Bien après le phénomène des YesCard et loin de l'affaire Humpich, voici une enquête sur ce qui est en train de devenir un fléau pour les banques et les utilisateurs: les clones de cartes bancaires. Tout en restant au fond de votre portefeuille, votre carte ne protège aucunement votre compte bancaire et surtout, les pirates que nous avons rencontrés sont capables de dépouiller des comptes existants, sans aucune limite.
Ce reportage papier fut doublé de deux sujets spéciaux (réal: J-P Ney et J-P Canet) pour le journal de 12H30 de Canal Plus, d'un documentaire et d'un reportage de douze minutes pour I>Télé, la chaîne info de Canal Plus.
La guerre dure depuis presque 5 ans. D'un côté les banques et le groupement des cartes bancaires, de l'autre les hackers spécialisés dans le cassage des systèmes de sécurité présents sur les cartes à puce. Les uns disent leur système « infaillible », les autres rétorquent le contraire -preuves à l' appui- et se délectent d'en publier les travaux sur Internet. A Securimag, nous suivons le dossier depuis l'affaire Humpich en 1999. Il y a quelques jours, pour notre enquête, des « carders » nous ont cordialement invités à les suivre dans leurs démarches : de la fabrication de fausses cartes à puce jusqu'aux courses « à l'oeil » dans des grandes surfaces. Impressionnant.
Un travail de plus d'un an, un travail d'investissement personnel et de confiance allait aboutir ce soir. Il faut dire que ce type d'enquête, on sait quand ça commence mais on ne sait jamais quand ça va se terminer. Tout ce temps pour rencontrer des jeunes et moins jeunes hackers, se faire accepter, évoluer avec eux, comprendre ce qui les anime. « C'est donc toi le type qui a retrouvé le pirate du Pentagone.Balèze! » me lance Synapse. « Ce soir, on va prendre des risques avec toi, mais Alikos nous a dit que tu étais fiable ». Alikos, un de mes nombreux contacts dans ce monde si sombre et si discret.
Les vrais techniciens, hackers, chercheurs, ne se montrent pas au grand jour, non, ils évitent toute publicité. « Ce que tu vas voir, c'est pour montrer à toutes les banques et surtout au GIE Carte Bancaire que leur système est une vraie merde. Il faut que les français sachent que leur argent n'est pas à l'abri, que les cartes à puces sont piratables depuis bien longtemps ».
A côté de moi Synapse, ordinateur portable sur les genoux, me montre comment ils programment une vraie-fausse carte bleue. Il insère une carte vierge dans un lecteur alimenté par un branchement sur l'allume cigare. Il lance un programme, le manipule. Nous roulons sur le périphérique. « C'est bon, allez on va manger » jette Synapse en souriant. A présent nous sommes dans Paris, on s'arrête devant un distributeur automatique de boissons et sandwiches. « Première démo, viens avec moi » me dit Synapse. Nous sortons. Le distributeur, une grande vitrine, s'offre à nous. Synapse fait son choix. Il décide de payer par carte bleue. Il insère la carte qu'il programmait il y a cinq minutes à peine. « Donne moi un code, n'importe lequel ». « un-deux-trois-quatre ». L'écran à cristaux liquides affiche la réponse 'code bon, appel central, transaction en cours veuillez patienter, transaction terminée, veuillez retirer votre carte, bonne journée '.
Impunité totale... Nous roulons encore, cette fois-ci, retour en banlieue parisienne. Dans la voiture, les langues se démêlent et j'apprends que nous avons rendez-vous avec trois autres « équipes » de carders vers une zone industrielle de banlieue. « Nous sommes 6 équipes, avec dans chaque voiture le même type de matériel sophistiqué, les mêmes programmes et la même rage de démontrer les failles de ce système » me dit Mathematik, l'un des concepteurs d'un programme capable de lire, modifier et intercepter les données sur les cartes a puce. En effet, devant mes yeux, vont se rencontrer sur ce parking, les « têtes » les plus recherchées par la « brigade des cartes bleues », par le Befti (Bureau d'Enquêtes aux Fraudes des Technologies de l'Information), et bien d'autres services officiels. Parmi eux, l'un des plus proches collaborateurs du mythe de la yes card : Geoli, l'inventeur du logiciel geZeroLee tant décrié (voir encadré). Ils discutent rapidement, des choses s'échangent, tout le monde rentre dans les voitures et nous repartons. « C'est bon, les deux autres équipes sont déjà en action vers la Défense, et eux vont au nord » lance Synapse en démarrant le moteur. Nous roulons, encore, à la manière d'un road-movie, dont je suis l'unique spectateur autorisé.
Ce soir personne ne sais où je suis allé, mes hôtes m'ont obligé à couper mon téléphone portable et j'ai fait 2 fois le tour de Paris jusqu'en banlieue pour les rencontrer. Il n'y a aucune paranoïa, si on me suit ou si je suis un informateur de la police, ils risquent gros, très gros. C' est donc dans un centre commercial dont nous tairons le nom que je les suivrai : « tu vas voir comment quelqu'un de futé, n'importe qui, un mafioso, un bandit, un terroriste, peut vivre tranquillement et totalement à l'oeil grâce aux failles persistantes sur les cartes à puce » me lance Mathematik. A l'arrière du véhicule, à côté de moi, Synapse sort des vraies cartes bleues, avec des puces trafiquées et reprogrammées par ses soins en moins de 5 minutes. Nous sortons, les portes s'ouvrent, tel une caserne d' Ali Baba, le centre commercial se présente à nous. Direction les rayons et quelques minutes plus tard, passage à la caisse. Je les attends dehors pour plus d'assurance et parce qu'ils ne veulent pas me mêler à leurs problèmes si toutefois l'affaire tournait mal.
Le caddie plein, l'un passe la porte, puis c'est au tour de Synapse, et enfin Many, dans ses bras, un lecteur de DVD de salon, à en juger la facture il s'élève à plus de 500 euros ! Et je n'ai pas encore regardé entièrement le caddie, mais il me semble bien plein...
(Première parution dans le magazine Securimag)
Note: A la suite de ces reportages, le début des problèmes: gardes à vue, perquisitions, menaces, diffusions de fausses informations...
(Le Confidentiel) article du 2004-04-17
|
|