exposéPlan de l’exposé
III.III. Régime juridique de la Carte Régime juridique de la Carte BancaireBancaire
1.1. Avant l’affaire HumpichAvant l’affaire Humpich
2.2. Les ajouts législatifsLes ajouts législatifs
3.3. Les chiffres actuels de la fraude à la Les chiffres actuels de la fraude à la Carte BancaireCarte Bancaire
I. Présentation de la I. Présentation de la Carte BancaireCarte Bancaire
1.1. La carte à puceLa carte à puce
2.2. La Carte BancaireLa Carte Bancaire
3.3. Principe de Principe de fonctionnementfonctionnement
La carte à puceLa carte à puce
Inventée en 1974 par un FrançaisInventée en 1974 par un Français
Roland Moreno
La Carte BancaireLa Carte Bancaire
La puce est une sorte de petit La puce est une sorte de petit ordinateur, avec :ordinateur, avec :– un processeur peu puissant qui permet un processeur peu puissant qui permet
d'effectuer des calculs, d'effectuer des calculs, – une mémoire dont :une mémoire dont :
une partie est accessible en écriture une partie est accessible en écriture (enregistrement de l'historique des (enregistrement de l'historique des transactions), transactions),
une autre en lecture seule, une autre en lecture seule, et enfin une dernière en lecture cachée.et enfin une dernière en lecture cachée.
La Carte BancaireLa Carte Bancaire
1967 : premières cartes de paiements1967 : premières cartes de paiements
1971 : premier DAB (distributeur automatique de 1971 : premier DAB (distributeur automatique de billets)billets)
1980 : premiers TPE (terminaux de paiements 1980 : premiers TPE (terminaux de paiements électroniques)électroniques)
1984 : création du GIE CB1984 : création du GIE CB
1992 : généralisation de la puce sur les cartes (320 1992 : généralisation de la puce sur les cartes (320 bits)bits)
1999 : affaire Humpich (yescard et clonage)1999 : affaire Humpich (yescard et clonage)
2001 : amélioration du système de sécurité (768 bits)2001 : amélioration du système de sécurité (768 bits)
Principe de fonctionnementPrincipe de fonctionnement
Fonctionnement en trois étapesFonctionnement en trois étapes
– Authentification de la carteAuthentification de la carte
– Vérification du code confidentielVérification du code confidentiel
– Authentification en ligneAuthentification en ligne
Principe de fonctionnementPrincipe de fonctionnement
Authentification de la carteAuthentification de la carte
Envoi d’informations
Authentification
Numéro inconnu
Principe de fonctionnementPrincipe de fonctionnement
Vérification du code confidentielVérification du code confidentiel
Code stocké dans la puce
La carte vérifie le code entré
Code valide Code erroné
Principe de fonctionnementPrincipe de fonctionnement
Authentification en ligneAuthentification en ligne– Seulement pour les montants importantsSeulement pour les montants importants
Envoi d’un nombre aléatoire X
Renvoie f(K, X)
Vérifie et donne autorisation
II. L’affaire HumpichII. L’affaire Humpich
II.1 – La démarche de II.1 – La démarche de Serge HumpichSerge Humpich
a.a. Biographie succincteBiographie succincte
b.b. Sa démarcheSa démarche
Né à Mulhouse en 1963 Né à Mulhouse en 1963 d'un père mineurd'un père mineur
Ingénieur INSA Lyon, Ingénieur INSA Lyon, promotion 1986promotion 1986
Expérience de Chef de Expérience de Chef de Projet informatique dans Projet informatique dans la banque et l'industriela banque et l'industrie
Biographie succincteBiographie succincte
Sa démarcheSa démarche
Ingénieur en électronique-informatiqueIngénieur en électronique-informatique Cartes bancaires pas "inviolables" ou Cartes bancaires pas "inviolables" ou
"infalsifiables""infalsifiables" 4 ans de recherches4 ans de recherches Réalisation de son butRéalisation de son but Proposition d'amélioration du système Proposition d'amélioration du système
II.2 – Le commentaire II.2 – Le commentaire d'arrêtd'arrêt
a.a. Les faitsLes faits
b.b. La procédureLa procédure
c.c. Les problèmes posésLes problèmes posés
d.d. Les arguments des Les arguments des partiesparties
e.e. La décision rendueLa décision rendue
Les faitsLes faits
Découverte :Découverte : met à jour le fonctionnement met à jour le fonctionnement des terminaux de paiementdes terminaux de paiement
Juillet 1998 :Juillet 1998 : entre en relation avec le GIE entre en relation avec le GIE Cartes bancairesCartes bancaires
Après plusieurs contacts :Après plusieurs contacts : preuves à preuves à fournirfournir
4 août 1998 :4 août 1998 : GIE Cartes bancaires porte GIE Cartes bancaires porte plainte contre Serge Humpichplainte contre Serge Humpich
17 septembre 1998 :17 septembre 1998 : perquisitions et perquisitions et placement en garde à vueplacement en garde à vue
La procédureLa procédure
Première instancePremière instance :: Tribunal de Grande Instance de Paris, 25 Tribunal de Grande Instance de Paris, 25
février 2000février 2000– Le tribunal fait droit à GIE Carte BancaireLe tribunal fait droit à GIE Carte Bancaire– Serge Humpich interjette appelSerge Humpich interjette appel
Rétractation deRétractation de Serge HumpichSerge Humpich– Le parquet maintient l’appelLe parquet maintient l’appel
Deuxième instance :Deuxième instance :Cour d’appel de Paris, 18 décembre 2000Cour d’appel de Paris, 18 décembre 2000
– La cour d’appel confirme le jugement La cour d’appel confirme le jugement
Les problèmes posésLes problèmes posés
Y’a-t-il infraction sans volonté de nuire?Y’a-t-il infraction sans volonté de nuire?
Une intention innocente dispense-t-elle Une intention innocente dispense-t-elle de respecter la loi?de respecter la loi?
Les arguments des partiesLes arguments des parties
Serge HumpichSerge Humpich– Recherches effectuées sur un terminal Recherches effectuées sur un terminal
non connecténon connecté
– Aucune intention de nuireAucune intention de nuire
– Démarche similaire à celle d’un Démarche similaire à celle d’un chercheur et non pas un pirate.chercheur et non pas un pirate.
Les arguments des partiesLes arguments des parties
GIE Carte BancaireGIE Carte Bancaire – Extraction de données d’un terminal, Extraction de données d’un terminal,
élément du système.élément du système.– Conscience d’accéder à un système sans Conscience d’accéder à un système sans
en avoir l’autorisation.en avoir l’autorisation.– Maintenu dans le système afin de Maintenu dans le système afin de
décrypter des données.décrypter des données.– Introduction de données dans le système.Introduction de données dans le système.– Contrefaçon de cartes bancaires.Contrefaçon de cartes bancaires.
La décision rendueLa décision rendue
Déclaré coupable pour:Déclaré coupable pour:– Contrefaçon ou falsification de cartes bancairesContrefaçon ou falsification de cartes bancaires– Accès et maintien frauduleux dans un systèmeAccès et maintien frauduleux dans un système– Introduction frauduleuse de données dans un Introduction frauduleuse de données dans un
systèmesystème– Usage de cartes bancaires contrefaitesUsage de cartes bancaires contrefaites
Condamné à:Condamné à:– 10 mois de prison avec sursis 10 mois de prison avec sursis – 12 000Frs d’amende et 1Fr de dommages et intérêts12 000Frs d’amende et 1Fr de dommages et intérêts
II.3 - Avis d'experts II.3 - Avis d'experts sur la décision de sur la décision de
justicejustice
a.a. Aspect techniqueAspect technique
b.b. Aspect juridiqueAspect juridique
PATRICK GUEULLEPATRICK GUEULLE
Auteur du livre « PC et Auteur du livre « PC et cartes à puces »cartes à puces »
- Carte à péages plus sûres - Carte à péages plus sûres que la CBque la CB
- L’émetteur de la CB est - L’émetteur de la CB est certain de la sécurité de certain de la sécurité de ses propres cartes.ses propres cartes.
Aspect techniqueAspect technique
ROLAND MORENOROLAND MORENO
Inventeur de la carte Inventeur de la carte à mémoireà mémoire
Les failles étaient Les failles étaient connues depuis 1984 connues depuis 1984 et met en cause les et met en cause les banquesbanques
Aspect techniqueAspect technique
FRANCE TELECOMFRANCE TELECOM
Dans un brevet de Dans un brevet de 1997 du CCETT, France 1997 du CCETT, France Télécom dénonce les Télécom dénonce les spécifications du spécifications du système système d’authentification de la d’authentification de la carte bancaire.carte bancaire.
Aspect techniqueAspect technique
LOUIS CLAUDE GUILLONLOUIS CLAUDE GUILLON
Chercheur au CCETT, un des Chercheur au CCETT, un des concepteurs en 1983 du système concepteurs en 1983 du système d'authentification utilisé dans la carte d'authentification utilisé dans la carte bancaire.bancaire.
En 1988, il apporte une note critique de En 1988, il apporte une note critique de sa propre invention : le système n’est pas sa propre invention : le système n’est pas sûr.sûr.
Aspect techniqueAspect technique
MAMAÎÎTRE SAYNTRE SAYN
Dol : Dol : Le GIE a trompé ses co-contractants en Le GIE a trompé ses co-contractants en garantissant la sécurité du système.garantissant la sécurité du système.
Négligence : Négligence : Le GIE a laissé ses cartes en Le GIE a laissé ses cartes en circulation avec la connaissance des failles.circulation avec la connaissance des failles.
Défaut d’information : Défaut d’information : Les clients finaux et Les clients finaux et les commerçants ne sont pas prévenus des les commerçants ne sont pas prévenus des risques avérés.risques avérés.
Aspect juridiqueAspect juridique
II.4 - Humpich II.4 - Humpich aujourd'huiaujourd'hui
a.a. Sa situation financière et Sa situation financière et juridiquejuridique
b.b. Médiatisation de l’affaireMédiatisation de l’affairec.c. Un nouveau départUn nouveau départ
Août 1999 :Août 1999 : licencié de la SSII GFI licencié de la SSII GFI Informatique pour faute grave Informatique pour faute grave – Procès pour licenciement abusif Procès pour licenciement abusif
(découverte en dehors du temps de (découverte en dehors du temps de travail) travail) règlement à l’amiablerèglement à l’amiable
Février 2000 :Février 2000 : 10 mois avec sursis et 10 mois avec sursis et 12000 FF d’amende12000 FF d’amende– Demande l’annulation de la procédure Demande l’annulation de la procédure
d’appel sans succèsd’appel sans succès
Sa situationSa situation
Période difficilePériode difficile– Endetté Endetté – Au chômageAu chômage– DémoraliséDémoralisé
Sa situationSa situation
SurmédiatisationSurmédiatisation
Janvier 2001 : Janvier 2001 : – Livre "le cerveau bleu", Ed XoLivre "le cerveau bleu", Ed Xo
Médiatisation de l’affaireMédiatisation de l’affaire
Un nouveau départUn nouveau départ
Fait table rase sur cette affaireFait table rase sur cette affaire Crée un laboratoire d'électronique Crée un laboratoire d'électronique
(réalisation de prototypes)(réalisation de prototypes)
Plus de nouvelles de lui après 2002Plus de nouvelles de lui après 2002
Les conséquences de cette affaireLes conséquences de cette affaire
III. Régime juridique III. Régime juridique de la Carte Bancairede la Carte Bancaire1.1. Avant l’affaire HumpichAvant l’affaire Humpich
2.2. Les ajouts législatifsLes ajouts législatifs
3.3. Quelques chiffres relatifs Quelques chiffres relatifs à la fraude à la Carte à la fraude à la Carte BancaireBancaire
Avant l’affaire HumpichAvant l’affaire Humpich
Avant 1991 : Le droit contractuel s’appliqueAvant 1991 : Le droit contractuel s’applique Loi du 30/12/1991 : Loi relative à la sécurité Loi du 30/12/1991 : Loi relative à la sécurité
des chèques et des cartes de paiementdes chèques et des cartes de paiement Directive européenne du 20/05/1997 : Directive européenne du 20/05/1997 :
Article 8 Paiement par carte
Les États membres veillent à ce que des mesures appropriées existent pour que le consommateur:- puisse demander l'annulation d'un paiement en cas d'utilisation frauduleuse de sa carte de paiement dans le cadre de contrats à distance couverts par la présente directive,- en cas d'utilisation frauduleuse, soit recrédité des sommes versées en paiement ou se les voie restituées.
III. 2 – Les ajouts III. 2 – Les ajouts législatifslégislatifs
a.a. Aspect historiqueAspect historique
b.b. Aspect juridiqueAspect juridique
Quelques chiffres en 2000Quelques chiffres en 2000
Type de fraude 1999 2000
fraude carte bancaire à puce française en france 178 millions F 250 millions F
fraude CB étrangères chez commerçants français 220 millions 360 millions
fraude cartes bancaires françaises à l'étranger 142 millions 195 millions
fraude distributeurs de billets en France 61 millions Env 65 millions
Total > 636 millions > 940 millions
Aspect historiqueAspect historique
Principales raisons de la loiPrincipales raisons de la loi
Une clé mathématique de cryptage Une clé mathématique de cryptage est publiée par un internauteest publiée par un internaute..
Le chef du Service central de la Le chef du Service central de la sécurité des systèmes sécurité des systèmes d'information déclare : « d'information déclare : « depuis depuis longtemps, la vulnérabilité des longtemps, la vulnérabilité des cartes à puce est connuecartes à puce est connue » »
Aspect juridiqueAspect juridique
Principales raisons de la loiPrincipales raisons de la loi
Affaire HumpichAffaire Humpich
Croissance des plaintes des citoyensCroissance des plaintes des citoyens
Chiffres de la fraude en augmentationChiffres de la fraude en augmentation
Aspect juridiqueAspect juridique
Création de la loi 1/2Création de la loi 1/2
17 mai 2000 - Proposition de résolution n° 2397
Souhait de créer une commission d’enquête
29 Juin 2000 - Rapport n° 2530
Proposition n°2397 rejetée
14 Mars 2001 - Projet de loi n° 2938
Sécurité quotidienne
Jean-Pierre Brard
Aspect juridiqueAspect juridique
18 Avril 2001, Avis n° 2992 - Dépôt de l’avis concernant le chapitre III du projet de loi
31 Octobre 2001 - Projet de loi adopté par l’Assemblée Nationale
15 Novembre 2001 - Loi promulguée par le Président de la République
Création de la loi 2/2Création de la loi 2/2
Aspect juridiqueAspect juridique
Loi relative à la sécurité quotidienneLoi relative à la sécurité quotidienne
Le chapitre VI de la loi est spécifique à la carte bancaire
- Protection des utilisateurs- Répression envers les fraudeurs- Extension de la responsabilité- Nomination d’une autorité de contrôle : la Banque De France
Aspect juridiqueAspect juridique
EVOLUTION DE LA FRAUDE EVOLUTION DE LA FRAUDE
Quelques chiffresQuelques chiffres
Internet, le faux coupable ….
Année Sinistres déclarésMontants
correspondants Coût moyen de la fraude
2003 1.611 700.294 euros 437 euros
2002 2.664 1.631.344 euros 612 euros
2001 2.713 1.212.073 euros 447 euros
2000 461 179.377 euros 389 euros
Fraude totale déclarée à Fia-Net entre 2000 et 2003 en France
(sur 761 sites marchands)
Source : Fia-Net, 2004
Malgré tout, tentative de fraude par Internet en 2004 : +15%
2002 2004
246 241,6fraude totale (en millions d'Euros)
variation -11,70%
273,3
2003
+ 11%
ConclusionConclusion
Ce qu'exige tôt ou tard le plus fort, ce n'est pas qu'on soit à ses côtés mais dessous.
Georges Bernanos