GIE Cartes Bancaires

Explications : L’an passé plus de 5 millions de français ont effectué un règlement par carte bancaire via internet. Pour cette opération, on demande simplement de taper dans les cases idoines d’un formulaire en ligne, le numéro de la carte, sa date d’expiration, le nom du porteur et éventuellement le type de carte.

On vous dit que c’est maintenant hyper sécurisé et qu’il n’y a plus aucun risque qu’il y ait piratage des informations pendant la transaction, que les messages sensibles qui s’échangent entre votre ordinateur et le serveur de paiement sont cryptés au moins SSL 128 bits. C’est possible, mais les banques et le GIE Carte Bancaire oublient d’expliquer que de nombreuses personnes disposent de ces informations théoriquement confidentielles, il s’agit des commerçants chez qui vous avez utilisé votre carte bancaire.

 A la fin de chaque transaction, le terminal de paiement électronique (TPE) édite deux tickets, le premier pour le client et l’autre pour le commerçant. Sur le ticket client assez soft, les premiers chiffres du N° de CB sont depuis un peu plus d’un an, remplacés par des "-", pour ne pas laisser trainer son numéro sur un vieux ticket.

 Par contre sur le ticket "commerçant", on trouve la date précise de la transaction ("19/11/02"), l’heure à la seconde près ("09h32m43"), détails qui ont leur importance en particulier quand comme Jacques Mellick, bigbrotherisé à l’insu de son plein gré, on tente de fournir un alibi à un dirigeant sportif et qu’au même moment on paye un péage d’autoroute avec sa CB. Mais beaucoup plus grave, on trouve en clair les 16 digits de la carte ainsi que sa date de fin de validité. Il suffit que le commerçant note sur le ticket, le nom qu’il a lu sur la carte bancaire et il dispose ainsi de toutes les informations lui permettant d’effectuer un règlement sur Internet... On pourrait même imaginer qu’il revende ces précieuses données à quelques e-escrocs.

 Pourquoi le commerçant dispose t’il de ces renseignements ? Quand on accepte des paiements par carte bancaire, les transactions numériques sont stockées temporairement sur le terminal et envoyées ensemble en une fois la nuit via le modem intégré de l’appareil. Le terminal pourrait tomber en panne et ce serait au commerçant de prouver la réalité des paiements effectués dans la journée, d’où la trace papier...

 Pour pallier à cet impératif de sécurité et pour éviter les risques d’escroquerie par divulgation des informations, la solution serait que ne soit imprimé sur le ticket papier qu’un algorithme calculé à partir du code commerçant et du numéro de carte bancaire.