L’affaire Humpich et

le régime juridique de la
carte bancaire
Introduction
 Introduction

„ Le mode de paiement privilégié des Français

 Introduction

„ 6 milliards de transactions en 2004 en France

Plan de l’exposé
 Plan de l’exposé

I. Présentation de la Carte Bancaire

1. Historique de la carte à puce
2. Principe de fonctionnement
 Plan de l’exposé

II. Affaire Humpich

1. La démarche de Serge Humpich
2. Le commentaire d’arrêt
3. Avis d’experts sur la décision de justice
4. Humpich aujourd’hui
 Plan de l’exposé

III. Régime juridique de la Carte Bancaire

1. Avant l’affaire Humpich
2. Les ajouts législatifs
3. Les chiffres actuels de la fraude à la
Carte Bancaire
I. Présentation de la
Carte Bancaire
1. La carte à puce
2. La Carte Bancaire
3. Principe de fonctionnement
 La carte à puce

„ Inventée en 1974 par un Français

Roland Moreno
 La Carte Bancaire

„ Lapuce est une sorte de petit ordinateur,

avec :
– un processeur peu puissant qui permet
d'effectuer des calculs,
– une mémoire dont :
ƒ une partie est accessible en écriture
(enregistrement de l'historique des transactions),
ƒ une autre en lecture seule,
ƒ et enfin une dernière en lecture cachée.
 La Carte Bancaire
„ 1967 : premières cartes de paiements
„ 1971 : premier DAB (distributeur automatique de billets)
„ 1980 : premiers TPE (terminaux de paiements
électroniques)
„ 1984 : création du GIE CB
„ 1992 : généralisation de la puce sur les cartes (320 bits)
„ 1999 : affaire Humpich (yescard et clonage)
„ 2001 : amélioration du système de sécurité (768 bits)
 Principe de fonctionnement

„ Fonctionnement en trois étapes

– Authentification de la carte
– Vérification du code confidentiel
– Authentification en ligne
 Principe de fonctionnement

„ Authentification de la carte

Envoi d’informations

Authentification

Numéro inconnu
 Principe de fonctionnement

„ Vérification du code confidentiel

Code stocké dans la puce

La carte vérifie le code entré

Code valide Code erroné

 Principe de fonctionnement

„ Authentification en ligne
– Seulement pour les montants importants

Envoi d’un nombre aléatoire X

Renvoie f(K, X)

Vérifie et donne autorisation

II. L’affaire Humpich
II.1 – La démarche de
Serge Humpich
a. Biographie succincte
b. Sa démarche
 Biographie succincte

„ Né à Mulhouse en 1963 d'un

père mineur
„ Ingénieur INSA Lyon,
promotion 1986
„ Expérience de Chef de Projet
informatique dans la banque
et l'industrie
 Sa démarche

„ Ingénieur en électronique-informatique
„ Cartes bancaires pas "inviolables" ou
"infalsifiables"
„ 4 ans de recherches
„ Réalisation de son but
„ Proposition d'amélioration du système
II.2 – Le commentaire
d'arrêt
a. Les faits
b. La procédure
c. Les problèmes posés
d. Les arguments des parties
e. La décision rendue
 Les faits

„ Découverte : met à jour le fonctionnement

des terminaux de paiement
„ Juillet 1998 : entre en relation avec le GIE
Cartes bancaires
„ Après plusieurs contacts : preuves à fournir
„4 août 1998 : GIE Cartes bancaires porte
plainte contre Serge Humpich
„ 17 septembre 1998 : perquisitions et
placement en garde à vue
 La procédure

„ Première instance :
Tribunal de Grande Instance de Paris, 25 février 2000
– Le tribunal fait droit à GIE Carte Bancaire
– Serge Humpich interjette appel

„ Rétractation de Serge Humpich

– Le parquet maintient l’appel

„ Deuxième instance :
Cour d’appel de Paris, 18 décembre 2000
– La cour d’appel confirme le jugement
 Les problèmes posés

„ Y’a-t-il infraction sans volonté de nuire?

„ Une intention innocente dispense-t-elle

de respecter la loi?
 Les arguments des parties

„ Serge Humpich
– Recherches effectuées sur un terminal non
connecté
– Aucune intention de nuire
– Démarche similaire à celle d’un chercheur et
non pas un pirate.
 Les arguments des parties

„ GIE Carte Bancaire

– Extraction de données d’un terminal, élément
du système.
– Conscience d’accéder à un système sans en
avoir l’autorisation.
– Maintenu dans le système afin de décrypter
des données.
– Introduction de données dans le système.
– Contrefaçon de cartes bancaires.
 La décision rendue

„ Déclaré coupable pour:

– Contrefaçon ou falsification de cartes bancaires
– Accès et maintien frauduleux dans un système
– Introduction frauduleuse de données dans un système
– Usage de cartes bancaires contrefaites

„ Condamné à:
– 10 mois de prison avec sursis
– 12 000Frs d’amende et 1Fr de dommages et intérêts
II.3 - Avis d'experts sur
la décision de justice
a. Aspect technique
b. Aspect juridique
 Aspect technique

PATRICK GUEULLE

„ Auteur du livre « PC et
cartes à puces »
- Carte à péages plus sûres
que la CB
- L’émetteur de la CB est
certain de la sécurité de ses
propres cartes.
 Aspect technique

ROLAND MORENO

„ Inventeur de la carte à
mémoire
Les failles étaient
connues depuis 1984 et
met en cause les
banques
 Aspect technique
FRANCE TELECOM

Dans un brevet de 1997

du CCETT, France
Télécom dénonce les
spécifications du système
d’authentification de la
carte bancaire.
 Aspect technique

LOUIS CLAUDE GUILLON

„ Chercheur au CCETT, un des concepteurs

en 1983 du système d'authentification
utilisé dans la carte bancaire.
Æ En 1988, il apporte une note critique de sa
propre invention : le système n’est pas sûr.
 Aspect juridique

MAÎTRE SAYN

„ Dol : Le GIE a trompé ses co-contractants en

garantissant la sécurité du système.

„ Négligence : Le GIE a laissé ses cartes en

circulation avec la connaissance des failles.

„ Défaut d’information : Les clients finaux et les

commerçants ne sont pas prévenus des risques avérés.
 II.4 - Humpich
aujourd'hui
a. Sa situation financière et juridique
b. Médiatisation de l’affaire
c. Un nouveau départ
 Sa situation

„ Août 1999 : licencié de la SSII GFI

Informatique pour faute grave
– Procès pour licenciement abusif (découverte
en dehors du temps de travail)
>règlement à l’amiable

„ Février
2000 : 10 mois avec sursis et
12000 FF d’amende
– Demande l’annulation de la procédure d’appel
sans succès
 Sa situation

„ Période difficile
– Endetté
– Au chômage
– Démoralisé
 Médiatisation de l’affaire

„ Surmédiatisation

„ Janvier 2001 :
– Livre "le cerveau bleu", Ed Xo
 Un nouveau départ

„ Fait table rase sur cette affaire

„ Crée un laboratoire d'électronique
(réalisation de prototypes)

„ Plus de nouvelles de lui après 2002

Les conséquences de cette affaire
III. Régime juridique de
la Carte Bancaire
1. Avant l’affaire Humpich
2. Les ajouts législatifs
3. Quelques chiffres relatifs à
la fraude à la Carte Bancaire
 Avant l’affaire Humpich

„ Avant 1991 : Le droit contractuel s’applique

„ Loi du 30/12/1991 : Loi relative à la sécurité des
chèques et des cartes de paiement
„ Directive européenne du 20/05/1997 :
Article 8
Paiement par carte
Les États membres veillent à ce que des mesures appropriées existent pour que
le consommateur:
- puisse demander l'annulation d'un paiement en cas d'utilisation frauduleuse de
sa carte de paiement dans le cadre de contrats à distance couverts par la
présente directive,
- en cas d'utilisation frauduleuse, soit recrédité des sommes versées en paiement
ou se les voie restituées.
 III. 2 – Les ajouts
législatifs
a. Aspect historique
b. Aspect juridique
 Aspect historique

Quelques chiffres en 2000

Type de fraude 1999 2000

fraude carte bancaire à puce française en france 178 millions F 250 millions F

fraude CB étrangères chez commerçants français 220 millions 360 millions

fraude cartes bancaires françaises à l'étranger 142 millions 195 millions

fraude distributeurs de billets en France 61 millions Env 65 millions

Total > 636 millions > 940 millions

 Aspect juridique

Principales raisons de la loi

„ Une clé mathématique de cryptage

est publiée par un internaute.
„ Lechef du Service central de la sécurité
des systèmes d'information déclare :
« depuis longtemps, la vulnérabilité des
cartes à puce est connue »
 Aspect juridique

Principales raisons de la loi

„ Affaire Humpich
„ Croissance des plaintes des citoyens
„ Chiffres de la fraude en augmentation
 Aspect juridique

Création de la loi 1/2

„ 17 mai 2000
- Proposition de résolution n° 2397
¾ Souhait de créer une commission
d’enquête

„ 29 Juin 2000
- Rapport n° 2530
¾ Proposition n°2397 rejetée

„ 14 Mars 2001
Jean-Pierre Brard
- Projet de loi n° 2938
¾ Sécurité quotidienne
 Aspect juridique

Création de la loi 2/2

„ 18 Avril 2001, Avis n° 2992

- Dépôt de l’avis concernant le chapitre III du
projet de loi

„ 31 Octobre 2001
- Projet de loi adopté par l’Assemblée Nationale

„ 15 Novembre 2001
- Loi promulguée par le Président de la
République
 Aspect juridique

Loi relative à la sécurité quotidienne

„ Le chapitre VI de la loi est spécifique

à la carte bancaire
- Protection des utilisateurs
- Répression envers les fraudeurs
- Extension de la responsabilité
- Nomination d’une autorité de contrôle :
la Banque De France
 Quelques chiffres

EVOLUTION DE LA FRAUDE

2002 2003 2004

fraude totale (en
246 273,3 241,6
millions d'Euros)

variation + 11% -11,70%

Internet, le faux coupable ….

Fraude totale déclarée à Fia-Net entre 2000 et 2003 en France
(sur 761sites marchands)
M ontants
Année Sinistres déclarés correspondants Coût moyen de la fraude

2003 1.611 700.294 euros 437 euros

2002 2.664 1.631.344 euros 612 euros
2001 2.713 1.212.073 euros 447 euros
2000 461 179.377 euros 389 euros
Source : Fia-Net, 2004

Malgré tout, tentative de fraude par Internet en 2004 : +15%

 Conclusion

Ce qu'exige tôt ou tard le plus fort, ce n'est pas qu'on soit

à ses côtés mais dessous.
Georges Bernanos