J'ai toujours lu que l'authentification de la CB était statique, c'est à dire
qu'elle se limite à la vérification par le terminal de paiement d'une signature
numérique. Cette authentification statique n'empèche pas la réalisation de
clones.
Or je viens de trouver un article qui affirme qu'il y a bien une authentification
dynamique, mais que celle-ci n'est utilisée que lorsque il y a un appel à un
centre de controle.
C'est là:
http://www.linternaute.com/science/technologie/dossiers/05/0512-codes-secrets/12.shtml
Je cite:
"La carte possède une troisième sécurité : une clé secrète K. Le terminal interroge
un centre de contrôle à distance, qui envoie à la carte une valeur aléatoire x (3).
La carte calcule alors, à l'aide de la fonction f de chiffrement du DES (ou du triple
DES depuis 1999), de x et de K, y=f(x,K). Cette valeur y est retransmise au centre
(4), qui lui-même calcule f(x,K). Si le centre et le terminal arrivent au même résultat,
l'autorisation est donnée (5)."
La question que l'on peut légitimement se poser est de savoir pourquoi cela n'est pas
utilisé par TOUS les terminaux ?
j'ai une petite question qui, dans la pratique, m'a toujours intrigué.
Le problème est le suivant: Si la carte du client "X" est introduite dans le terminal pour une opération de "Y" euros, et que la transaction est acceptée sans problème, il est alors impossible d'effectuer pour le même client "X" une nouvelle opération pour un montant IDENTIQUE de "Y" euros pendant une période d'environ 10 minutes. [...]
Savez-vous ce qui explique ce phénomène ? Est-ce une sécurité pour empêcher des doubles facturations ?
vous avez déjà la réponse, c'est en effet une protection contre la double-transmission d'une opération; la règle exacte est ici propre au réseau bancaire interrogé (le réseau belge en général ou celui de Banksys en particulier).
ce type de règle est assez courant, en France des demandes d'opérations sans autorisation de paiement (VAD par exemple) seront refusées si elles sont proches dans le temps et au profit du même compte (montant identique ou très différent) et même avec autorisation, je pense que des opérations identiques seront également bloquées.
Sylvain.
Richard wrote on 23/01/2006 16:34:
j'ai une petite question qui, dans la
pratique, m'a toujours intrigué.
Le problème est le suivant: Si la carte du client "X" est
introduite dans le terminal pour une opération de "Y" euros,
et que la transaction est acceptée sans problème, il est
alors impossible d'effectuer pour le même client "X" une
nouvelle opération pour un montant IDENTIQUE de "Y"
euros pendant une période d'environ 10 minutes. [...]
Savez-vous ce qui explique ce phénomène ? Est-ce une
sécurité pour empêcher des doubles facturations ?
vous avez déjà la réponse, c'est en effet une protection contre la
double-transmission d'une opération; la règle exacte est ici propre au
réseau bancaire interrogé (le réseau belge en général ou celui de
Banksys en particulier).
ce type de règle est assez courant, en France des demandes d'opérations
sans autorisation de paiement (VAD par exemple) seront refusées si elles
sont proches dans le temps et au profit du même compte (montant
identique ou très différent) et même avec autorisation, je pense que des
opérations identiques seront également bloquées.
j'ai une petite question qui, dans la pratique, m'a toujours intrigué.
Le problème est le suivant: Si la carte du client "X" est introduite dans le terminal pour une opération de "Y" euros, et que la transaction est acceptée sans problème, il est alors impossible d'effectuer pour le même client "X" une nouvelle opération pour un montant IDENTIQUE de "Y" euros pendant une période d'environ 10 minutes. [...]
Savez-vous ce qui explique ce phénomène ? Est-ce une sécurité pour empêcher des doubles facturations ?
vous avez déjà la réponse, c'est en effet une protection contre la double-transmission d'une opération; la règle exacte est ici propre au réseau bancaire interrogé (le réseau belge en général ou celui de Banksys en particulier).
ce type de règle est assez courant, en France des demandes d'opérations sans autorisation de paiement (VAD par exemple) seront refusées si elles sont proches dans le temps et au profit du même compte (montant identique ou très différent) et même avec autorisation, je pense que des opérations identiques seront également bloquées.
Sylvain.
Roland Le Franc
Comment? Quel est donc cet organisme français qui possède toutes les clés secrètes symétriques (DES ou 3DES) des CB françaises? Et utilisées à longueur de journée par une application en ligne!
J'ai du mal lire, non?
"La carte possède une troisième sécurité : une clé secrète K. Le terminal interroge un centre de contrôle à distance, qui envoie à la carte une valeur aléatoire x (3). La carte calcule alors, à l'aide de la fonction f de chiffrement du DES (ou du triple DES depuis 1999), de x et de K, y=f(x,K). Cette valeur y est retransmise au centre (4), qui lui-même calcule f(x,K). Si le centre et le terminal arrivent au même résultat, l'autorisation est donnée (5)."
Comment?
Quel est donc cet organisme français qui possède toutes les clés
secrètes symétriques (DES ou 3DES) des CB françaises?
Et utilisées à longueur de journée par une application en ligne!
J'ai du mal lire, non?
"La carte possède une troisième sécurité : une clé secrète K. Le
terminal interroge
un centre de contrôle à distance, qui envoie à la carte une valeur
aléatoire x (3).
La carte calcule alors, à l'aide de la fonction f de chiffrement du DES
(ou du triple
DES depuis 1999), de x et de K, y=f(x,K). Cette valeur y est retransmise
au centre
(4), qui lui-même calcule f(x,K). Si le centre et le terminal arrivent
au même résultat,
l'autorisation est donnée (5)."
Comment? Quel est donc cet organisme français qui possède toutes les clés secrètes symétriques (DES ou 3DES) des CB françaises? Et utilisées à longueur de journée par une application en ligne!
J'ai du mal lire, non?
"La carte possède une troisième sécurité : une clé secrète K. Le terminal interroge un centre de contrôle à distance, qui envoie à la carte une valeur aléatoire x (3). La carte calcule alors, à l'aide de la fonction f de chiffrement du DES (ou du triple DES depuis 1999), de x et de K, y=f(x,K). Cette valeur y est retransmise au centre (4), qui lui-même calcule f(x,K). Si le centre et le terminal arrivent au même résultat, l'autorisation est donnée (5)."
Erwann ABALEA
On Wed, 25 Jan 2006, Roland Le Franc wrote:
Quel est donc cet organisme français qui possède toutes les clés secrètes symétriques (DES ou 3DES) des CB françaises? Et utilisées à longueur de journée par une application en ligne!
Le GIE CB, qui fournit ces clés à des opérateurs, par exemple Experian.
J'ai du mal lire, non?
Non. J'ai eu entre les mains de tels boitiers. Le GIE CB est venu insérer la clé mère, le boitier se chargeant de dériver tout seul les clés banque et utilisateur, et de vérifier le certificat.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- GA> Pas grave va, je me calmerai, je pondrai peut être un autre AÀD, et GA> on le découpera à la tronçonneuse ce fcolc. D'accord, mais alors on s'arrange pour qu'il n'y ait aucun survivant. -+-AGV in: Guide du Neuneu d'Usenet - Les neuneux fligueurs -+-
On Wed, 25 Jan 2006, Roland Le Franc wrote:
Quel est donc cet organisme français qui possède toutes les clés
secrètes symétriques (DES ou 3DES) des CB françaises?
Et utilisées à longueur de journée par une application en ligne!
Le GIE CB, qui fournit ces clés à des opérateurs, par exemple Experian.
J'ai du mal lire, non?
Non. J'ai eu entre les mains de tels boitiers. Le GIE CB est venu insérer
la clé mère, le boitier se chargeant de dériver tout seul les clés banque
et utilisateur, et de vérifier le certificat.
--
Erwann ABALEA <erwann@abalea.com> - RSA PGP Key ID: 0x2D0EABD5
-----
GA> Pas grave va, je me calmerai, je pondrai peut être un autre AÀD, et
GA> on le découpera à la tronçonneuse ce fcolc.
D'accord, mais alors on s'arrange pour qu'il n'y ait aucun survivant.
-+-AGV in: Guide du Neuneu d'Usenet - Les neuneux fligueurs -+-
Quel est donc cet organisme français qui possède toutes les clés secrètes symétriques (DES ou 3DES) des CB françaises? Et utilisées à longueur de journée par une application en ligne!
Le GIE CB, qui fournit ces clés à des opérateurs, par exemple Experian.
J'ai du mal lire, non?
Non. J'ai eu entre les mains de tels boitiers. Le GIE CB est venu insérer la clé mère, le boitier se chargeant de dériver tout seul les clés banque et utilisateur, et de vérifier le certificat.
-- Erwann ABALEA - RSA PGP Key ID: 0x2D0EABD5 ----- GA> Pas grave va, je me calmerai, je pondrai peut être un autre AÀD, et GA> on le découpera à la tronçonneuse ce fcolc. D'accord, mais alors on s'arrange pour qu'il n'y ait aucun survivant. -+-AGV in: Guide du Neuneu d'Usenet - Les neuneux fligueurs -+-
niis
Le GIE CB, qui fournit ces clés à des opérateurs, par exemple Exper ian.
Non. J'ai eu entre les mains de tels boitiers. Le GIE CB est venu insér er la clé mère, le boitier se chargeant de dériver tout seul les clé s banque et utilisateur, et de vérifier le certificat.
Chaque banque détient ses propres clefs. Elle peut éventuellement dériver elle même les secrets de ses cartes, elle peut également fournir ses clefs à un opérateur qui se charge alors de calculer les secrets de chaque carte. Cet opérateur se charge ensuite de personnaliser chaque puce avec ces secrets dérivés et de l'encarter.
Pour certaines fonctions il existe des clefs inter-bancaires dont une partie est sous la responsabilité du GIE et l'autre sous celle d'une banque (désignée en accord avec les autres).
Bref, le GIE CB ne détient directement aucune clef. Ce qui est par contre vrai c'est qu'une partie du matériel permettant de tirer et dériver des clefs est mis à disposition des banques par le GIE, essentiellement pour mutualiser les coûts. Certaines banques utilisent cependant leur propre matériel.
Le GIE CB, qui fournit ces clés à des opérateurs, par exemple Exper ian.
Non. J'ai eu entre les mains de tels boitiers. Le GIE CB est venu insér er
la clé mère, le boitier se chargeant de dériver tout seul les clé s banque
et utilisateur, et de vérifier le certificat.
Chaque banque détient ses propres clefs. Elle peut éventuellement
dériver elle même
les secrets de ses cartes, elle peut également fournir ses clefs à un
opérateur qui se charge alors de calculer les secrets de chaque carte.
Cet opérateur se charge ensuite de personnaliser chaque puce avec ces
secrets dérivés et de l'encarter.
Pour certaines fonctions il existe des clefs inter-bancaires dont une
partie est sous la responsabilité du GIE et l'autre sous celle d'une
banque (désignée en accord avec les autres).
Bref, le GIE CB ne détient directement aucune clef. Ce qui est par
contre vrai c'est qu'une partie du matériel permettant de tirer et
dériver des clefs est mis à disposition des banques par le GIE,
essentiellement pour mutualiser les coûts. Certaines banques utilisent
cependant leur propre matériel.
Le GIE CB, qui fournit ces clés à des opérateurs, par exemple Exper ian.
Non. J'ai eu entre les mains de tels boitiers. Le GIE CB est venu insér er la clé mère, le boitier se chargeant de dériver tout seul les clé s banque et utilisateur, et de vérifier le certificat.
Chaque banque détient ses propres clefs. Elle peut éventuellement dériver elle même les secrets de ses cartes, elle peut également fournir ses clefs à un opérateur qui se charge alors de calculer les secrets de chaque carte. Cet opérateur se charge ensuite de personnaliser chaque puce avec ces secrets dérivés et de l'encarter.
Pour certaines fonctions il existe des clefs inter-bancaires dont une partie est sous la responsabilité du GIE et l'autre sous celle d'une banque (désignée en accord avec les autres).
Bref, le GIE CB ne détient directement aucune clef. Ce qui est par contre vrai c'est qu'une partie du matériel permettant de tirer et dériver des clefs est mis à disposition des banques par le GIE, essentiellement pour mutualiser les coûts. Certaines banques utilisent cependant leur propre matériel.
