Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Veille Technologique

2 views
Skip to first unread message

bibip

unread,
Apr 23, 2001, 4:47:30 AM4/23/01
to
Bonjour,
Ca fait un bout de temps que je ne me suis pas interesse a l'affaire de
Humpich, quelqu'un pourrait il me faire un court etat des lieux des cartes
et de la technologie actuelle.

PS: j'ai deja lu les news du site parodie/monetique

Merci d'avance

JPP

unread,
Apr 23, 2001, 4:00:15 PM4/23/01
to
bibip wrote:
>
> Bonjour,
> Ca fait un bout de temps que je ne me suis pas interesse a l'affaire
> de Humpich,

Bonjour

M. Humpich a abandonné son appel. La condamnation est donc définitive.

> quelqu'un pourrait il me faire un court etat des lieux des cartes
> et de la technologie actuelle.

Quel rapport avec le première partie de la question ?

Salutations

JPP

Emmanuel Bresson

unread,
Apr 24, 2001, 6:33:56 AM4/24/01
to
bibip wrote:
>
> Bonjour,
> Ca fait un bout de temps que je ne me suis pas interesse a l'affaire de
> Humpich, quelqu'un pourrait il me faire un court etat des lieux des cartes
> et de la technologie actuelle.

Grosso modo:
Les cartes bancaires portent (portaient) une signature RSA basee sur un module (public) de 320 bits.
S. Humpich a factorise ce module, obtenant ainsi la possibilite de forger (falsifier) des signatures
a la place du groupement des cartes bancaires. Ceci lui permettait de fabriquer de fausses cartes,
et en particulier d'en choisir le code a 4 chiffres au moment de la fabrication.

Consequence:
Toutes les "attaques" necessitant la connaissance de la factorisation du module et deduites
logiquement des faits ci-dessus peuvent donc etre considerees comme "nouvelles". Gardons a l'esprit
qu'elles ne sont reellement exploitables que tant que l'on reste off-line, sans contacter la banque
(on ne peut pas fabriquer dans une banque un compte qui n'existe pas. Quoique certains politiques
semblent y arriver :-))).

Qu'entend-t-on par attaques *necessitant* la factorisation du module RSA, etc. ?
Simplement le fait que ca ne sert a rien de paniquer quand on dit "un individu vous distrait pendant
qu'un complice observe le code a 4 chiffres que vous tapez au clavier" ; ces attaques existent
evidemment depuis l'invention de la carte a puce, et n'ont aucun rapport avec S. Humpich. De meme,
le fait de savoir si le nombre a 16 chiffres, la date et votre nom peuvent etre espionnes lors d' un
achat sur Internet. Ce n'est pas nouveau.

Autres details :
C'est la factorisation du module (et donc, la cle secrete de signature du GIE) qui est compromise.
La technologie de la puce n'a pas particulierement ete attaquee. C'est-a-dire (sortons 1 min du
contexte des CB) : si je fabrique une carte a puce en "imprimant" dans la puce un code a 4 chiffres,
et que je vous donne la carte, vous ne pouvez pas "lire" ce code. A moins d'employer des techniques
couteuses comme un laser de precision et un microscope electronique, sachant de surcroit que
l'operation sera destructive pour la puce.

Dans une CB, le PIN est dans la puce et pas dans la bande magnetique. Lorsque seule la bande est
utilisee (par exemple les distributeurs de billets, et ceci pour des raisons de compatibilite avec
des cartes etrangeres sans puce), le PIN est chiffre, envoye a la banque, et verifie sur place.

A venir (ou en cours):
Le GIE a rallonge le module RSA pour utiliser des cles plus longues, on peut envisager dans les
distributeurs une procedure differente selon que la CB est une carte a puce ou sans puce, on peut
discuter de l'ordre dans lequel se font les operations : verification du PIN, verification de la
signature RSA du GIE, etc.

Cordialement,
--
Emmanuel Bresson

Vincent DUPAQUIS

unread,
Jul 23, 2001, 3:33:26 PM7/23/01
to

Il parait qu on peut aussi obtenir des resultats avec un microscope
optique (tres performant quand meme) ?

0 new messages