laffaire humpich et le régime juridique de la carte bancaire

L’affaire Humpich etL’affaire Humpich etle régime juridique de le régime juridique de

la carte bancairela carte bancaire

IntroductionIntroduction


Le mode de paiement privilégié des Le mode de paiement privilégié des FrançaisFrançais


6 milliards de transactions en 2004 en 6 milliards de transactions en 2004 en FranceFrance

Plan de l’exposéPlan de l’exposé


I.I. Présentation de la Carte BancairePrésentation de la Carte Bancaire1.1. Historique de la carte à puceHistorique de la carte à puce

2.2. Principe de fonctionnementPrincipe de fonctionnement


II.II. Affaire HumpichAffaire Humpich1.1. La démarche de Serge HumpichLa démarche de Serge Humpich

2.2. Le commentaire d’arrêt Le commentaire d’arrêt

3.3. Avis d’experts sur la décision de Avis d’experts sur la décision de justicejustice

4.4. Humpich aujourd’huiHumpich aujourd’hui


III.III. Régime juridique de la Carte Régime juridique de la Carte BancaireBancaire

1.1. Avant l’affaire HumpichAvant l’affaire Humpich

2.2. Les ajouts législatifsLes ajouts législatifs

3.3. Les chiffres actuels de la fraude à la Les chiffres actuels de la fraude à la Carte BancaireCarte Bancaire

I. Présentation de la I. Présentation de la Carte BancaireCarte Bancaire

1.1. La carte à puceLa carte à puce

2.2. La Carte BancaireLa Carte Bancaire

3.3. Principe de Principe de fonctionnementfonctionnement

La carte à puceLa carte à puce

Inventée en 1974 par un FrançaisInventée en 1974 par un Français

Roland Moreno

La Carte BancaireLa Carte Bancaire

La puce est une sorte de petit La puce est une sorte de petit ordinateur, avec :ordinateur, avec :– un processeur peu puissant qui permet un processeur peu puissant qui permet

d'effectuer des calculs, d'effectuer des calculs, – une mémoire dont :une mémoire dont :

une partie est accessible en écriture une partie est accessible en écriture (enregistrement de l'historique des (enregistrement de l'historique des transactions), transactions),

une autre en lecture seule, une autre en lecture seule, et enfin une dernière en lecture cachée.et enfin une dernière en lecture cachée.

La Carte BancaireLa Carte Bancaire

1967 : premières cartes de paiements1967 : premières cartes de paiements

1971 : premier DAB (distributeur automatique de 1971 : premier DAB (distributeur automatique de billets)billets)

1980 : premiers TPE (terminaux de paiements 1980 : premiers TPE (terminaux de paiements électroniques)électroniques)

1984 : création du GIE CB1984 : création du GIE CB

1992 : généralisation de la puce sur les cartes (320 1992 : généralisation de la puce sur les cartes (320 bits)bits)

1999 : affaire Humpich (yescard et clonage)1999 : affaire Humpich (yescard et clonage)

2001 : amélioration du système de sécurité (768 bits)2001 : amélioration du système de sécurité (768 bits)

Principe de fonctionnementPrincipe de fonctionnement

Fonctionnement en trois étapesFonctionnement en trois étapes

– Authentification de la carteAuthentification de la carte

– Vérification du code confidentielVérification du code confidentiel

– Authentification en ligneAuthentification en ligne


Authentification de la carteAuthentification de la carte

Envoi d’informations

Authentification

Numéro inconnu


Vérification du code confidentielVérification du code confidentiel

Code stocké dans la puce

La carte vérifie le code entré

Code valide Code erroné


Authentification en ligneAuthentification en ligne– Seulement pour les montants importantsSeulement pour les montants importants

Envoi d’un nombre aléatoire X

Renvoie f(K, X)

Vérifie et donne autorisation

II. L’affaire HumpichII. L’affaire Humpich

II.1 – La démarche de II.1 – La démarche de Serge HumpichSerge Humpich

a.a. Biographie succincteBiographie succincte

b.b. Sa démarcheSa démarche

Né à Mulhouse en 1963 Né à Mulhouse en 1963 d'un père mineurd'un père mineur

Ingénieur INSA Lyon, Ingénieur INSA Lyon, promotion 1986promotion 1986

Expérience de Chef de Expérience de Chef de Projet informatique dans Projet informatique dans la banque et l'industriela banque et l'industrie

Biographie succincteBiographie succincte

Sa démarcheSa démarche

Ingénieur en électronique-informatiqueIngénieur en électronique-informatique Cartes bancaires pas "inviolables" ou Cartes bancaires pas "inviolables" ou

"infalsifiables""infalsifiables" 4 ans de recherches4 ans de recherches Réalisation de son butRéalisation de son but Proposition d'amélioration du système Proposition d'amélioration du système

II.2 – Le commentaire II.2 – Le commentaire d'arrêtd'arrêt

a.a. Les faitsLes faits

b.b. La procédureLa procédure

c.c. Les problèmes posésLes problèmes posés

d.d. Les arguments des Les arguments des partiesparties

e.e. La décision rendueLa décision rendue

Les faitsLes faits

Découverte :Découverte : met à jour le fonctionnement met à jour le fonctionnement des terminaux de paiementdes terminaux de paiement

Juillet 1998 :Juillet 1998 : entre en relation avec le GIE entre en relation avec le GIE Cartes bancairesCartes bancaires

Après plusieurs contacts :Après plusieurs contacts : preuves à preuves à fournirfournir

4 août 1998 :4 août 1998 : GIE Cartes bancaires porte GIE Cartes bancaires porte plainte contre Serge Humpichplainte contre Serge Humpich

17 septembre 1998 :17 septembre 1998 : perquisitions et perquisitions et placement en garde à vueplacement en garde à vue

La procédureLa procédure

Première instancePremière instance :: Tribunal de Grande Instance de Paris, 25 Tribunal de Grande Instance de Paris, 25

février 2000février 2000– Le tribunal fait droit à GIE Carte BancaireLe tribunal fait droit à GIE Carte Bancaire– Serge Humpich interjette appelSerge Humpich interjette appel

Rétractation deRétractation de Serge HumpichSerge Humpich– Le parquet maintient l’appelLe parquet maintient l’appel

Deuxième instance :Deuxième instance :Cour d’appel de Paris, 18 décembre 2000Cour d’appel de Paris, 18 décembre 2000

– La cour d’appel confirme le jugement La cour d’appel confirme le jugement

Les problèmes posésLes problèmes posés

Y’a-t-il infraction sans volonté de nuire?Y’a-t-il infraction sans volonté de nuire?

Une intention innocente dispense-t-elle Une intention innocente dispense-t-elle de respecter la loi?de respecter la loi?

Les arguments des partiesLes arguments des parties

Serge HumpichSerge Humpich– Recherches effectuées sur un terminal Recherches effectuées sur un terminal

non connecténon connecté

– Aucune intention de nuireAucune intention de nuire

– Démarche similaire à celle d’un Démarche similaire à celle d’un chercheur et non pas un pirate.chercheur et non pas un pirate.

Les arguments des partiesLes arguments des parties

GIE Carte BancaireGIE Carte Bancaire – Extraction de données d’un terminal, Extraction de données d’un terminal,

élément du système.élément du système.– Conscience d’accéder à un système sans Conscience d’accéder à un système sans

en avoir l’autorisation.en avoir l’autorisation.– Maintenu dans le système afin de Maintenu dans le système afin de

décrypter des données.décrypter des données.– Introduction de données dans le système.Introduction de données dans le système.– Contrefaçon de cartes bancaires.Contrefaçon de cartes bancaires.

La décision rendueLa décision rendue

Déclaré coupable pour:Déclaré coupable pour:– Contrefaçon ou falsification de cartes bancairesContrefaçon ou falsification de cartes bancaires– Accès et maintien frauduleux dans un systèmeAccès et maintien frauduleux dans un système– Introduction frauduleuse de données dans un Introduction frauduleuse de données dans un

systèmesystème– Usage de cartes bancaires contrefaitesUsage de cartes bancaires contrefaites

Condamné à:Condamné à:– 10 mois de prison avec sursis 10 mois de prison avec sursis – 12 000Frs d’amende et 1Fr de dommages et intérêts12 000Frs d’amende et 1Fr de dommages et intérêts

II.3 - Avis d'experts II.3 - Avis d'experts sur la décision de sur la décision de

justicejustice

a.a. Aspect techniqueAspect technique

b.b. Aspect juridiqueAspect juridique

PATRICK GUEULLEPATRICK GUEULLE

Auteur du livre « PC et Auteur du livre « PC et cartes à puces »cartes à puces »

- Carte à péages plus sûres - Carte à péages plus sûres que la CBque la CB

- L’émetteur de la CB est - L’émetteur de la CB est certain de la sécurité de certain de la sécurité de ses propres cartes.ses propres cartes.

Aspect techniqueAspect technique

ROLAND MORENOROLAND MORENO

Inventeur de la carte Inventeur de la carte à mémoireà mémoire

Les failles étaient Les failles étaient connues depuis 1984 connues depuis 1984 et met en cause les et met en cause les banquesbanques


FRANCE TELECOMFRANCE TELECOM

Dans un brevet de Dans un brevet de 1997 du CCETT, France 1997 du CCETT, France Télécom dénonce les Télécom dénonce les spécifications du spécifications du système système d’authentification de la d’authentification de la carte bancaire.carte bancaire.


LOUIS CLAUDE GUILLONLOUIS CLAUDE GUILLON

Chercheur au CCETT, un des Chercheur au CCETT, un des concepteurs en 1983 du système concepteurs en 1983 du système d'authentification utilisé dans la carte d'authentification utilisé dans la carte bancaire.bancaire.

En 1988, il apporte une note critique de En 1988, il apporte une note critique de sa propre invention : le système n’est pas sa propre invention : le système n’est pas sûr.sûr.


MAMAÎÎTRE SAYNTRE SAYN

Dol : Dol : Le GIE a trompé ses co-contractants en Le GIE a trompé ses co-contractants en garantissant la sécurité du système.garantissant la sécurité du système.

Négligence : Négligence : Le GIE a laissé ses cartes en Le GIE a laissé ses cartes en circulation avec la connaissance des failles.circulation avec la connaissance des failles.

Défaut d’information : Défaut d’information : Les clients finaux et Les clients finaux et les commerçants ne sont pas prévenus des les commerçants ne sont pas prévenus des risques avérés.risques avérés.

Aspect juridiqueAspect juridique

II.4 - Humpich II.4 - Humpich aujourd'huiaujourd'hui

a.a. Sa situation financière et Sa situation financière et juridiquejuridique

b.b. Médiatisation de l’affaireMédiatisation de l’affairec.c. Un nouveau départUn nouveau départ

Août 1999 :Août 1999 : licencié de la SSII GFI licencié de la SSII GFI Informatique pour faute grave Informatique pour faute grave – Procès pour licenciement abusif Procès pour licenciement abusif

(découverte en dehors du temps de (découverte en dehors du temps de travail) travail) règlement à l’amiablerèglement à l’amiable

Février 2000 :Février 2000 : 10 mois avec sursis et 10 mois avec sursis et 12000 FF d’amende12000 FF d’amende– Demande l’annulation de la procédure Demande l’annulation de la procédure

d’appel sans succèsd’appel sans succès

Sa situationSa situation

Période difficilePériode difficile– Endetté Endetté – Au chômageAu chômage– DémoraliséDémoralisé

Sa situationSa situation

SurmédiatisationSurmédiatisation

Janvier 2001 : Janvier 2001 : – Livre "le cerveau bleu", Ed XoLivre "le cerveau bleu", Ed Xo

Médiatisation de l’affaireMédiatisation de l’affaire

Un nouveau départUn nouveau départ

Fait table rase sur cette affaireFait table rase sur cette affaire Crée un laboratoire d'électronique Crée un laboratoire d'électronique

(réalisation de prototypes)(réalisation de prototypes)

Plus de nouvelles de lui après 2002Plus de nouvelles de lui après 2002

Les conséquences de cette affaireLes conséquences de cette affaire

III. Régime juridique III. Régime juridique de la Carte Bancairede la Carte Bancaire1.1. Avant l’affaire HumpichAvant l’affaire Humpich

2.2. Les ajouts législatifsLes ajouts législatifs

3.3. Quelques chiffres relatifs Quelques chiffres relatifs à la fraude à la Carte à la fraude à la Carte BancaireBancaire

Avant l’affaire HumpichAvant l’affaire Humpich

Avant 1991 : Le droit contractuel s’appliqueAvant 1991 : Le droit contractuel s’applique Loi du 30/12/1991 : Loi relative à la sécurité Loi du 30/12/1991 : Loi relative à la sécurité

des chèques et des cartes de paiementdes chèques et des cartes de paiement Directive européenne du 20/05/1997 : Directive européenne du 20/05/1997 :

Article 8 Paiement par carte

Les États membres veillent à ce que des mesures appropriées existent pour que le consommateur:- puisse demander l'annulation d'un paiement en cas d'utilisation frauduleuse de sa carte de paiement dans le cadre de contrats à distance couverts par la présente directive,- en cas d'utilisation frauduleuse, soit recrédité des sommes versées en paiement ou se les voie restituées.

III. 2 – Les ajouts III. 2 – Les ajouts législatifslégislatifs

a.a. Aspect historiqueAspect historique

b.b. Aspect juridiqueAspect juridique

Quelques chiffres en 2000Quelques chiffres en 2000

Type de fraude 1999 2000

fraude carte bancaire à puce française en france 178 millions F 250 millions F

fraude CB étrangères chez commerçants français 220 millions 360 millions

fraude cartes bancaires françaises à l'étranger 142 millions 195 millions

fraude distributeurs de billets en France 61 millions Env 65 millions

Total > 636 millions > 940 millions

Aspect historiqueAspect historique

Principales raisons de la loiPrincipales raisons de la loi

Une clé mathématique de cryptage Une clé mathématique de cryptage est publiée par un internauteest publiée par un internaute..

Le chef du Service central de la Le chef du Service central de la sécurité des systèmes sécurité des systèmes d'information déclare : « d'information déclare : « depuis depuis longtemps, la vulnérabilité des longtemps, la vulnérabilité des cartes à puce est connuecartes à puce est connue » »


Principales raisons de la loiPrincipales raisons de la loi

Affaire HumpichAffaire Humpich

Croissance des plaintes des citoyensCroissance des plaintes des citoyens

Chiffres de la fraude en augmentationChiffres de la fraude en augmentation


Création de la loi 1/2Création de la loi 1/2

17 mai 2000 - Proposition de résolution n° 2397

Souhait de créer une commission d’enquête

29 Juin 2000 - Rapport n° 2530

Proposition n°2397 rejetée

14 Mars 2001 - Projet de loi n° 2938

Sécurité quotidienne

Jean-Pierre Brard


18 Avril 2001, Avis n° 2992 - Dépôt de l’avis concernant le chapitre III du projet de loi

31 Octobre 2001 - Projet de loi adopté par l’Assemblée Nationale

15 Novembre 2001 - Loi promulguée par le Président de la République

Création de la loi 2/2Création de la loi 2/2


Loi relative à la sécurité quotidienneLoi relative à la sécurité quotidienne

Le chapitre VI de la loi est spécifique à la carte bancaire

- Protection des utilisateurs- Répression envers les fraudeurs- Extension de la responsabilité- Nomination d’une autorité de contrôle : la Banque De France


EVOLUTION DE LA FRAUDE EVOLUTION DE LA FRAUDE

Quelques chiffresQuelques chiffres

Internet, le faux coupable ….

Année Sinistres déclarésMontants

correspondants Coût moyen de la fraude

2003 1.611 700.294 euros 437 euros

2002 2.664 1.631.344 euros 612 euros

2001 2.713 1.212.073 euros 447 euros

2000 461 179.377 euros 389 euros

Fraude totale déclarée à Fia-Net entre 2000 et 2003 en France

(sur 761 sites marchands)

Source : Fia-Net, 2004

Malgré tout, tentative de fraude par Internet en 2004 : +15%

2002 2004

246 241,6fraude totale (en millions d'Euros)

variation -11,70%

273,3

2003

+ 11%

ConclusionConclusion

Ce qu'exige tôt ou tard le plus fort, ce n'est pas qu'on soit à ses côtés mais dessous.

Georges Bernanos

laffaire humpich et le régime juridique de la carte bancaire

Documents