dotmyself : Archives de 2010-1

A l'égard de la propriété, de l'amour, de la fortune et du succès, j'applique "la règle des Dudu" : rien n'est dû, rien n'est durable.

Philippe Bouvard

Verified by Visa, la securité en 3D

2010-01-22 07:57:14, par Hyacinthe MENIET - [Général]

Logo verified by visa Si vous regardez régulièrement les journaux télévisés (JT), vous avez peut-être suivi le récent reportage consacré au Britannique Ross Anderson, chercheur en sécurité informatique à l'université de Cambridge. En effet, ce dernier dit avoir trouvé un moyen de contourner la sécurité des cartes bancaires à puce. Quoiqu'il en soit, cette possible faille dans les systèmes de cartes bancaires à puce est prise très au sérieux par les banques Européennes, dont les françaises. La France où le nombre de cartes de paiement à puce est estimé à 60 millions.

A propos de la faille et pour faire court, sur votre carte de paiement sont renseignées des informations sensibles. Cela inclus, des données relatives au propriétaire, le code confidentiel de la carte - sous forme chiffrée - et une valeur signature. C'est la valeur signature qui authentifie la carte et sa particularité est qu'elle peut être calculée à partir des autres informations contenues dans la carte et ce directement par le terminal présent chez le commerçant. Dit autrement, pour authentifier votre carte bancaire et pour peu que la transaction ne dépasse pas un certain montant, le terminal du commerçant n'a pas besoin de contacter votre banque. Dans l'écrasante majorité des cas, ce système est fiable, le chercheur Britannique a cependant découvert qu'en plaçant judicieusement un leurre sur la carte à puce, il était capable de corrompre le dialogue entre la carte et le terminal et faire croire au terminal qu'il a rentré le bon code. Ce reportage dans les JT n'est ni le premier, ni le dernier sur le sujet. Néanmoins, il permet d'une part, d'entrevoir l'intérêt croissant des pirates et des chercheurs pour notre bonne vielle carte à puce, d'autre part, il me donne l'opportunité de rédiger un billet sur 3D Secure Code : Le dernier système de sécurisation des achats par carte bancaire sur Internet, déjà en vigueur chez ma banque et peut-être chez la votre aussi ?

Avec le développement des nouvelles technologies et du e-commerce, nous avons de plus en plus l'occasion d'effectuer des achats sur le web. Sur Internet, vous pouvez acheter ou louer de tout : Les mêmes biens et services déjà vendus in vivo (exemple : jouets, vêtements, électroménager) mais aussi des services qui n'ont de sens que sur le web, c'est le cas des noms de domaines. En effet, les noms de domaines se louent à l'année, auprès d'un registrar dont la boutique se résume généralement à un site Internet. Par exemple, le nom de domaine dotmyself.net a été créé en février 2005, par votre serviteur, chez le registrar Gandi. Et ainsi depuis cette date, un peu avant le jour anniversaire, je m'acquitte du loyer. Cette année les choses ont un peu évolué, je vous refais le film :

Je commence par m'identifier auprès de Gandi afin d'accéder à l'espace sécurisé et dédié au renouvellement des noms de domaines. Là, j'entre les 16 chiffres qui composent le numéro de ma carte bancaire, je précise à quelle date expire cette dernière, je renseigne les 3 chiffres qui constituent le cryptogramme visuel de ma carte et je valide. D'habitude l'inquisition s'arrête là, la banque de Gandi me présente une page dans laquelle elle m'indique que tout s'est bien déroulé, nous nous disons « bye bye » et nous nous promettons la même « joie de donner et plaisir de recevoir », pour l'année prochaine. Non, cette année j'ai vu apparaître une nouvelle fenêtre provenant non pas de Gandi mais de ma banque et qui me demandait un code confidentiel. Oui mais lequel ? Sachant qu'il ne faut jamais transmettre le code confidentiel de sa carte bancaire et surtout pas sur Internet. Je le sais maintenant, c'était le fameux 3D Secure Code qui m'était demandé. Avant d'entrer dans les détails de 3D Secure Code, autorisez-moi, la petite digression qui suit.

Je le disais tantôt, la sécurité des moyens de paiement est un sujet très sensible et pris très au sérieux par les banques. En France, le code confidentiel associé à la carte à puce constitue probablement l'un des systèmes les moins prenables au monde. Comment ça marche ? Les cartes bancaires sont fabriquées dans des locaux très sécurisés, un code confidentiel est automatiquement généré pour chaque carte. Puis, ce code est enregistré dans la puce et envoyé au titulaire de la carte dans un pli scellé. De fait, ni votre agence, ni votre conseiller, ni personne à part vous ne devrait connaître les 4 chiffres qui composent le code confidentiel de votre carte. Contrairement à une idée très répandue, le code confidentiel ne sert pas à autoriser une transaction. Pour preuve, vous pouvez acheter des biens par téléphone, avec le numéro de votre carte de paiement mais sans avoir à donner votre code confidentiel. Non, le code confidentiel sert à vous identifier, vous. Dit autrement, en cas d'utilisation frauduleuse de votre carte bancaire pour un achat nécessitant votre code confidentiel, vous êtes responsable des opérations effectuées avant la date de votre opposition. Et il peut y avoir des franchises. C'est une situation particulièrement commode pour votre banque, puisque c'est à vous de prouver que vous êtes innocent.

Retour sur Internet. Traditionnellement, afin de valider un achat chez un cybermarchand, vous devez indiquer : votre numéro de carte bancaire, sa date d'expiration et le cryptogramme visuel associé. Bref, aucune de ces informations ne vous identifie et toutes ces informations sont lisibles directement sur votre carte à puce par quiconque aurait eu votre carte entre les mains plus de 30 secondes. C'est pourquoi, en cas d'utilisation frauduleuse de votre carte bancaire dans ce contexte, la loi est très claire, la banque doit vous restituer toutes les sommes qui ont débitées. Vous l'aurez compris, cette situation est assez inconfortable pour votre banque. En effet, dans ce cas de figure, vous êtes présumé innocent et c'est à votre banque de prouver que vous êtes coupable.

C'est là qu'intervient 3D Secure Code. 3D Secure Code est l'astuce technique qui permet de renverser le rapport de force en faveur de la banque. Grâce à 3D Secure Code, les banques vont pouvoir aligner la responsabilité du client chez un cybermarchand sur ce qui se fait chez un marchand in vivo. Comment cela fonctionne ? Lorsque vous vous connectez à un site arborant les logos « Verified by Visa » ou « MasterCard Secure Code » après authentification de votre carte bancaire, vous serez redirigé vers le site de votre banque. Là, selon la solution retenue par votre banquier, cette page vous demandera un code confidentiel ou un code unique limité à la session. Si la banque vous authentifie, elle acceptera la transaction. En cas d'échec ou à défaut de code, le paiement sera refusé. Pour connaître la politique en vigueur dans votre établissement bancaire, je vous suggère de vous connecter au site de ce dernier. Notez que le 3D Secure Code n'est pas le code confidentiel de votre carte bancaire, il s'agit d'un autre code qu'il faut récupérer auprès de sa banque.

A travers mon anecdote puis les explications sur le pourquoi et le comment de 3D Secure Code qui ont suivis, vous avez mesuré que cette astuce technique sert en priorité à sécuriser le business des banques. Mais pour nous, consommateur ou marchand en ligne, qu'est-ce que cela change ?

Pour les marchands en ligne : Les choses sont équilibrées. En effet, si les achats évoluent vers plus de fiabilité ils deviennent, à contrario, plus anxiogènes. Je m'explique, à chaque paiement, la carte bancaire est authentifiée auprès de la banque, c'est déjà comme ça aujourd'hui. Avec 3D Secure Code, le client lui aussi sera authentifié ce qui limitera les possibilités de contestation de ce dernier. C'est le point positif. Le point négatif, c'est que, faute de communication des banques, ce nouvel écran peut en effrayer plus d'un et provoquer des annulations.
Pour les consommateurs : Là l'évolution est pour le moins négative. Au demeurant, nous passons d'une situation confortable dans laquelle c'est à la banque de prouver que le consommateur est coupable, à un système où c'est au consommateur de prouver qu'il est innocent. Vive l'inversion de la charge de la preuve!

Réagir ? | Trackback ?

Des scanners corporels pour déshabiller virtuellement

2010-01-09 08:59:44, par Hyacinthe MENIET - [Général]

Je suis récemment allé au cinéma voir le film 2012. Afin de préserver l'intérêt du film pour ceux qui iront le voir, je ne vous en ferai pas le pitch mais je vous donne la fin que tout le monde devine : l'effondrement de nos civilisations telles que nous les connaissons est prévue pour 2012. Ce film, au demeurant intéressant, stigmatise l'incapacité de l'humanité à protéger la main qui le nourrit. Plus généralement, ce film montre que l'homme est inapte à assurer sa survie dès lors que l'échéance est lointaine ou diffuse. Je suis en accord avec l'affirmation selon laquelle l'humanité est assez malhabile dès qu'il faut se projeter sur le long terme, mettons plus de 10 ans. Le sommet de Copenhague en propose une affligeante illustration. En revanche à court terme, c'est une autre histoire.

Vous avez probablement entendu l'histoire du nigérian Omar Farouk Abdulmutallab qui a essayé de faire exploser le vol Amsterdam-Detroit, le 25 décembre dernier ? Le jeune homme, âgé de 23 ans, a fort heureusement été maîtrisé par d'autres passagers avant qu'il n'ait pu faire exploser la penthrite répandu sur sa jambe. Quoiqu'il en soit, les conséquences collatérales de cet attentat avorté n'ont pas tardées :

Mise à l'index des dirigeants des services de renseignement américain, du vice-président Joe Biden et de plusieurs ministres de premier plan par Barack Obama.
Les Etats-Unis ont décidé de ne plus transférer de prisonniers de Guantanamo vers le Yémen.
Sans ouvrir un troisième front - après l'Irak et l'Afghanistan - Les Etats-Unis planifient des frappes aériennes au Yémen.
Les Etats-Unis viennent de prendre des mesures durcissant les contrôles des voyageurs provenant de 14 pays dont le Nigeria et le Yémen.
Regain d'intérêt des pays occidentaux pour les scanners corporels. Citons parmi les pays concernés : Les Etats-Unis, le Royaume Uni, l'Allemagne, les Pays-Bas et ... La France.

C'est précisément l'arrivée des scanners corporels en France qui motive ce billet.

scanner corporel De quoi parle-t-on exactement ? En l'état, on distingue deux catégories de scanners corporels. La première catégorie, qui sera utilisée en France, emploie un rayonnement s'arrêtant à la surface de la peau. Ce type de scanner permet donc de distinguer tous les objets extracorporels que sont les bijoux, les sous-vêtements, les portefeuilles et les sachets de penthrite dissimulés dans une poche. La seconde est à base de rayonnements ionisants et pénètre la peau. Son principe de fonctionnement est assez proche de l'imagerie médicale ou des rayons X utilisés pour l'inspection de bagages. Ce dernier type de scanners offre naturellement des opportunités de perception accrues.

Continuons sur les dangerosités respectives : La direction générale de l'aviation civile (DGAC) considère la première catégorie de scanners comme inoffensive. Elle fonde cette affirmation sur la puissance des ondes qui seraient 500 fois moins puissantes que celles d'un téléphone portable. A contrario, le caractère ionisant de la seconde catégorie de scanners peut provoquer des brûlures ou des cancers en cas d'exposition prolongée ou régulière à ces ondes. Avis aux voyageurs réguliers. Enfin notons qu'aux Etats-Unis, les deux types de scanners sont déjà installés et opérationnels dans 19 aéroports. En France, plusieurs scanners de la première catégorie vont être commandés pour les aéroports parisiens et devraient être opérationnels d'ici à la fin du mois sur les vols à destination des Etats-Unis.

La majorité des articles que j'ai lus sur le sujet focalisent sur le non respect de l'intimité et la dangerosité pour la santé. Je pense qu'ils se trompent d'angles d'attaques pour ces 2 raisons :

A propos de la nocivité des ondes émises : Comme je l'écrivais tantôt, seuls les scanners de la première catégorie seront utilisés en France. A l'étranger, j'imagine qu'il sera possible de préférer la bonne vieille palpation en cas de doute sur la technologie utilisée pour scanner les corps ? De plus, j'utilise quotidiennement mon téléphone portable sans oreillette Bluetooth, je me dis qu'en cas de cancer du cerveau, j'en voudrais probablement plus à mes téléphones portables qu'aux quelques voyages que j'aurais fait vers les Etats-Unis ?
A propos du non respect de l'intimité : Là encore que de mauvaise fois! La majorité d'entre nous s'est déjà retrouvée nue ou pas loin, devant un soignant, pour des raisons médicales ? De plus, je considère la palpation comme un acte bien plus invasif et dégradant qu'une représentation 3D de soi tout nu. Comprenons-nous bien, je ne néglige pas et je partage l'aspiration légitime au respect de notre corps. Je dis simplement que cette attente est parfois contournée pour diverses raisons. Cette nouvelle brèche - l'image 3D par scanner - ne me paraissant pas plus dégradante que celles que nous acceptons déjà. Ceci étant affirmé, il conviendra évidemment d'encadrer l'utilisation de ces scanners avec toute la déontologie nécessaire.

Non, à l'aune de ces informations et pour élargir le débat, d'autres questions me taraudent:

Une guerre de retard : De ce que j'en comprends, seuls les scanners de la première catégorie sont réellement inoffensifs et ce sont justement ceux là qui seront utilisés dans la majorité des pays, y compris aux Etats-Unis. Dans la mesure où ces scanners se "contentent" de détecter les objets extracorporels potentiellement dangereux, comment empêcher un terroriste de construire sa bombe à partir d'élément préalablement ingérés ? Plus généralement, les scanners comme les autres mesures anti-terroristes sont des ripostes à des menaces déjà identifiées. Dit autrement, ces mesures anti-terroristes sont et resterons en retard par rapport à l'imagination des assaillants. Je me dis qu'il serait peut-être temps de s'attaquer aux causes réelles du terrorisme ? Aussi diverses et contradictoires soient-t-elles. Il serait temps, de s'intéresser à ce qui pousse un jeune homme avec un avenir doré à l'hypothéquer de manière aussi sordide ? Débat très lourd et trop long pour être entamé dans ce billet. Ce sera peut-être l'objet d'un prochain texte.
Conservation des données : Je le disais plus haut, la palpation est un acte hautement invasif et bien plus dégradant qu'une représentation 3D de soi sur un écran. Certes, mais à l'issue d'une palpation aucune image de vous n'est conservée. Qu'en est-t-il des images issues des scanners ? Posé autrement, si vous portez une prothèse mammaire, une perruque ou si vous trouvez vos rondeurs disgracieuses, seuls l'agent qui vous palpe le remarquera. Avec un scanner corporel et selon la politique de conservation des données en vigueur dans le pays, il est possible que tous ces constituants de votre intimité passent devant plusieurs paires d'yeux d'agents. Allons plus loin, il est même possible que ces photos se retrouvent sur Internet. Ce qui est autrement plus dommageable que la bonne vielle palpation ! Bref, comment nos gouvernants comptent-t-ils prévenir les possibles dérives consécutives à l'utilisation de ces scanners ? Comment éloigner les déviants et pédophiles qui ont là un moyen de se constituer une bibliothèque à moindre frais ?

Terminons ce billet par une citation de Thomas Jefferson : « Si tu es prêt à sacrifier un peu de liberté pour te sentir en sécurité, tu ne mérites ni l'une ni l'autre » . A bon entendeur !

Réagir ? | Trackback ?