Le Royaume-Uni lutte contre un retrait fantôme d'Halifax Bank

Un homme du Royaume-Uni affrontera le géant bancaire Halifax la semaine prochaine après avoir intenté un procès contre la perte de 2 100 £ (3 100 $ US) de son compte via un distributeur automatique. Le Cameroun, a vu l'argent disparaître de son compte mais maintient qu'il avait toujours sa carte en sa possession et n'a pas fait le retrait. Il a porté plainte auprès du Financial Ombudsman Service du Royaume-Uni, qui intervient dans les litiges entre banques et clients, mais a perdu au début de 2007.

Job a décidé d'intenter une action en justice contre le retrait fantôme. Selon Ross Anderson, professeur d'ingénierie de sécurité à l'Université de Cambridge, «un système de sécurité solide est conçu pour prévenir la fraude par carte. L'affaire de Job sera entendue au tribunal du comté de Nottingham le 30 avril.

[Lectures supplémentaires: Comment supprimer les logiciels malveillants de votre PC Windows]

Le travail n'a pas pu être atteint immédiatement. Un témoin expert qui doit témoigner la semaine prochaine a déclaré que lui et Job ne pouvaient pas commenter publiquement le procès afin de ne pas influencer indûment son résultat.

Le cas de Job remet en question la sécurité du chip-and-PIN (personnel numéro d'identification) système de cartes introduit dans toute l'Europe il y a plusieurs années après une fraude généralisée par carte. Plutôt que d'utiliser une signature pour effectuer une transaction chez un commerçant, une personne doit entrer un NIP à quatre chiffres, qui est vérifié par un distributeur automatique ou un terminal de point de vente à l'aide de la micropuce de la carte.

a été un critique très éloquent de Puce-et-PIN - ainsi que d'autres chercheurs en sécurité à Cambridge ont mis en évidence plusieurs failles techniques avec le système qui pourraient expliquer comment Job a perdu son argent.

Anderson et Nicholas Bohm, avocat retraité, a présenté un document plus tôt cette année détaillant comment la puce-et-PIN pourrait être subvertie dans le cadre d'un examen du Financial Ombudsman Service.

Les distributeurs utilisent des mécanismes de vérification pour s'assurer qu'une carte particulière n'a pas été clonée, mais dans certains cas cas, ces contrôles peuvent être contournés. Certains guichets automatiques lisent les données du compte sur la bande magnétique d'une carte si la puce ne fonctionne pas.

On peut également créer des cartes dites «oui» qui peuvent effectuer une transaction avec n'importe quel code PIN si une machine donnée autorise transactions sans se connecter à la banque, selon le document. Les chercheurs ont également prouvé qu'il est possible d'obtenir une clé secrète d'une puce qui calcule un certificat de transaction qui indiquerait que la carte est légitime à un distributeur automatique même si elle est truquée.

Halifax maintient qu'il existe des preuves que la vraie carte de Job était Anderson a dit que les banques britanniques ont mis une foi aveugle dans leur technologie de sécurité et ont repoussé la responsabilité pour les pertes sur les clients inconnus.

«Lorsque les banques ont conçu le système de puce et de code PIN, elles pensaient qu'elles pourraient laisser tomber le risque de fraude sur les autres», a déclaré Anderson.

Aux États-Unis, la responsabilité incombe aux banques de prouver que le client est faute ou ils doivent rembourser l'argent, a déclaré Anderson. Au Royaume-Uni, le processus est beaucoup plus opaque, avec le Financial Ombudsman Service qui tend à prendre le parti des banques, selon le journal.

"Il est vraiment important de nous éloigner de l'approche britannique consistant à laisser les banques déclarer que le système est sécurisé », A déclaré M. Anderson.

La date de la comparution de Job la semaine prochaine pourrait changer la façon dont les banques doivent lutter contre la fraude. "Cette affaire pourrait faire une différence", a déclaré Anderson. "Nous ne savons pas dans quel sens il va aller."