L’affaire Humpich et le régime juridique de la carte bancaire

Slides:



Advertisements
Présentations similaires
Situation de départ Le nombre de citoyens qui tissent des liens personnels ou familiers avec les citoyens dun autre Etat membre ne cesse de croître!
Advertisements

L ’ORGANISATION JUDICIAIRE
Démocratie et procédure législative 1ère option SES
DSI, RSSI quelle responsabilité ?
Formation droit du CADTM des 16 et 17 février 2008 Dette odieuse et Apartheid par Virginie de Romanet.
Le code de déontologie AFRC 2006: nouvelles lois, nouvelle déontologie Etienne Drouard Avocat à la Cour Gide Loyrette Nouel
PROTECTION DES BASES DE DONNEES : DROIT D'AUTEUR ET DROIT SUI GENERIS
La responsabilité des sites de courtage en ligne APRAM commission internet 16 mars 2006 LA RESPONSABILITE DES COURTIERS EN LIGNE Damien Challamel, Avocat.
RESPONSABILITES CIVILE ET PENALE
RFFST Avril 2010 Intervention d’entreprises extérieures et la santé sécurité au travail : la combinaison des deux concepts Quelques exemples - Organiser.
RFFST Avril 2010 Intervention d’entreprises extérieures et la santé sécurité au travail : la combinaison des deux concepts Quelques exemples - Organiser.
Responsabilité des différents acteurs de l’enseignement
CADRE ORGANISATIONNEL ET JURIDIQUE
Réussir son bac en économie-droit
1 Article 1 – Loi du 9 janvier 1978 « Linformatique doit être au service de chaque citoyen « « Elle ne doit porter atteinte ni à lidentité de lhomme, ni.
Droit : LE gie carte bleue
Comptabilité générale
COLLOQUE DU 25 MAI 2007 L'ARCHIVAGE ÉLECTRONIQUE FACE À SES RESPONSABILITÉS ORGANISÉ PAR © Commission nationale de l'informatique et des libertés Intervention.
La communication et la confidentialité des données de santé Introduction: importance et intérêt du sujet UCL - LLN le 5 février 2009 Animateur : Pr. J.
Soirée dinformation 17 décembre 2012 Modifications aux bassins de lÉcole du Plateau, de lÉcole des Deux- Ruisseaux et de lÉcole du Marais.
*Troc: échange de main à Avant: Troc * Aujourdhui: e-commerce.
Le cadre juridique du e-commerce après lordonnance du 23 août 2001 et le projet de loi sur la société de linformation Le cadre juridique du e-commerce.
1 Aziz Bouazzaoui -Directeur de lOMPIC Le projet dépôt en ligne de lOMPIC : réalisations et perspectives.
Comment s’effectue le paiement sur internet?
Jean-Philippe Giola Jérome Robbiano Laurent Rudault
Introduction de la biométrie dans les titres de séjour
E.GOUVERNEMENT CNSS 18 –19 – 20 Février 2004
Restriction daccès aux logiciels et aux matériels Problème de licence Nicolas CHABANOLES Matière : SRR Lieu: UFRIMA.
DU Sécurité Sociale 2012 Les Contentieux DU Sécurité Sociale
Le cadre juridique et réglementaire des DRMS : Quelles évolutions ? Pascal Reynaud Paul Van den Bulck Cabinet ULYS
Loi relative aux droits des malades et à la fin de vie
La carte de crédit : protections et méthodes de contournement
Section 4 : Paiement, sécurité et certifications des sites marchands
Enoncé : Le Studio est une société qui vend du matériel de photographie. Le 12 février 2010, M. X a passé une importante commande concernant un boitier.
«Procédures collectives et règlement des créances salariales»
Webinar – Pôle numérique CCI Bordeaux - 28 novembre 2013
La directive européenne Séminaire UPU - Alger décembre 2012.
Le commerce électronique
Ľ Assurance Prospection Nouvelles Mesures
LE PROGRAMME INES Identité Nationale Electronique Sécurisée.
C'est pour bientôt.....
Directive 1999/93/EG du Parlement Européen et du Conseil du 13 décembre 1999 concernant un cadre communautaire pour les signatures électroniques.
Veuillez trouver ci-joint
L’INAPTITUDE DU SALARIÉ
La levée de l’option d’achat du contrat de crédit-bail judiciairement cédé © FIDAL © FIDAL Formation.
Carte Ticket Restaurant
CALENDRIER-PLAYBOY 2020.
L’Erika Une catastrophe qui tombe à pic Sous la Tutelle de M. Ludovic Servant, enseignant à l'université de Lille II.
Les élections prud’homales A quoi servent les élections prud’homales ?
SEMINAIRE DE FORMATION DES CORRESPONDANTS DE LA MRSMP Lundi 1er octobre 2001 Mission pour la Réforme des Systèmes et Moyens de Paiement (MRSMP) Le SYSTEME.
LE DROIT DE LA CONCURRENCE
Mc Donald’s calendrier 2007.
Janvier Janvier 2010 LUNDI MARDI MERCREDI JEUDI VENDREDI SAMEDI
Soutenance de stage Florian Carlier
Le système de traitement des plaintes de l’IDP. Cadre Légal.
Janvier Lundi Mardi Mercredi Jeudi Vendredi Samedi Dimanche
Janvier 2012 LUNDIMARDIMERCREDIJEUDIVENDREDISAMEDIDIMANCHE
Secrétariat général direction de la Recherche et de l’Animation scientifique et technique Présentation de la directive européenne INSPIRE.
L’UNION EUROPEENNE Les institutions. Le Parlement Européen.
Une année à l’école en GS.
DROIT – 1ERE STMG révisons.
1 Etat de la situation concernant la proposition de directive sur les soins transfrontaliers ( Séminaire annuel des conseiller(e)s syndicaux(ales) EURES:
E-commerce Respecter le droit du commerce Droit. Objectif : Appliquer le droit du e-commerce.
 Introduction  Les protocoles de sécurité  Les attaques possibles  Conclusion.
L’adoption internationale Exposé général des règles applicables à l’adoption internationale.
09 Septembre M 2 M 3 J 4 V 5 S 6 D 7 L 8 M 9 M 10 J 11 V
Transcription de la présentation:

L’affaire Humpich et le régime juridique de la carte bancaire

Introduction

Introduction Le mode de paiement privilégié des Français Nombre de cartes bancaire en circulation en France depuis 1990. (chiffres en millions)

Introduction 6 milliards de transactions en 2004 en France Nombre de paiements et de retraits depuis 1990 en millions.

Plan de l’exposé

Présentation de la Carte Bancaire Plan de l’exposé Présentation de la Carte Bancaire Historique de la carte à puce Principe de fonctionnement

Plan de l’exposé Affaire Humpich La démarche de Serge Humpich Le commentaire d’arrêt Avis d’experts sur la décision de justice Humpich aujourd’hui

Régime juridique de la Carte Bancaire Plan de l’exposé Régime juridique de la Carte Bancaire Avant l’affaire Humpich Les ajouts législatifs Les chiffres actuels de la fraude à la Carte Bancaire

I. Présentation de la Carte Bancaire La carte à puce La Carte Bancaire Principe de fonctionnement

Inventée en 1974 par un Français La carte à puce Inventée en 1974 par un Français La carte bancaire a été inventée en 1974 par le français Roland Moreno, cette découverte fait suite à de nombreuses initiatives lancées en ce sens par les japonais et les allemands. Il crée différents gadgets tel la machine à tirer à pile ou face puis crée la société Innovatron avec laquelle il vend ses inventions. En 1974, il dépose le brevet de la carte à puce sans avoir conscience de toutes les implications que cela aura (carte bancaire, carte SIM, Moneo, Navigo, …). En 1994, le brevet de la carte à puce tombe dans le domaine public et Innovatron ne résiste pas à la concurrence (Gemplus notamment). La dernière intervention public de Moreno eu lieu en 2002 lorsqu’il offrit 1.000.000 de francs à quiconque parviendrait à lire UN bit secret ou a modifier UN bit protégé par ses brevets de 1975 en moins de 3 mois. Roland Moreno

La puce est une sorte de petit ordinateur, avec : La Carte Bancaire La puce est une sorte de petit ordinateur, avec : un processeur peu puissant qui permet d'effectuer des calculs, une mémoire dont : une partie est accessible en écriture (enregistrement de l'historique des transactions), une autre en lecture seule, et enfin une dernière en lecture cachée.

La Carte Bancaire 1967 : premières cartes de paiements 1971 : premier DAB (distributeur automatique de billets) 1980 : premiers TPE (terminaux de paiements électroniques) 1984 : création du GIE CB 1992 : généralisation de la puce sur les cartes (320 bits) 1999 : affaire Humpich (yescard et clonage) 2001 : amélioration du système de sécurité (768 bits)

Principe de fonctionnement Fonctionnement en trois étapes Authentification de la carte Vérification du code confidentiel Authentification en ligne

Principe de fonctionnement Authentification de la carte Envoi d’informations Authentification Numéro inconnu

Principe de fonctionnement Vérification du code confidentiel Code stocké dans la puce La carte vérifie le code entré Code valide Code erroné

Principe de fonctionnement Authentification en ligne Seulement pour les montants importants Envoi d’un nombre aléatoire X Renvoie f(K, X) Vérifie et donne autorisation

II. L’affaire Humpich 2 L'affaire Humpich 1 – La démarche de Serge Humpich (Elodie et Jérémie) 2 - Le commentaire d'arrêt (Elodie et Jérémie) 3 - Humpich aujourd'hui (Stéphane et Samuel) 4 - Avis d'expert sur la décision de justice (Stéphane et Samuel) 5 - Les conséquences de cette affaire (Stéphane et Samuel) 2.1 – La démarche de Serge Humpich (Elodie et Jérémie) (http://www.barreau.qc.ca) (http://www.legalis.net) (http://www.zdnet.fr/) (http://parodie.com/humpich/) (http://membres.lycos.fr/apopage/humpich.htm) (http://www.lorgane.com/my/sergeh.html)

II.1 – La démarche de Serge Humpich Biographie succincte Sa démarche 2 L'affaire Humpich 1 – La démarche de Serge Humpich (Elodie et Jérémie) 2 - Le commentaire d'arrêt (Elodie et Jérémie) 3 - Humpich aujourd'hui (Stéphane et Samuel) 4 - Avis d'expert sur la décision de justice (Stéphane et Samuel) 5 - Les conséquences de cette affaire (Stéphane et Samuel) 2.1 – La démarche de Serge Humpich (Elodie et Jérémie) (http://www.barreau.qc.ca) (http://www.legalis.net) (http://www.zdnet.fr/) (http://parodie.com/humpich/) (http://membres.lycos.fr/apopage/humpich.htm) (http://www.lorgane.com/my/sergeh.html)

Biographie succincte Né à Mulhouse en 1963 d'un père mineur Ingénieur INSA Lyon, promotion 1986 Expérience de Chef de Projet informatique dans la banque et l'industrie

Sa démarche Ingénieur en électronique-informatique Cartes bancaires pas "inviolables" ou "infalsifiables" 4 ans de recherches Réalisation de son but Proposition d'amélioration du système Ingénieur en électronique-informatique de l’INSA de Lyon, Serge Humpich était persuadé que les cartes bancaires n’étaient pas aussi "inviolables" et "infalsifiables" que les banques le juraient. Il estimait en outre posséder les connaissances et les capacités nécessaires pour le démontrer, et pensait pouvoir en tirer un profit industriel et commercial. Selon lui, la faiblesse des systèmes de paiement par carte bancaire venait non pas de la puce, très protégée par les ingénieurs, mais du terminal de paiement souvent sous-traité par divers constructeurs. Pendant quatre ans, il a travaillé sur la réalisation d’une carte pouvant être acceptée par n’importe quel terminal de paiement, et en composant n’importe quel code secret. Il a du commencer par étudier le lecteur de cartes et a réalisé de nombreux tests afin d’en saisir le fonctionnement. Ainsi, il a pu créer une carte qui accepte toujours le code saisi par l’utilisateur, quel que soit ce code. Au lieu de tirer profit illégalement de sa découverte, Serge Humpich a préféré proposer au GIE Cartes bancaires un transfert de compétences afin qu’ils puissent protéger leur système et améliorer la sécurité des cartes à puce.

II.2 – Le commentaire d'arrêt Les faits La procédure Les problèmes posés Les arguments des parties La décision rendue 2 L'affaire Humpich 1 – La démarche de Serge Humpich (Elodie et Jérémie) 2 - Le commentaire d'arrêt (Elodie et Jérémie) 3 - Humpich aujourd'hui (Stéphane et Samuel) 4 - Avis d'expert sur la décision de justice (Stéphane et Samuel) 5 - Les conséquences de cette affaire (Stéphane et Samuel) 2.2 - Le commentaire d'arrêt (Elodie et Jérémie) (http://www.barreau.qc.ca) (http://www.legalis.net) (http://www.zdnet.fr/) (http://parodie.com/humpich/) (http://membres.lycos.fr/apopage/humpich.htm) (http://www.lorgane.com/my/sergeh.html)

Découverte : met à jour le fonctionnement des terminaux de paiement Les faits Découverte : met à jour le fonctionnement des terminaux de paiement Juillet 1998 : entre en relation avec le GIE Cartes bancaires Après plusieurs contacts : preuves à fournir 4 août 1998 : GIE Cartes bancaires porte plainte contre Serge Humpich 17 septembre 1998 : perquisitions et placement en garde à vue Après quatre ans de recherche, Serge Humpich, ingénieur électronicien âgé de 35 ans, a découvert comment fabriquer des cartes bancaires pouvant être acceptées par n’importe quel terminal de paiement et en composant n’importe quel code secret. En Juillet 1998, il entre en relation, par l’intermédiaire d’un avocat, avec le GIE (Groupement d’intérêts Economiques) Cartes bancaires pour que soit réalisé un transfert de savoir-faire rémunéré. Après plusieurs contacts, il lui a été demandé d’apporter la preuve de sa capacité réelle à leurrer les terminaux de paiement. Il achète alors dix carnets de métro avec des fausses cartes à puce et remet au GIE les tickets et les facturettes. Le 4 Août 1998, le GIE Cartes bancaires porte plainte contre Serge Humpich pour "intrusion frauduleuse dans un système automatisé de données" et "contrefaçon de cartes bancaires". Le 17 Septembre au matin, il est placé en garde à vue et son domicile ainsi que le bureau de son avocat sont perquisitionnés.

Rétractation de Serge Humpich Deuxième instance : La procédure Première instance : Tribunal de Grande Instance de Paris, 25 février 2000 Le tribunal fait droit à GIE Carte Bancaire Serge Humpich interjette appel Rétractation de Serge Humpich Le parquet maintient l’appel Deuxième instance : Cour d’appel de Paris, 18 décembre 2000 La cour d’appel confirme le jugement Première instance Tribunal de Grande Instance de Paris, 13ème Chambre Correctionnelle, 25 février 2000 Demandeur : GIE Cartes bancaires Défendeur : Serge Humpich Le tribunal fait droit à la demande et déclare Serge Humpich coupable pour contrefaçon de carte de paiement, accès et maintient frauduleux dans un système de traitement automatisé de données, introduction frauduleuse de données dans un système de traitement automatisé de données, usage de carte de paiement contrefaites. Serge Humpich a interjeté appel, mais a décidé de se désister de son recourt et d’accepter la décision du tribunal de première instance. Le parquet, estimant que les juges de première instance n’avaient pas été assez sévères, a maintenu la procédure. Deuxième instance Cour d’appel de Paris, 18 décembre 2000 Appelant : Serge Humpich Intimé : GIE Cartes bancaires Arrêt de la cour d’appel qui confirme le jugement rendu en première instance sans l’alourdir.

Y’a-t-il infraction sans volonté de nuire? Les problèmes posés Y’a-t-il infraction sans volonté de nuire? Une intention innocente dispense-t-elle de respecter la loi? D’une part, une infraction est-elle établie lorsque le but poursuivi n’est pas frauduleux ? Où placer la frontière entre le scientifique et le "hacker" ? D’autre part, l’intention innocente exonère-t-elle de toutes responsabilité si les moyens mis en œuvre incluent des actes dont on sait qu’ils constituent une infraction ?

Les arguments des parties Serge Humpich Recherches effectuées sur un terminal non connecté Aucune intention de nuire Démarche similaire à celle d’un chercheur et non pas un pirate. Serge Humpich : Toutes les recherches de Serge Humpich ayant été effectuées sur un terminal de paiement non connecté, il n’y a pas eu d’introduction frauduleuse dans le réseau de cartes bancaires. Serge Humpich était animé d’un esprit de curiosité et n’a à aucun moment tiré profit de sa découverte pour frauder les droits de tiers. L’intention délictueuse de l’infraction n’est donc pas constituée. Humpich est un "savant", un "inventeur" qui a simplement cherché à démontrer et faire valoir son savoir-faire. Il a également contribué à l’amélioration de la sécurité des cartes à puce.

Les arguments des parties GIE Carte Bancaire Extraction de données d’un terminal, élément du système. Conscience d’accéder à un système sans en avoir l’autorisation. Maintenu dans le système afin de décrypter des données. Introduction de données dans le système. Contrefaçon de cartes bancaires. GIE Cartes bancaires : Serge Humpich a découvert comment fonctionne l’authentification de la carte bancaire à puce dans le système du GIE Cartes bancaires. Dans ce but, il a démonté un terminal de paiement autonome, considéré comme partie intégrante du système automatisé de données, et écrit un programme informatique pour en extraire des données. Bien que Serge Humpich n’ait voulu tirer aucun profit frauduleux de ses recherches, il ne pouvait pas ignorer qu’il accédait à des données du système du GIE Cartes bancaires et ce sans l’accord de l’administrateur du système. Serge Humpich s’est maintenu dans le système afin de décoder une donnée cryptée, l’algorithme de cryptage. Il a introduit des données dans le système en insérant sur de nouvelles cartes à puce des données capables de leurrer le système. Il a contrefait 5 cartes bancaires qui ont été utilisées et reconnues comme valides puis reprogrammées pour effacer les traces relatives à ces transactions.

La décision rendue Déclaré coupable pour: Condamné à: Contrefaçon ou falsification de cartes bancaires Accès et maintien frauduleux dans un système Introduction frauduleuse de données dans un système Usage de cartes bancaires contrefaites Condamné à: 10 mois de prison avec sursis 12 000Frs d’amende et 1Fr de dommages et intérêts Le Tribunal Correctionnel a déclaré Serge Humpich coupable de : -Contrefaçon ou falsification de cartes de paiement ou de retrait. -Accès et maintien frauduleux dans un système de traitement automatisé de données. -Introduction frauduleuse de données dans un système de traitement automatisé. -Usage de cartes de paiement ou de retrait contrefaites ou falsifiée. Il a été condamné à dix mois de prison avec sursis, 12000 francs d’amende et un franc (symbolique) de dommages et intérêts en plus de la confiscation de tous les scellés, soit l’ensemble de ses notes, disquettes et outils de travail.

II.3 - Avis d'experts sur la décision de justice Aspect technique Aspect juridique 2 L'affaire Humpich 1 - Biographie succincte (Elodie et Jérémie) 2 - Le commentaire d'arrêt (Elodie et Jérémie) 3 - Humpich aujourd'hui (Stéphane et Samuel) 4 - Avis d'expert sur la décision de justice (Stéphane et Samuel) 5 - Les conséquences de cette affaire (Stéphane et Samuel) 2.4 - Avis d'experts sur la décision de justice (http://parodie.com/monetique/faute.htm)

Auteur du livre « PC et cartes à puces » Aspect technique PATRICK GUEULLE Auteur du livre « PC et cartes à puces » - Carte à péages plus sûres que la CB - L’émetteur de la CB est certain de la sécurité de ses propres cartes. PATRICK GUEULLE Auteur du livre « PC et carte à puce » Page 19 : "Il est d'ailleurs assez piquant de remarquer que les puces utilisées pour cette application (de télé à péage) sont très sensiblement plus puissantes que celles utilisées dans les cartes bancaires." Page 83 : "Sauf faute très lourde de l'émetteur d'une telle carte (dont il porterait évidement l'entière responsabilité), on considère donc communément comme impossible de percer le mystère de la partie sécurisée des échanges de données entre la carte et le lecteur« . Page 95 : "De toute façon, ne comptez pas sur nous pour vous faire réaliser une carte pouvant être avalée par un distributeur de billets... « .

Inventeur de la carte à mémoire Aspect technique ROLAND MORENO Inventeur de la carte à mémoire Les failles étaient connues depuis 1984 et met en cause les banques ROLAND MORENO Inventeur de la carte à mémoire. Il confirme les dires du Professeur Quisquater comme quoi ces failles étaient connues depuis 1984 et met en cause les banques. Cela fait partie de son communiqué du 13/03/2000 lançant un défi aux pirates.

Aspect technique FRANCE TELECOM Dans un brevet de 1997 du CCETT, France Télécom dénonce les spécifications du système d’authentification de la carte bancaire. FRANCE TELECOM Dans un brevet de 1997 de France Télécom (c'est une entité de France Télécom, le CCETT - Centre Commun d'Etude de Telecommunication et Télévision - qui a fait en 1983 les spécifications de l'authentification de la carte bancaire à puce), on peut lire : "Malgré ce risque de fraude par réutilisation, l'identification passive décrite ci-dessus est largement utilisée dans le domaine bancaire et celui des cartes de télécommunication. Des précautions supplémentaires (listes noires, etc...) limitent dans une certaine mesure l'ampleur des fraudes par réutilisation"

Aspect technique LOUIS CLAUDE GUILLON Chercheur au CCETT, un des concepteurs en 1983 du système d'authentification utilisé dans la carte bancaire.  En 1988, il apporte une note critique de sa propre invention : le système n’est pas sûr. LOUIS CLAUDE GUILLOU Chercheur au CCETT (Centre Commun d'Etudes des Télécommunication et Télédiffusion). Il est réputé en cryptographie. C'est un des concepteurs en 1983 du système d'authentification utilisé dans la carte bancaire et la carte France Télécom (ex carte pastel). Il est l'un des coauteurs de l'article de 1988 paru dans les annales des télécommunications et il apporte une note critique de sa propre invention en indiquant les limites de la sécurité de la carte bancaire. Il récidive en 1990

Aspect juridique MAÎTRE SAYN Dol : Le GIE a trompé ses co-contractants en garantissant la sécurité du système. Négligence : Le GIE a laissé ses cartes en circulation avec la connaissance des failles. Défaut d’information : Les clients finaux et les commerçants ne sont pas prévenus des risques avérés. Le dol Il existe un autre moyen juridique permettant de mettre en jeu la responsabilité du cartel des banques. Tous les contrats concernant des prestations autour des cartes bancaires signés à partir d'août 1998 sont dolosifs. En effet, à cette date, le GIE carte bancaire avait connaissance de la faillabilité des cartes bancaires vu la démonstration faite par Serge Humpich mais a trompé ses cocontractants en garantissant la sécurité du système. Le GIE a ainsi vicié le consentement des cocontractants ce qui s'appelle du dol en droit. Conséquence : le contrat est nul. La négligence Que feriez vous si tout le monde disposait de vos clés ? Vous changeriez vos serrures certainement. Or depuis le 9 février 2000, les clés du système des cartes bancaires à puce sont diffusées largement puisqu'une deuxième personne après Serge Humpich a trouvé le secret des cartes bancaires et l'a diffusé sur Internet. Cela veut dire qu'avec ces données, de nombreuses personnes mal intentionnées peuvent fabriquer des simulacres de cartes et les utiliser. Et cela au préjudice des porteurs de cartes et aux commerçants (car les banques ne voudront pas assumer les frais de la fraude). Les banques n'ont nullement commencer à procéder au remplacement de toutes les cartes bancaires et des terminaux de paiement. Elles commettent donc une faute. La responsabilité du défaut d’information Non seulement les banques ne prennent pas les mesures de précaution qui s'imposent depuis ce 9 février 2000 mais elles n'informent nullement les commerçants et porteurs de cartes des risques nouveaux qu'ils encourent. Il est en effet maintenant possible pour un ingénieur informaticien doué de fabriquer des simulacres de cartes bancaires. C'est plus facile à faire qu'un décodeur Canal + de la première génération. Donc de nombreux simulacres de cartes apparaîtront tout prochainement et innonderont le marché. En effet : il fallait quelques heures pour fabriquer un décodeur Canal+ et investir quelques centaines de francs en composants. Alors qu'il ne faudra que 10 minutes à un pirate pour fabriquer 10 simulacres de cartes bancaires pour un coût de seulement quelques francs pièce. Le minimum serait d'informer les intéressés. Tout au contraire le cartel des banques continue à se réfugier dans la langue de bois en répétant que les "cartes à puces sont fiables et le taux de fraude est réduit". Plus pour très longtemps. En omettant d'informer les intéressés de ces risques nouveaux les banques commettent une nouvelle faute engageant leur responsabilité.

II.4 - Humpich aujourd'hui Sa situation financière et juridique Médiatisation de l’affaire Un nouveau départ Intro (François et Aurélien) 1> La CB : principe général (François et Aurélien) 2> L'affaire Humpich 1- Biographie succinte (Elodie et Jérémie) 2- Le commentaire d'arrêt (Elodie et Jérémie) 3- Humpich aujourd'hui (Stéphane et Samuel) 4- Avis d'expert sur la décision de justice (Stéphane et Samuel) Les conséquences de cette affaire (Stéphane et Samuel) 3> Le régime juridique de la CB 1- Le régime juridique avant l'affaire Humpich (François et Aurélien) 2- Les ajouts législatifs (Sébastien et Arnaud) 3- Les chiffres actuels de la fraude à la CB (Sébastien et Arnaud) Conclusion (Stéphane et Samuel) Références (n'oubliez pas de noter là où vous avez pris les infos) Lundi soir on s'amène tous avec nos slides (ne pas mettre de mise en forme particulière ; faire des tabulations et laisser les puces par défaut) pour répéter l'exposé

Août 1999 : licencié de la SSII GFI Informatique pour faute grave Sa situation Août 1999 : licencié de la SSII GFI Informatique pour faute grave Procès pour licenciement abusif (découverte en dehors du temps de travail) règlement à l’amiable Février 2000 : 10 mois avec sursis et 12000 FF d’amende Demande l’annulation de la procédure d’appel sans succès http://parodie.com/humpich/ Il a été arrêté en août 1998 suite à une plainte du GIE cartes bancaires ("falsification de carte bancaire et introduction frauduleuse dans un système automatisé de traitement") alors qu'ils étaient en cours de négociation. IL s'est donc fait volé son invention (celle du simulacre de carte bancaire) par les banques. Il a révélé son affaire en juin 1999 à la presse. Suite à cela, il a été licencié en août 1999 pour faute grave de la société de service informatique GFI Informatique alors qu'il a fait sa découverte en dehors du temps de travail, une procédure pour licenciement abusif est en cours. Il a été jugé le 25 février 2000 et condamné à 10 mois de prison avec sursis par le Tribunal Correctionnel de Paris, il a fait appel de cette décision. Il vit maintenant en participant notamment à des projets d'électronique. Il a écrit un livre relatant son histoire (intutilé "le cerveau bleu", paru aux Editions Xo le 29/01/2001). Mais le Parquet a maintenu la procédure, estimant que les juges de première instance n'avaient pas été assez sévères. La cour d'appel a donc rendu son arrêt. Qui confirme la condamnation sans l'allourdir. La peine de Serge Humpich confirmée en appel Par Jerome Thorel ZDNet France Mercredi 20 décembre 2000 http://www.zdnet.fr/actualites/internet/0,39020774,2061907,00.htm Que pensez-vous des mesures prises par le GIE depuis le début de l'année visant à sécuriser les transactions par carte bancaire ? Tout le monde sait que, dans le fond, le problème n'est pas résolu. Même s'ils ont changé la moitié des cartes en circulation et qu'ils ont quelque peu fait évoluer le système. Cependant, même si les sous-ensembles du système sont de qualité, l'ensemble n'est pas forcément cohérent. Sans parler des problèmes d'obsolescence technique. Quelles conclusions en tirez-vous, quels seraient les remèdes ? Une des améliorations urgentissimes serait d'augmenter la taille des clés de cryptage. Il faudrait que les non-techniciens ne soient pas les seuls à prendre des décisions. Si je n'avais qu'un seul conseil, ce serait d'écouter un peu plus les ingénieurs. Enfin, il faudrait que la conception même des cartes soit revue tous les deux ans. Une mesure facile à mettre en oeuvre, puisque cela coïncide avec la durée de validité des cartes. Un bon système de sécurité, c'est un système dont on connaît les failles. Le GIE ne connaît pas les véritables faiblesses de son système. Et, aujourd'hui, une fraude à grande échelle est toujours possible. On ne pourrait rien faire, sauf tout arrêter.

Sa situation Période difficile Endetté Au chômage Démoralisé http://www.chris-kutschera.com/Serge%20Humpich.htm Q: Et maintenant, que faîtes-vous? Je suis dans la dèche! Avant je gagnais assez bien ma vie; et tout s’est arrêté. J’ai été licencié par l’entreprise dans laquelle j’ai travaillé 12 ans: ils devaient prendre position contre moi devant leurs clients. Ils ont prétendu que...je n’avais pas le droit de travailler pour quelqu’un d’autre! Je les poursuis pour licenciement abusif. Ils viennent de me proposer une transaction à l’amiable. En attendant je vis des Assedic: avant, je touchais juste assez pour rembourser l’emprunt avec lequel j’ai acheté ma ferme, et payer mes impôts. Maintenant, les Assedic ont diminué, c’est la crise... http://membres.lycos.fr/apopage/humpich.htm PM : Vous faites quoi aujourd'hui ? Je viens de me faire licensier, j'ai des credits à rembourser, il me reste 500F par mois pour vivre.

Médiatisation de l’affaire Surmédiatisation Janvier 2001 : Livre "le cerveau bleu", Ed Xo "  Je crois qu'il a décidé de faire table rase de cette histoire  ", estime François Cornette de Saint-Cyr, l'un de ses avocats. http://www.01net.com/article/131821.html?rub= Que devenez-vous, maintenant cette affaire terminée ? Je cherche des développements industriels. J'ai monté un laboratoire d'électronique dans lequel je réalise des prototypes, et je m'apprête à créer ma société. Je suis persuadé que la vraie bataille pour la sécurité est au niveau de l'électronique. J'ai quelques contrats, pas encore assez pour bien gagner ma vie, mais il faut bien débuter. Et puis, ces derniers mois, j'ai surtout été occupé à la rédaction de mon livre. http://www.01net.com/article/132413.html?rub=

Fait table rase sur cette affaire Un nouveau départ Fait table rase sur cette affaire Crée un laboratoire d'électronique (réalisation de prototypes) Plus de nouvelles de lui après 2002 Que devenez-vous, maintenant cette affaire terminée ? Je cherche des développements industriels. J'ai monté un laboratoire d'électronique dans lequel je réalise des prototypes, et je m'apprête à créer ma société. Je suis persuadé que la vraie bataille pour la sécurité est au niveau de l'électronique. J'ai quelques contrats, pas encore assez pour bien gagner ma vie, mais il faut bien débuter. Et puis, ces derniers mois, j'ai surtout été occupé à la rédaction de mon livre.

Les conséquences de cette affaire TRANSITION Affaire qui a marqué l’opinion publique. A provoquée des changements juridiques, et a amené le GIE à prendre des mesures concrètes après que les procédés de fabrication des yescard fut dévoilé au grand public. Et blabla..

III. Régime juridique de la Carte Bancaire Avant l’affaire Humpich Les ajouts législatifs Quelques chiffres relatifs à la fraude à la Carte Bancaire

Avant l’affaire Humpich Avant 1991 : Le droit contractuel s’applique Loi du 30/12/1991 : Loi relative à la sécurité des chèques et des cartes de paiement Directive européenne du 20/05/1997 : Article 8 Paiement par carte Les États membres veillent à ce que des mesures appropriées existent pour que le consommateur: - puisse demander l'annulation d'un paiement en cas d'utilisation frauduleuse de sa carte de paiement dans le cadre de contrats à distance couverts par la présente directive, - en cas d'utilisation frauduleuse, soit recrédité des sommes versées en paiement ou se les voie restituées.

III. 2 – Les ajouts législatifs Aspect historique Aspect juridique

Aspect historique Quelques chiffres en 2000 Type de fraude 1999 2000 fraude carte bancaire à puce française en france 178 millions F 250 millions F fraude CB étrangères chez commerçants français 220 millions 360 millions fraude cartes bancaires françaises à l'étranger 142 millions 195 millions fraude distributeurs de billets en France 61 millions Env 65 millions Total > 636 millions > 940 millions ROLAND MORENO Inventeur de la carte à mémoire. Il confirme les dires du Professeur Quisquater comme quoi ces failles étaient connues depuis 1984 et met en cause les banques. Cela fait partie de son communiqué du 13/03/2000 lançant un défi aux pirates.

Principales raisons de la loi Aspect juridique Principales raisons de la loi Une clé mathématique de cryptage est publiée par un internaute. Le chef du Service central de la sécurité des systèmes d'information déclare : « depuis longtemps, la vulnérabilité des cartes à puce est connue »  ROLAND MORENO Inventeur de la carte à mémoire. Il confirme les dires du Professeur Quisquater comme quoi ces failles étaient connues depuis 1984 et met en cause les banques. Cela fait partie de son communiqué du 13/03/2000 lançant un défi aux pirates.

Principales raisons de la loi Aspect juridique Principales raisons de la loi Affaire Humpich Croissance des plaintes des citoyens Chiffres de la fraude en augmentation ROLAND MORENO Inventeur de la carte à mémoire. Il confirme les dires du Professeur Quisquater comme quoi ces failles étaient connues depuis 1984 et met en cause les banques. Cela fait partie de son communiqué du 13/03/2000 lançant un défi aux pirates.

Aspect juridique 17 mai 2000 29 Juin 2000 14 Mars 2001 Création de la loi 1/2 17 mai 2000 - Proposition de résolution n° 2397 Souhait de créer une commission d’enquête 29 Juin 2000 - Rapport n° 2530 Proposition n°2397 rejetée 14 Mars 2001 - Projet de loi n° 2938 Sécurité quotidienne ROLAND MORENO Inventeur de la carte à mémoire. Il confirme les dires du Professeur Quisquater comme quoi ces failles étaient connues depuis 1984 et met en cause les banques. Cela fait partie de son communiqué du 13/03/2000 lançant un défi aux pirates. Jean-Pierre Brard

Aspect juridique 18 Avril 2001, Avis n° 2992 31 Octobre 2001 Création de la loi 2/2 18 Avril 2001, Avis n° 2992 - Dépôt de l’avis concernant le chapitre III du projet de loi 31 Octobre 2001 - Projet de loi adopté par l’Assemblée Nationale 15 Novembre 2001 - Loi promulguée par le Président de la République ROLAND MORENO Inventeur de la carte à mémoire. Il confirme les dires du Professeur Quisquater comme quoi ces failles étaient connues depuis 1984 et met en cause les banques. Cela fait partie de son communiqué du 13/03/2000 lançant un défi aux pirates.

Loi relative à la sécurité quotidienne Aspect juridique Loi relative à la sécurité quotidienne Le chapitre VI de la loi est spécifique à la carte bancaire Protection des utilisateurs Répression envers les fraudeurs Extension de la responsabilité Nomination d’une autorité de contrôle : la Banque De France ROLAND MORENO Inventeur de la carte à mémoire. Il confirme les dires du Professeur Quisquater comme quoi ces failles étaient connues depuis 1984 et met en cause les banques. Cela fait partie de son communiqué du 13/03/2000 lançant un défi aux pirates.

Quelques chiffres Internet, le faux coupable …. EVOLUTION DE LA FRAUDE Internet, le faux coupable …. ROLAND MORENO Inventeur de la carte à mémoire. Il confirme les dires du Professeur Quisquater comme quoi ces failles étaient connues depuis 1984 et met en cause les banques. Cela fait partie de son communiqué du 13/03/2000 lançant un défi aux pirates. Malgré tout, tentative de fraude par Internet en 2004 : +15%

Conclusion Après avoir vu le fonctionnement de la CB, nous avons tenté de comprendre la démarche de Humpich. Sa démarche semblait honnête, il pensait aider le GIE, et en même temps, en tirer une contrepartie au regard de ses 4 années de recherches. Le GIE CB a pour sa part été plutôt odieux, ils l’ont poussé à frauder pour l’attaquer en justice. La décision de justice est correcte, et même généreuse au regard des faits commis et de la loi. Tout les faits sont contre Humpich. Cependant, cette affaire l’a touché. On a vu que le GIE avait de responsabilités, il été déjà au courant des faiblesses du système mais n’a rien fait pour l’améliorer, tout en garantissant aux usager la sécurité du système. Face à l’augmentation des fraudes, de nouvelles mesures juridiques spécifiques ont été prises… Le combat de DAVID CONTRE GOLIATH Ce qu'exige tôt ou tard le plus fort, ce n'est pas qu'on soit à ses côtés mais dessous. Georges Bernanos