Journal d'investigation en ligne et d'information‑hacking
par bluetouff

"Cybercriminalité : tous en danger" ou Internet comme vecteur de renversement des responsabilités

Aujourd'hui circulait sur Twitter la une de l'Est Républicain. Cette une affichait un titre devenu banal : "Cybercriminalité:  tous en danger ». Derrière ce titre alarmiste, on s'attend à une enquête sur un fork de Stuxnet, devenu hors de contrôle, et qui s'attaquerait aux centrifugeuses des centrales nucléaires du monde entier... mais non. L'enquête du journal abordait en fait les fraudes à la carte bancaire. 1,5 millions de fraudes pour l'année passée et des chiffres en hausse.

Aujourd'hui circulait sur Twitter la une de l'Est Républicain. Cette une affichait un titre devenu banal : "Cybercriminalité:  tous en danger ». Derrière ce titre alarmiste, on s'attend à une enquête sur un fork de Stuxnet, devenu hors de contrôle, et qui s'attaquerait aux centrifugeuses des centrales nucléaires du monde entier... mais non. L'enquête du journal abordait en fait les fraudes à la carte bancaire. 1,5 millions de fraudes pour l'année passée et des chiffres en hausse. L'article faisait également écho au forum international « Technology Against Crime » qui se tient aujourd'hui et demain à Lyon.

S'il faut bien que le grand public prenne conscience des risques que l'on rencontre naturellement sur un réseau public, comme dans la rue, il peut sembler assez curieux de mettre en avant la fraude bancaire de cette manière. De longue date maintenant, nous savons que les cartes bancaires ont été mises en défaut. Les investissements nécessaires à sécuriser cartes et transactions sont importants. Si les assurances prennent normalement en charge les risques d'incidents liés aux fraudes, on se doute bien que ceci ne sera pas éternel. En France le lancement de la carte bancaire sans contact permettant des paiements de faibles montants, sans que le titulaire de la carte n'ait besoin de rentrer un code de sécurité, était lui aussi désigné par des acteurs du monde de la sécurité comme une hérésie. Les investigations de Renaud Lifchitz ont d'ailleurs très rapidement mené à la divulgation de défauts de sécurisation consternants à ce niveau d'industrialisation conduisant à des fuites de données personnelles inadmissibles. Korben signalait d'ailleurs les explications de Visa sur la technologie sans contact qui équipe ces nouvelles cartes, et pour Visa, c'est du béton ...

Au niveau technique, la fonctionnalité sans contact est basée sur une carte à puce développée à partir de la technologie EMV, qui protège les données du porteur par des cryptogrammes dynamiques très sécurisés. D’ores et déjà déployée à grande échelle depuis plusieurs années dans le monde, la technologie sans contact s’est avérée, à l’usage, être un moyen de paiement très sécurisé.

Le plus gros trou de sécurité au niveau bancaire, ce n'est pas Internet, mais bien le GIE cartes bancaires qui n'arrive pas à assurer un niveau de sécurisation satisfaisant. Ramant à contre courant, ce dernier supprime des secrets là où la pratique actuelle est d'en ajouter pour gagner en sécurité. Pire, ce même groupement d'intérêts économiques n'a jamais été des plus réceptifs quand on lui met le nez dedans. Le skimming est devenu une discipline malheureusement très courante, et là encore le fautif, ce n'est pas Internet, mais bien le fait qu'il soit possible, car les cartes bancaires ne présentent pas un mécanisme de sécurisation satisfaisant.

La presse se fait parfois, de manière assez hallucinante, l'écho de la propagande de sociétés complètement désintéressées et donc aptes à produire des études objectives sur la fraude à la carte bancaire, à l'image de cet article de RTBF qui annonce sans trembler des genoux que le skimming est pratiquement éradiqué selon une très sérieuse étude d'Atos Worldline...

Le plus gros danger pour Internet et pour l'écosystème qui en découle, c'est surtout la perte de confiance. En stigmatisant Internet de cette manière, c'est non seulement à Internet que l'on fait du mal, mais à tout le tissu économique... aux cyber-commerçants en premier lieu. La peur d'acheter sur Internet est une chose, mais on ajoutera à ça la peur de communiquer librement, maintenant qu'il est acquis qu'Internet est massivement surveillé. Et ce qu'il y a de plus révoltant là dedans, c'est bien ce déplacement des responsabilités des uns et des autres sur le compte d'Internet, cause de tous les maux, et surtout prétexte à se défausser de ses propres responsabilités.

**** Edit

Comme nous le fait judicieusement remarquer Hellmut en commentaire ci-dessous, l'Est Républicain est une publication qui a été rachetée par le Crédit Mutuel en 2011. Ecrans n'avait d'ailleurs pas manqué d'épingler les pratiques du groupe de presse qui ressemble de plus en plus à une régie publicitaire à la gloire de son actionnaire...  Indépendance quand tu nous tiens.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée