Le Monde, la pub éditoriale et la peur du vilain méchant hacker

Posted on 24 février 2011

0


Acheter des coordonnées bancaires sur le Web ne coûte que quelques euros

Le décor est planté, selon Le Monde, n’importe qui peut s’offrir un numéro de carte de crédit sur le Net, presque gratos. Erreur ! Pourquoi payer, je vous le demande, alors que tous les outils pour virtualiser une carte de crédit sont disponibles gratuitement.

Curieux article qui cite seulement Symantec et Mac Affee, les alarmistes qui vivent de la peur du virus. Plutôt que de l’information, on y lit des allégations  mélangeant déni de service, recherche Google et un underground qui représente une menace sérieuse. Enfin, on y apprend que l’on peut en quelques secondes cliquer sur Fire et attaquer un site.  Si effectivement PayPal et autres ont subi un DdOS, c’était parce qu’ils avaient coupé les vivres à Wikileaks (dont Le Monde a obtenu la primeur) ) sous la pression du Département d’état américain. Avec ce genre d’article bidon, on va droit à l’interdiction d’Internet, ce qui est compréhensible quand on voit la médiocrité du travail d’investigation des journalistes de la presse écrite: l’éradication d’une concurrence gratuite, disponible en temps réel et non pilotée par des enjeux économiques est une priorité pour tous les patrons de presse liés au pouvoir.

Comment obtenir un numéro de carte de crédit valide

Pas besoin d’en faire un fromage mondesque :  il suffit de télécharger gratuitement depuis Source Forge CVV2 Generator pour générer le code de vérification à 3 chiffres. Pour créer une VISA ou une MASTERCARD, il existe des applications gratuites depuis environ 10 ans, disponibles sur des sites web comme le blog de Graham King ou ce site.

Mieux encore, fakenamegenerator vous permet de créer une fausse identité à la demande, avec carte de crédit et de Sécu. Gratuit… Au fait, comment se fait-il que Le Monde ne mentionne pas la faillibilité des cartes de crédit émises par le GIC ou le fameux PIN soit-disant inviolable  ? On aurait aimé lire dans le quotidien un article un peu plus technique faisant l’inventaire des vulnérabilités et failles des cartes bancaires.  On aurait aimé savoir pourquoi le fameux CVV, qui sert à valider une transaction unique, n’est pas redemandé sur certains sites de paiement. On aurait adoré une interview du Groupement des cartes bancaires avec de vraies questions pour connaître leur réponse à la démonstration d’achat  SANS CODE PIN d’Omar Choudary, le chercheur de Cambridge que les banksters anglais ont cherché à museler. Du vrai journalisme d’investigation, par un entretien par téléphone avec des clones d’Amerikkka Inc qui font de la pub pour leurs produits (je me suis toujours demandé combien ils filaient aux hackers pour fabriquer les virus qui leurs assurent leurs dividendes boursiers).

Payez vous un abonnement au Monde avec une YesCard ou téléchargez les éditions complètes sur le Pire tout Pire … Retour en arrière de 10 ans avec un article de sur la question:

Des Hackers ont expérimenté avec succès la Yescard (émulateur de carte bancaire) et ont même développé des logiciels et boîte à outils intégrés permettant en quelques clics, de faciliter la lecture de carte bancaire, le décodage et la présentation des informations, les calculs cryptographiques, le clonage de carte bancaire, l’émulation des cartes bancaires

Les promoteurs de ce projet de Yescard indiquent que leurs intentions sont purement didactiques, il est impossible que la Yescard serve réellement à frauder puisqu’il y a des protections empêchant son utilisation (notamment la vérification visuelle de l’hologramme sur la carte par le commerçant) et nos gouvernants ne nous aurait tout de même pas menti pour protéger des intérêts purement privés ?

Le logiciel geZeroLee !

Le logiciel geZeroLee fait par un hacker avec l’outil de programmation Delphi est l’exemple le plus abouti du résultat de ces recherches sur la Yescard.

Ce logiciel, très complet, permet, pour ceux disposant du matériel adéquat (ce qui n’est pas notre cas), d’intégrer pratiquement toutes les fonctions imaginables autour de la carte bancaire en juste quelques clics.
L’utilisateur qui a réussi à exécuter le logiciel (faut savoir lire), peut :
– explorer directement sa carte bancaire connectée à un lecteur adapté (nous n’avons pas testé cette fonctionnalité car nous n’avons pas ce matériel)
– envoyer/recevoir des commandes ISO à la carte,
– logger les échanges entre la carte et un lecteur,
– lire le contenu de la carte et présenter les informations sous forme intelligible (Identification, décodage de la valeur d’authentification)
– lire et décoder l’historique des transactions carte bancaire archivées après saisie du code confidentiel à 4 chiffres
– sauvegarder le contenu d’une carte bancaire
– Encoder/Décoder le code Pin à 4 chiffres

D’autres fonctions de ce logiciel sont réservées à un usage avancées
– Appeler des fonctions cryptographiques de la carte à partir du jeu secret
– Générer des valeurs d’authentification à partir d’un numéro de carte à 16 chiffres rentré à la main par calcul cryptographique
– Cloner une carte bancaire existante
– Créer une Yescard à partir d’un numéro à 16 chiffres
– Générer des fichiers .HEX pour la Yescard
– Transférer le programme .HEX sur la carte à puce programmable et créer une véritable Yescard

Pour ceux qui n’ont pas compris, ce logiciel permet tout simplement d’industrialiser la fabrication de Yescard en quelques clics.

Log des échanges entre un décodeur de télévision et une Yescard !

Des Hackers ont réussi à effectuer une transaction d’achat de jetons pour voir des films à la séance sur un décodeur de télévision satellite d’une célèbre chaine cryptée.
Cela peut être prouvé, car le fichier de log d’un échange de cette transaction historique, a été publié sur Internet le 25 mai 2001.
Plus surprenant encore, ce fichier de log permet d’apprendre des choses très choquantes : le décodeur ne vérifie pas la valeur d’authentification de la carte ! On ne voit pas l’intérêt d’installer des protections sur une carte – fut elle obsolète – si les systèmes de paiement ne les exploite pas !
Ce n’est pas possible, il doit y avoir une fonction de sécurité cachée dans les systèmes de paiement par carte bancaire, on ne va tout de même pas nous faire croire que des systèmes contrôlés par des polytechniciens et des gens largement mieux payés que nous seraient spécialement adaptés pour le piratage.
Si ca continue, on va finir par croire que les banques font des profits grâce à la fraude., mais c’est tout de même du recel, ceux qui prétendre faire de la morale et de la répression quitte à bafouer les droits fondamentaux devraient au moins montrer l’exemple !
Voir aussi vulnérabilité par émulation comportement carte bancaire sans valeur d’authentification

La suite ?

Serge Humpich avait fait une Yescard fonctionnant sur tous les terminaux de paiement.
La Yescard dont la preuve de l’efficacité de fonctionnement est établie tel qu’indiqué plus haut ne fonctionne pas dans tous les cas car le système de paiement par carte bancaire a légèrement évolué.
En effet, cette Yescard n’a été expérimentée que sur des décodeurs de télévision chiffrée qui disposent de moins de contrôle de sécurité (ne vérifie même pas la valeur d’authentification, ce qui est scandaleux)
Bien sûr, la Yescard ne fonctionne pas dans tous les cas, ceux qui l’utilisent réellement risquent de se faire pincer et encourrent des poursuites judiciaires sans pitié.
Il est même impossible que la Yescard serve réellement à frauder puisqu’il y a des protections empêchant son utilisation (notamment la vérification visuelle de l’hologramme sur la carte par le commerçant) et nos gouvernants ne nous aurait tout de même pas menti pour protéger des intérêts purement privés ?
Il y a d’autres protections : la vérification de la valeur d’authentification mais certains Hackers ont diffusé un logiciel permettant de générer de telles Valeurs d’authentification à 320 bits comme nous l’avons vu mais la Valeur d’authentification allongée de 768 bits n’est pas actuellement cassée.
Il parait également impossible pour les Hackers de générer un certificat de paiement (il est imprimé sur la facturette) valide car cela requiert des informations secrètes sur la puce inviolable.

Apparemment, il existerait aussi d’autres mesurettes de protections additionnelles sur les nouveaux terminaux de paiement qui devraient freiner (au moins de 24 heures) l’avancée des Hackers et empêcher, dans une certaine mesure, l’extension de la fraude.

En conclusion, même dans l’hypothèse absurde d’une faute très lourde de conception de la part des promoteurs de la carte bancaire, c’est véritablement une impossible accumulation de plusieurs obstacles techniques insurmontables qui rend la Yescard inutilisable pour faire des transactions réelles valides. Tout le monde le dit (notamment Fabius, les banques et le journal « La Croix ») et si eux on ne peut pas les croire alors vraiment à qui peut on faire confiance car nous on leur donnerait vraiment notre main à couper.
La carte bancaire à puce franco-française reste inviolable, impénétrable, infalsifiable, incopiable et inpiratable et le site parodie.com un vaste canular.

La révocation des cartes bancaires à puce

Bien entendu, il est primordial que les banquiers n’incitent pas à nouveau les fraudeurs à utiliser frauduleusement de tels outils en laissant subsister toutes les failles connues depuis plusieurs décennies. Pour cela, il n’y a pas 36 moyens : il faut révoquer immédiatement la puce de la carte bancaire. Toute nouvelle émission de carte bancaire en l’état est un dol caractérisé.
Le président du conseil de Direction du cartel des banques l’avait promis courant 2000 : en cas d’apparition d’une Yescard, il renouvellerait toute les cartes en circulation pour n’utiliser que des puces véritablement sûres.
Comme on n’a vraiment pas de raison de penser que ces hauts dirigeants puissent ne pas tenir leurs promesses faites publiquement, nous vous invitons à détruire immédiatement votre carte bancaire, une nouvelle carte sécurisée vous parviendra automatiquement la semaine prochaine sans avoir besoin de le réclamer à votre banque !
Ce plan de remplacement des cartes bancaires avait en effet été prévu de longue date, comme on peut le voir dans ce document interne du cartel des banques intitulé matrice de risques internes que nous avons publié le 18/10/2000
Le risque « Apparition de cartes ‘yescard' » est noté comme le rique le plus grave (échelle 3,2 sur 4) et parmi l’un des plus probables (échelle 3,3 sur 4)
Comme cela était prévu par les banques depuis 1 an, le plan de renouvellement des cartes a été mis au point, le stock de nouvelles cartes EMV utilisant nécessairement l’authentification dynamique online clés RSA 4096 bits est déjà prêt, il n’y a vraiment aucune crainte à avoir et si votre carte ne vous parvient pas d’ici la semaine prochaine, cela ne peut être dû qu’à une grève surprise du courrier.

Publicités