Les banques européennes sont sur le pied de guerre. Du moins c'est ce qu'on peut supposer puisqu'un universitaire anglais, Ross Anderson, spécialiste de la sécurité informatique, vient de réussir, en laboratoire, à contourner le code secret des cartes à puce.

Ces dernières sont réputées plus sûres que les cartes magnétiques en raison du code confidentiel exigé. Mais Ross Anderson a découvert comment fausser le dialogue entre une carte utilisant le standard EMV (Europay-Mastercard-Visa) et un terminal de paiement, de manière à faire croire à tort à celui-ci que le porteur de cartes a tapé son code. 

"C'est un concept de fraude que nous connaissons, sous le nom de 'man in the middle'. La nouveauté est que ce professeur a réussi à le mettre en oeuvre il y a quelques semaines", a expliqué Jean-Marc Bornet, administrateur du Groupement des cartes Bancaires CB, confirmant des informations du Figaro.

Le scénario, pour l'instant, reste "académique", a tempéré l'administrateur du Groupement cartes Bancaire CB, qui réunit près de 140 établissements financiers et opère une grande partie des systèmes de paiement et de retraits européens.

Seulement avec des cartes volées

"Le procédé requiert un matériel lourd [...]. Il faudra du temps pour miniaturiser un tel équipement", a-t-il expliqué. De plus, le leurre ne trompe pas les serveurs lorsque les transactions font l'objet d'une demande d'autorisation vers la banque du client, c'est-à-dire lors des retraits dans les distributeurs, des paiements par Internet, et des achats dans un magasin d'un gros montant. Seules circonstances possibles du leurre : les achats dans les magasins de petits montants - quelque dizaines d'euros -, car les transactions ne requièrent pas de demande d'autorisation.

Par ailleurs, la fraude potentielle ne lèserait pas les clients mais les banques. "Le système ne fonctionne qu'avec de vraies cartes, donc des cartes volées, et dans ce cas les clients sont protégés par leur contrat", a affirmé Jean-Marc Bornet.

Les banques et le Groupement des cartes bancaires sont néanmoins mobilisées pour résoudre au plus vite cette faille de sécurité, a-t-il ajouté. Les détenteurs des 500 millions de cartes à puce concernées en Europe (60 millions en France) y seront sensibles.