YesCard

Un article de Wikipédia, l'encyclopédie libre.

Une YesCard est une carte bancaire donnant une autorisation de transfert ("oui" à la demande) quel que soit le « code secret » tapé par son titulaire.

Sommaire 1 Méthode de fabrication 2 Cartes nouvelle génération 3 Point de vue législatif 3.1 En France 4 Liens externes

[modifier] Méthode de fabrication

Une YesCard est une carte à puce, vierge à l'origine, dans laquelle un programme et des données spécifiques sont programmées par un pirate. Elle se comporte comme un émulateur de carte bancaire, elle simule parfaitement son fonctionnement, à la différence près qu'elle accepte n'importe quel code à 4 chiffres. Le programme est développé soit à partir du contenu d'une carte bancaire trouvée même périmée (aucune donnée n'y est protégée à part l'historique des transactions effectuées avec la puce), soit à partir de données générées par calcul.

La carte à puce se présente sous la forme d'une vraie carte au format carte de crédit, soit de couleur dorée en générale, soit sous la forme d'un circuit imprimé de 0.8mm d'épaisseur. Ces cartes ne peuvent s'utiliser que sur des distributeurs ne tenant compte que de la puce : pompes à essence, distributeurs de pizzas, distributeurs de DVD ou VHS en location, etc.

Les pirates peuvent générer des numéros de cartes de manière aléatoire (et donc générer un numéro existant ou non). En général, si le numéro existe et que vous êtes victime d'une telle arnaque, demandez des précisions à votre banque car le nom du porteur donné par la carte est évidemment faux (à moins que le pirate soit un chanceux, et que vous vous appeliez Dupond, Durant, Dubois...). De plus, lors d'une transaction, la carte génère un certificat de 8 octets par un calcul cryptographique DES, qui est évidemment faux avec une YesCard ; la puce utilisée n'est absolument pas assez puissante pour ce type de calcul. Le numéro de la carte peut également être généré à partir d'une facturette, c'est pourquoi il faut toujours la récupérer après un achat ou un retrait, ou ne pas la demander.

[modifier] Cartes nouvelle génération

Les nouvelles cartes bancaires éditées depuis 1999, soi-disant plus sûres, ne le sont en fait pas, et laissent les pirates progresser. En effet, bien que la clef de protection soit passée de 320 Bits (clef déjà cassée depuis un certain temps) à 768, elle n'en reste pas moins lisible sans le code secret. Cela signifie que n'importe quelle personne mal intentionnée trouvant une carte bancaire de cette nouvelle génération, même périmée, même bloquée (après 3 faux codes), peut la cloner en partie ou totalement. La généralisation des terminaux utilisant la puce plutôt que la piste magnétique a fortement réduit l'activité des YesCard, les fraudeurs préférant passer au vol de code et clonage pour effectuer des retraits à l'étranger.

Enfin rappelez-vous qu'aucune banque ne vous demandera par mail de compléter un formulaire avec votre numéro de compte ou de carte avec date d'expiration et CVV2 (et encore moins avec le code secret qui est inutile par internet). Ce sont des pirates qui envoient ces faux courriers afin d'avoir des numéros de cartes valides soit pour générer des YesCard, soit pour effectuer des achats frauduleux par internet avec votre argent. Ne répondez jamais à ces mail et faites les connaître soit aux autorités compétentes (Mastercard, Visa) si c'est un mail émanant de quelqu'un se faisant passer pour un fabricant de carte à puce, soit à votre banque si le mail reprend l'apparence du site de votre banque. Vérifiez d'ailleurs, à chaque fois que vous effectuez un paiement en ligne, que l'adresse indiquée dans la barre d'adresse de votre navigateur Web correspond bien au site où vous êtes censé être, en surveillant l'orthographe des mots. Cette vérification est bien sûr valable pour toute opération sur un compte bancaire en ligne ; vérifiez bien que vous êtes sur le site de votre banque.

[modifier] Point de vue législatif

[modifier] En France

La contrefaçon et/ou la falsification des cartes bancaires sont régies par le décret-loi du 30 octobre 1935 unifiant le droit en matière de chèques et relatif aux cartes de paiement.

Art. 67. (L. n° 91-1382 du 30 déc. 1991)

Seront punis d'un emprisonnement d'un an à sept ans et d'une amende de 3.600 F à 5.000.000 F ou de l'une de ces deux peines seulement :

1. Ceux qui auront contrefait ou falsifié un chèque ;
2. Ceux qui, en connaissance de cause, auront fait usage ou tenté de faire usage d'un chèque contrefait ou falsifié ;
3. Ceux qui, en connaissance de cause, auront accepté de recevoir un chèque contrefait ou falsifié.

Art. 67-1. (L. n° 91-1382 du 30 déc. 1991) Seront punis des peines prévues à l'article 67 

1. Ceux qui auront contrefait ou falsifié une carte de paiement ou de retrait ;
2. Ceux qui, en connaissance de cause, auront fait usage d'une carte de paiement ou de retrait contrefaite ou falsifiée ;
3. Ceux qui, en connaissance de cause, auront accepté de recevoir un paiement au moyen d'une carte de paiement contrefaite ou falsifiée.

Art. 67-2. (L. n° 91-1382 du 30 déc. 1991)

Dans les cas prévus par les articles 67 et 67-1, les chèques et les cartes de paiement ou de retrait contrefaits ou falsifiés seront confisqués et détruits. La confiscation des matières, machines, appareils ou instruments qui ont servi ou étaient destinés à servir à la fabrication desdits objets sera prononcée, sauf lorsqu'ils ont été utilisés à l'insu du propriétaire.

[modifier] Liens externes

• La Yescard sur Zataz
• La Yescard sur CoolParadise
• Description de l'avancée en recherche sur la Yescard
• Code Silex : Extrait du texte de loi française

• Portail de l’économie
• Portail de l’informatique
• Portail de la sécurité informatique