Vu d'ensemble sur les résultats de l'analyse de sécurité

En principe...

... on a constaté que la Postcard est identique à la carte bancaire (vielle) française qui s'appelle Carte Bleue, en ce qui concerne sa construction technique. C'est en 1998 qu'on a déjà craqué (texte en français) cette carte.

L'analyse de sécurité a révélé que la Postcard - même aujourd'hui - utilise un algorithme RSA pour s'authentifier (pour se valider) envers des terminaux PDV, avec une longueur de clé de seulement 320 bits. Une clé avec une longueur comparable a été craquée (RSA-100) déjà en 1991 pour la première fois. Aujourd'hui un PC usuel peut aussi le faire en quelques heures (voyez la description).

Avec la connaissance de la clé RSA de la PostFinance c'est possible de produire des cartes doubles qui sont considéré comme valides (authentiques) par des terminaux PDV. Et même sans avoir la connaissance de cette clé c'est possible de copier des cartes "Postcard"; vous trouvez les informations nécessaires pour ce procès sur la Postcard elle-même - sans aucune protection. C'est possible de les lire avec un lecteur de carte à puce courants qui sont disponibles en vente (~CHF 75) - sans même avoir le code PIN!

Dans une description détaillée vous recevez les informations nécessaires pour comprendre l'analyse de sécurité d'un point de vue technique. Ce que vous avez besoin pour suivre ce procès décrit c'est un PC, un lecteur de cartes à puce et une Postcard.

La circonvention de l'interrogation du code PIN sur des Postcards reproduites

À cause d'une particularité dans le procès de la Postcard pour authentifier l'utilisateur autorisé c'est possible de contourner l'interrogation du code PIN, si la carte insérée est reconnue comme Postcard authentique par le terminal. Laissez-nous voir le procès d'une interrogation du code PIN sur un terminal EFT/PDV:

Procès normal (p. ex. avec des cartes EC)

Habituellement le procès d'une interrogation du code PIN avec des cartes de débit (cartes EC) se déroule comme suivant:

Le code PIN entré et les données qui se trouvent sur la bande magnétique de la Postcard sont lus par le terminal TPE/PDV et envoyés à l'exploitant du réseau. Après ce le code PIN devient vérifié dans des centres spéciaux de l'authentification d'où le résultat est retourné au terminal. Basé à ce résultat retourné le terminal décide si la transaction est faite.

La vérification du code PIN d'une Postcard

Par contre le procès de la vérification du code PIN sur des terminaux de la Postcard se déroule comme suivant:

Si la carte insérée est reconnue comme une Postcard authentique par le terminal, l'authentification du code PIN est faite sur la carte elle-même! C'est la Postcard qui dit au terminal si le code PIN entré est correct.

En réussissant de produire une Postcard authentique c'est possible de la programmer d'une façon pour qu'elle fasse le terminal accepter n'importe quel code PIN. C'est pourquoi l'authentification de l'utilisateur autorisé peut être entourloupée.

Chronologie des événements

Une chronologie des événements en France et en Suisse informe sur la démarche des experts de sécurité et aussi des banques et des organes de l'État y inclus (la politique, la justice, ...).