Seulement après que la technique de la Postcard a été révélée au 23C3 à Berlin la PostFinance a pris position concernant les problèmes de sécurité:
On peut classifier les déclarations de la PostFinance en deux catégories:
| Le système Postcard ne correspond pas à celui des cartes bancaires françaises. C'est pourquoi les problèmes de sécurité mentionnés à la conférence ne sont pas importants. [2] (traduit librement de l'allemand) |
Dans une description technique détaillée on peut voir que la Postcard montre exactement l'attitude d'une carte française et que les descriptions et les instructions qui sont disponibles sur des pages web françaises peuvent être appliquer à la Postcard.
Ces faits devraient être bien connus par les collaborateurs de la PostFinance chargés de cette affaire.
| Dès l'été 2006 la PostFinance distribue une Postcard avec l'application de puce EMV conformant à la plus nouvelle technique de sécurité. Aujourd'hui la plupart des transactions sont déjà faites utilisant cette forme de traitement. [2] (traduit librement de l'allemend) |
Une première analyse de la nouvelle Postcard a révélé qu'elle est en principe capable de travailler après le standard EMV. Mais l'analyse a aussi montré qu'elle (aussi) utilise la méthode d'authentification vieille. Si vous possédez une de ces méthode d'authentification (nouvelles) cartes vous pouvez quand-même suivre les explications données dans la partie technique et vous pouvez constater que le problème n'est pas résolu. Il y a encore des terminaux PDV en service qui continuent à interagir de la manière vieille avec la nouvelle Postcard.
| Sans le code PIN, qui seulement le titulaire de la Postcard connaît, il n'est pas possible d'effectuer des transactions avec la Postcard. [2] (traduit librement de l'allemenad) |
Cette déclaration même est en contradiction avec les conditions de participation de la Postcard. Additionnellement il est connu qu'on utilisant le service Debit Direct on peut payer avec la Postcard sans entrer un code PIN.
| La PostFinance attribue une grande importance à la sécurité des opérations financières. C'est valide particulièrement pour des transactions avec la Postcard. (traduit librement de l'allemand) |
C'est évident pour un institut qui a l'attitude d'une banque. Il ne doit pas être nécessaire de le mentionner particulièrement.
| La PostFinance a pris des mesures d'envergure et coûteuses pour augmenter la sécurité des cartes. (traduit librement de l'allemand) |
Parce que même pas la clé compromise a été remplacée on se peut poser la question pour quoi l'argent a été dépensé. Si la clé compromise n'est pas important pour la sécurité, pourquoi est-ce qu'elle c'est trouve sur toutes les cartes Postcard - même sur les nouvelles cartes EMV?
| La sécurité de la Postcard n'est dépend pas seulement d'un élément de sécurité, mais d'une combinaison de plusieurs éléments de sécurité. En demandant si la Postcard est sûre on doit tenir compte de tous les éléments de sécurité. (traduit librement de l'allemand) |
Une analyse de sécurité complète n'est pas possible parce qu'en [1] la PostFinance déclare clairement: "Les méthodes de sécurité utilisées par nous sont confidentielles pour des raisons évidentes. C'est pourquoi nous vous ne les pouvons pas expliquer en détail."
Il y a seulement une raison évidente pour sécurité par obscurité: On n'a pas de confidence en son propre système de sécurité parce qu'une simple explication de son fonctionnement est capable de casser sa sécurité. Des bonnes solutions de sécurité n'ont pas de problème avec cette approche - donc la méthode de la Postcard ne peut pas être bonne...