Dans un billet intitulé Joyeux Noël à tous les banquiers, l’université de Cambridge répond à un courrier qui lui a été adressé par l’association anglaise des émetteurs de cartes de crédit pour qu’elle censure le blog d’un de ses chercheurs, Omar Choudary, dont j’avais évoqué les découvertes en matière de sécurité des cartes bancaires. Ce dernier avait notamment démontré qu’il est possible de faire des achats avec une carte volée et de court-circuiter la demande d’autorisation du code PIN.
La Faille PIN
Lorsque vous insérez une carte dans un terminal, une négociation a lieu sur la façon dont le détenteur doit être authentifié: à l’aide d’un code PIN, d’une signature ou pas du tout. Ce sous-protocole particulier n’est pas authentifié, de sorte qu’il est possible de « tromper » la carte en lui faisant croire que la transaction se fait sur une base puce/signature quand le terminal attend une transaction puce/PIN. Le résultat est que vous pouvez acheter des choses en utilisant une carte volée et un code PIN de 0000 (ou ce que vous voulez). Cela a été fait devant une caméra, en utilisant les cartes de divers journalistes. Les transactions ont abouti et les factures portent la mention « Vérifié par code PIN ».
Essentially, it places in the public domain a blueprint for building a device which purports to exploit a loophole in the security of chip and PIN.
Mais l’Université ne semble pas disposée à se laisser gouverner par quelques banquiers hypocrites qui préfèrent que ce soient des hackers qui exploitent la faille à condition que cela ne sa sache pas trop et enfoncent le clou. Leur réponse :
[...] vous semblez penser que nous pourrions censurer thèse d’un étudiant, qui est licite et déjà dans le domaine public, tout simplement parce que des intérêts puissants s’en trouvent dérangés. Cela montre une profonde méconnaissance de ce que les universités sont et comment elles oeuvrent.
Cambridge est l’Université d’Erasme, de Newton et de Darwin; censurer les écrits qui portent atteinte aux puissants est une offense à nos valeurs les plus profondes. Ainsi, même si la décision de mettre en ligne thèse a été celle d’Omar, nous n’avons pas d’autre choix que de le soutenir. Ce serait vrai également, même si nous n’étions pas d’accord avec le contenu! En conséquence, j’ai autorisé la thèse à paraître en tant que rapport technique d’un laboratoire informatique. Il sera ainsi plus facile pour les personnes de la trouver et de la citer [...]
Belle leçon de transparence…avis aux BESSON, LOPPSI, HADOPI…