pirat cart viza

Retour page d'accueil site sur les failles des cartes bancaires

Régulièrement, l'éditorial dans cette rubrique.

Quelques définitions sont nécessaires pour comprendre cette page

C'est avant tout un programmeur informatique. Bidouilleur et curieux, le hacker n'a qu'un seul but, faire évoluer ses connaissances et celles des autres. Il ne profite pas de ses connaissances à des fins criminelles. (source <A href="http://www.zataz.com/" target=_top>Zataz.com)

La "Yescard" est un émulateur de carte bancaire, aussi appelée <A href="http://www.parodie.com/monetique/LCguillou_AnnTelecom_No43_1988.jpg">simulacre de carte bancaire.
Il s'agit d'une carte à puce, (généralement la carte est blanche) dont la puce a un comportement tel qu'elle soit reconnue par les terminaux de paiement électroniques comme émanant de l'autorité bancaire.
Elle permet donc d'effectuer des transactions carte bancaire en rentrant n'importe quel code secret à 4 chiffres, la carte répond toujours "Oui le code est bon", d'où son nom.
Il existe 3 sortes de Yescard : les clones qui proviennent de la duplication des données d'une carte bancaire) et les "Yescard méthode Humpich" où la valeur d'authentification est générée par calcul cryptographique, le numéro de carte bancaire peut être soit fantaisiste, soit correspondre au numéro d'un porteur existant.

Ca y est !
Des Hackers ont expérimenté avec succès la Yescard (émulateur de carte bancaire) et ont même développé des logiciels et boîte à outils intégrés permettant en quelques clics, de faciliter la lecture de carte bancaire, le décodage et la présentation des informations, les calculs cryptographiques, le clonage de carte bancaire, l'émulation des cartes bancaires
Les hackers semblent déterminés à partager leur connaissance puisque leurs intentions sont purement éducatives et nullement lucratives (les logiciels et outils sont gratuits et diffusés sur Internet).
Les promoteurs de ce projet de Yescard indiquent que leurs intentions sont purement didactiques, il est impossible que la Yescard serve réellement à frauder puisqu'il y a des protections empêchant son utilisation (notamment la vérification visuelle de l'hologramme sur la carte par le commerçant) et <A href="http://www.parodie.com/monetique/edito_23042001.htm">nos gouvernants ne nous aurait tout de même pas menti pour protéger des intérêts purement privés ?
Bien entendu, il est primordial que les banquiers n'incitent pas à nouveau les fraudeurs à utiliser frauduleusement de tels outils en laissant subsister toutes les failles connnues depuis plusieurs décennies. Pour cela, il n'y a pas 36 moyens : il faut révoquer immédiatement la puce de la carte bancaire. Toute nouvelle émission de carte bancaire en l'état est un dol caractérisé.
Enfin, le projet de loi sur la "sécurité quotidienne" et ses dispositions liberticides, telle que l'article 9, devient totalement sans objet maintenant que les programmes de Yescard sont tombés dans le domaine public.

Des hackers, habitués des forums sur la carte à puce (notamment pour les décodeurs de télé) ont pris l'initiative de se rassembler pour grouper leurs efforts.
Un groupe d'étude sur la Yescard est formé et les membres se partagent leurs fichiers, leurs connaissances et leurs compétences à des fins d'étude de la Yescard, informer et éduquer les gens.
Apparemment, cela a été efficace et a permis à ce groupe de Hackers de progresser très rapidement : constitué le 18 mai 2001, les premiers résultats aboutissent déjà (mise au point d'un programme de Yescard, fichiers de logs entre un décodeur de télévision brouillée et une Yescard, fichier de log entre un terminal de paiement.
Apparement, les motivations des promotteurs de ce groupe sont de vouloir démontrer aux banques que la Yescard est possible et de le prouver ! Curieusement, ils ne semblent pas craindre la répression policière.
Comptant actuellement presque 200 membres, ce groupe compte bien évidemment beaucoup plus d'observateurs que de personnes travaillant réellement sur le sujet.

Le logiciel geZeroLee fait par un hacker avec l'outil de programmation Delphi est l'exemple le plus abouti du résultat de ces recherches sur la Yescard.
Le nom de ce logiciel est bizarre mais l'interface graphique est par contre très bien conçue :

Ce logiciel, très complet, permet, pour ceux disposant du matériel adéquat (ce qui n'est pas notre cas), d'intégrer pratiquement toutes les fonctions imaginables autour de la carte bancaire en juste quelques clics.
L'utilisateur qui a réussi à exécuter le logiciel (faut savoir lire), peut :
- explorer directement sa carte bancaire connectée à un lecteur adapté (nous n'avons pas testé cette fonctionnalité car nous n'avons pas ce matériel)
- envoyer/recevoir des commandes ISO à la carte,
- logger les échanges entre la carte et un lecteur,
- lire le contenu de la carte et présenter les informations sous forme intelligible (Identification, décodage de la valeur d'authentification)
- lire et décoder l'historique des transactions carte bancaire archivées après saisie du code confidentiel à 4 chiffres
- sauvegarder le contenu d'une carte bancaire
- Encoder/Décoder le code Pin à 4 chiffres

D'autres fonctions de ce logiciel sont réservées à un usage avancées
- Appeler des fonctions cryptographiques de la carte à partir du jeu secret
- Générer des valeurs d'authentification à partir d'un numéro de carte à 16 chiffres rentré à la main par calcul cryptographique
- Cloner une carte bancaire existante
- Créer une Yescard à partir d'un numéro à 16 chiffres
- Générer des fichiers .HEX pour la Yescard
- Transférer le programme .HEX sur la carte à puce programmable et créer une véritable Yescard

Pour ceux qui n'ont pas compris, ce logiciel permet tout simplement d'industrialiser la fabrication de Yescard en quelques clics.
Voila donc un logiciel à ne pas mettre en toutes les mains, heureusement son auteur restreint l'utilisation à un usage strictement didactique (ce qui explique sa gratuité) !
Nous ne pouvons également qu'inciter les personnes qui entreraient en possession de ce logiciel de ne pas en faire un usage criminel.
Ce logiciel est diffusé gratuitement depuis le 05/06/2001 mais de façon restrictive sur Internet mais afin de n'inciter personne à l'utiliser et que cela soit très clair, nous ne dirons pas où ce logiciel se trouve sur Internet.
Nous n'avons testé que les fonctions cryptographiques faute du matériel adéquat) et apparemment les premiers utilisateurs avertis en ont fait un commentaire élogieux.
De toutes façons, il est absolument impossible que les Yescard générées fonctionne pour effectuer des transactions réelles valides, comme nous le verrons par la suite.

Des Hackers ont réussi à effectuer une transaction d'achat de jetons pour voir des films à la séance sur un décodeur de télévision satellite d'une célèbre chaine cryptée.
Cela peut être prouvé, car le fichier de log d'un échange de cette transaction historique, a été publié sur Internet le 25 mai 2001.
Plus surprenant encore, ce fichier de log permet d'apprendre des choses très choquantes : le décodeur ne vérifie pas la valeur d'authentification de la carte ! On ne voit pas l'intérêt d'installer des protections sur une carte - fut elle obsolète - si les systèmes de paiement ne les exploite pas !
Ce n'est pas possible, il doit y avoir une fonction de sécurité cachée dans les systèmes de paiement par carte bancaire, on ne va tout de même pas nous faire croire que des systèmes contrôlés par des polytechniciens et des gens largement mieux payés que nous seraient spécialement adaptés pour le piratage.
Si ca continue, on va finir par croire que les banques font des <A href="http://www.parodie.com/monetique/juridique.htm#recel_fraude_03042000">profits grace à la fraude., mais c'est tout de même du recel, ceux qui prétendre faire de la morale et de la répression quitte à bafouer les droits fondamentaux devraient au moins montrer l'exemple !
Voir aussi <A class=postlink href="http://www.parodie.com/monetique/vuln_emul_comport_sansVA.htm" target=_blank>vulnérabilité par émulation comportement carte bancaire sans valeur d'authentification

Page consacrée à la lecture d'une carte bancaire d'accueil du logiciel geZeroLee Box v1.0
D'autres fonctions de ce logiciel sont réservées à un usage avancées
- Appeler des fonctions cryptographiques de la carte à partir du jeu secret
- Générer des valeurs d'authentification à partir d'un numéro de carte à 16 chiffres rentré à la main par calcul cryptographique
- Cloner une carte bancaire existante
- Créer une Yescard à partir d'un numéro à 16 chiffres
- Générer des fichiers .HEX pour la Yescard
- Transférer le programme .HEX sur la carte à puce programmable et créer une véritable Yescard


Page consacrée au clonage d'une carte bancaire d'accueil du logiciel geZeroLee Box v1.0


Pour ceux qui n'ont pas compris, ce logiciel permet tout simplement d'industrialiser la fabrication de Yescard en quelques clics.
Voila donc un logiciel à ne pas mettre en toutes les mains, heureusement son auteur restreint l'utilisation à un usage strictement didactique (ce qui explique sa gratuité) !
Nous ne pouvons également qu'inciter les personnes qui entreraient en possession de ce logiciel de ne pas en faire un usage criminel.
Ce logiciel est diffusé gratuitement depuis le 05/06/2001 mais de façon restrictive sur Internet mais afin de n'inciter personne à l'utiliser et que cela soit très clair, nous ne dirons pas où ce logiciel se trouve sur Internet.
Nous n'avons testé que les fonctions cryptographiques faute du matériel adéquat) et apparemment les premiers utilisateurs avertis en ont fait un commentaire élogieux.
De toutes façons, il est absolument impossible que les Yescard générées fonctionne pour effectuer des transactions réelles valides, comme nous le verrons par la suite.

Des Hackers ont réussi à effectuer une transaction d'achat de jetons pour voir des films à la séance sur un décodeur de télévision satellite d'une célèbre chaine cryptée.
Cela peut être prouvé, car le fichier de log d'un échange de cette transaction historique, a été publié sur Internet le 25 mai 2001.
Plus surprenant encore, ce fichier de log permet d'apprendre des choses très choquantes : le décodeur ne vérifie pas la valeur d'authentification de la carte ! On ne voit pas l'intérêt d'installer des protections sur une carte - fut elle obsolète - si les systèmes de paiement ne les exploite pas !
Ce n'est pas possible, il doit y avoir une fonction de sécurité cachée dans les systèmes de paiement par carte bancaire, on ne va tout de même pas nous faire croire que des systèmes contrôlés par des polytechniciens et des gens largement mieux payés que nous seraient spécialement adaptés pour le piratage.
Si ca continue, on va finir par croire que les banques font des <A href="http://www.parodie.com/monetique/juridique.htm#recel_fraude_03042000">profits grace à la fraude., mais c'est tout de même du recel, ceux qui prétendre faire de la morale et de la répression quitte à bafouer les droits fondamentaux devraient au moins montrer l'exemple !
Voir aussi vulnérabilité par émulation comportement carte bancaire sans valeur d'authentification

Facsimilé brouillé du fichier de log commenté de l'achat de jetons sur un décodeur de télévision à l'aide d'une Yescard

Après avoir essayé un décodeur de télévision et une cabine téléphonique, nos hackers préférés ont été un peu déçu : trop facile.
Ils se sont dit que les terminaux de paiement devaient tout de même avoir des protections additionnelles car pour l'instant les protections constatées étaient assez symboliques.
Ils se sont donc procurés un terminal de paiement et hier après-midi, ils ont fait un log des échanges d'une trasaction réelle entre une carte bancaire et ce terminal de paiement.
Et aujourd'hui ce log commenté a été publié sur Internet et à première vue, selon les commentaires des Hackers, les protections additionnelles semblent insuffisantes : ils sont déçus !

Serge Humpich avait fait une Yescard fonctionnant sur tous les terminaux de paiement.
La Yescard dont la preuve de l'efficacité de fonctionnement est établie tel qu'indiqué plus haut ne fonctionne pas dans tous les cas car le système de paiement par carte bancaire a légèrement évolué.
En effet, cette Yescard n'a été expérimentée que sur des décodeurs de télévision chiffrée qui disposent <A href="http://www.parodie.com/monetique/vuln_emul_comport_sansVA.htm">de moins de contrôle de sécurité (ne vérifie même pas la valeur d'authentification, ce qui est scandaleux)
Bien sûr, la Yescard ne fonctionne pas dans tous les cas, ceux qui l'utilisent réellement risquent de se faire pincer et encourrent des poursuites judiciaires sans pitié.
Il est même impossible que la Yescard serve réellement à frauder puisqu'il y a des protections empêchant son utilisation (notamment la vérification visuelle de l'hologramme sur la carte par le commerçant) et nos gouvernants ne nous aurait tout de même pas menti pour protéger des intérêts purement privés ?
Il y a d'autres protections : la vérification de la valeur d'authentification mais certains Hackers ont diffusé un logiciel permettant de générer de telles Valeurs d'authentification à 320 bits comme nous l'avons vu mais la Valeur d'authentification allongée de 768 bits n'est pas actuellement cassée.
Il parait également impossible pour les Hackers de générer un certificat de paiement (il est imprimé sur la facturette) valide car cela requiert des informations secrètes sur la puce inviolable.
Apparement, il existerait aussi d'autres mesurettes de protections additionnelles sur les nouveaux terminaux de paiement qui devraient freiner (au moins de 24 heures) l'avancée des Hackers et empêcher, dans une certaine mesure, l'extension de la fraude.
En conclusion, même dans l'hypothèse absurde d'une faute très lourde de conception de la part des promotteurs de la carte bancaire, c'est véritablement une impossible accummulation de plusieurs obstacles techniques insurmontables qui rend la Yescard inutilisable pour faire des transactions réelles valides. Tout le monde le dit (notamment Fabius, les banques et le journal "La Croix") et si eux on ne peut pas les croire alors vraiment à qui peut on faire confiance car nous on leur donnerait vraiment notre main à couper.
La carte bancaire à puce franco-française reste inviolable, inprénétrable, infalsifiable, incopiable et inpiratable et le site parodie.com un vaste canular.

Bien entendu, il est primordial que les banquiers n'incitent pas à nouveau les fraudeurs à utiliser frauduleusement de tels outils en laissant subsister toutes les failles connnues depuis plusieurs décennies. Pour cela, il n'y a pas 36 moyens : il faut révoquer immédiatement la puce de la carte bancaire. Toute nouvelle émission de carte bancaire en l'état est un dol caractérisé.
Le <A href="http://www.parodie.com/monetique/whoswho.htm#renault">président du conseil de Direction du cartel des banques l'avait promis courant 2000 : en cas d'apparition d'une Yescard, il renouvellerait toute les cartes en circulation pour n'utiliser que des puces véritablement sûres.
Comme on n'a vraiment pas de raison de penser que ces hauts dirigeants puissent ne pas tenir leurs promesses faites publiquement, nous vous invitons à détruire immédiatement votre carte bancaire, une nouvelle carte sécurisée vous parviendra automatiquement la semaine prochaine sans avoir besoin de le réclamer à votre banque !
Ce plan de remplacement des cartes bancaires avait en effet été prévu de longue date, comme on peut le voir dans ce document interne du cartel des banques intitulé matrice de risques internes que nous avons publié le 18/10/2000
Le risque "Apparition de cartes 'yescard'" est noté comme le rique le plus grave (échelle 3,2 sur 4) et parmi l'un des plus probables (échelle 3,3 sur 4)
Comme cela était prévu par les banques depuis 1 an, le plan de renouvellement des cartes a été mis au point, le stock de nouvelles cartes EMV utilisant nécessairement l'authentification dynamique online clés RSA 4096 bits est déjà prêt, il n'y a vraiment aucune crainte à avoir et si votre carte ne vous parvient pas d'ici la semaine prochaine, cela ne peut être dû qu'à une grêve surprise du courrier.
Cependant on rigole la prochaine génération de cartes ne fera que de l'authentification statitque à clé RSA 768 bits pour amuser les Hackers.

Après la révélation de sources de programme de Yescard et de logiciel permettant d'industrialiser cette pratique, le projet de loi répressif et liberticide devient sans objet : il n'est nullement nécessaire et totalement vain d'interdire la diffusion de données qui sont maintenant tombées dans le domaine public !
En effet, la jurisprudence constante de la Cour Européenne des Droits de l'Homme située à Strasbourg, considère que l'interdiction de la divulagation d'une information confidentielle prévue par la loi n'est plus nécessaire dès que l'information a été révélée publiquement (même dans un autre pays sur un autre continent). Voir par exemple l'affaire Sunday Times et les révélations touchant la sécurité de l'Etat anglais d'un ancien espion du MI5 publiées dans un livre en Australie.

Bien entendu, nous ne faisons aucune assistance sur le projet Yescard et n'incitons personne à y participer.
Nous nous contentons de suivre l'évolution des progrès des Hackers dans un but d'information.
Les personnes fabriquant, utilisant ou fraudant le font à leur risques et périls et sont avertis des risques qu'elles encourrent (notamment des <A href="http://www.parodie.com/monetique/proces.htm">poursuites judiciaires sans pitié).
Nous n'encourageons personne à commettre un acte illégal encore moins à frauder ou exploiter de façon lucrative des Yescard.

23/04/2001 Les mensonges d'Etat
16/04/2001 La Carte à puce démystifiée
20/03/2001 La méthode coué pour "sécuriser" le consommateur dans la vente en ligne
01/03/2001 Le révisionnisme érigé en loi au Conseil National de la Consommation
(*) jeu de mots, merci Jacques Coeur (1449)