Tweeter

Tribunal de Grande Instance de Paris, 13eme Ch. Correctionnelle, Jugement du 25 février 2000

Serge H. / GIE Cartes bancaires

accès et maintien frauduleux dans un système de traitement automatisé des données - failles du système de sécurité des terminaux de paiement de cb - identification de l'algorithme de cryptage

L’affaire H.

Procédure d’audience

Serge H. est prévenu d’avoir ou de s’être, à Paris et Courcelles-en-Brie, courant 1998 et notamment le mois de juillet, en tout cas sur le territoire national et depuis temps insuffisant pour entraîner l’extinction de l’action publique :

– frauduleusement accédé et maintenu dans le système de traitement automatisé de données du GIE Cartes bancaires,
– frauduleusement introduit des données dans le système de traitement automatisé de données du GIE Cartes bancaires,

– contrefait 5 cartes bancaires et fait usage de celles-ci au préjudice du GIE Cartes bancaires.

Faits prévus et punis par les articles 323-1 et 3 du code pénal, 67-1 du décret-loi du 30 octobre 1935, modifié.

L’affaire a été appelée, successivement, aux audiences du :
– 21 janvier 2000, pour première audience au fond et renvoyée pour délibération
– et ce jour, pour prononcé du jugement.
A l’appel de la cause, le président a constaté l’identité du prévenu et a donné connaissance de l’acte qui a saisi le tribunal.

Les débats ont été tenus en audience publique.

Le président a donné connaissance des faits motivant la poursuite.

Le président a instruit l’affaire et a interrogé le prévenu sur les faits et a reçu ses déclarations.

Me Michel Beaussier, avocat du barreau de Paris, au nom du GIE Cartes bancaires, partie civile, a été entendu, après dépôt de conclusions visées par le président et le greffier, en ses demandes et plaidoirie.

Le ministère public a été entendu en ses réquisitions.

Me François Cornette de Saint-Cyr, avocat au barreau de Paris, a été entendu en sa plaidoirie pour Serge H., prévenu.

Me Benoît Louvet, avocat au barreau de Paris, a été entendu en sa plaidoirie pour Serge H., prévenu.

Serge H., prévenu, a présenté ses moyens de défense et a eu la parole en dernier.

Motifs de la décision

– Sur l’action publique :

Attendu que Serge H. est renvoyé devant le tribunal pour avoir frauduleusement accédé et s’être maintenu dans le système de traitement automatisé de données du GIE Cartes bancaires, pour y avoir introduit des données, avoir contrefait 5 cartes bancaires et en avoir fait usage ;

Attendu que, le 4 août 1998, le GIE Cartes bancaires dépose plainte contre X à la suite des agissements d’un individu qui a réussi à pénétrer en fraude dans son système de traitement automatisé et qui souhaite négocier sa découverte ;

Attendu qu’à la date de la plainte, le GIE Cartes bancaires a été approché par deux émissaires de cet inconnu, à savoir Me Sayn, avocat au barreau de Paris, et Michel Brochon, conseiller en propriété industrielle et expert judiciaire retraité près la cour d’appel d’Aix-en-Provence ; qu’une réunion s’est tenue au GIE le 1er juillet 1998 ; qu’invité à crédibiliser ses dires, l’inconnu fera remettre le 22 juillet une enveloppe contenant 10 carnets de 10 tickets de métro non utilisés attestant de la réalité de 10 transactions aux guichets automatiques des stations de métro Balard et Charles-Michels effectuées le 7 juillet 1998, transactions effectivement créditées à la Ratp ; qu’à ces carnets sera joint un listing comportant 10 numéros de cartes de paiement émanant d’une plage affectée au Crédit Mutuel mais non encore attribués à des porteurs ;

Attendu qu’au cours d’une seconde entrevue du 23 juillet 1998, Me Sayn fera valoir à ses interlocuteurs le souhait de son client, détenteur du “passe” des cartes bancaires, de négocier sa découverte dans le cadre d’un accord secret intitulé “contrat de transmission de savoir-faire et de secret” dont un projet, non chiffré quant aux exigences financières, sera remis par l’avocat ; que le nom de l’inventeur y est gardé secret, ce dernier étant présenté comme informaticien, électronicien et mathématicien ; qu’au dire du représentant du GIE Cartes bancaires, Me Sayn précisera ne pouvoir se porter garant de son client, susceptible de « vider les DAB », et envisager “si le groupement n’est pas intéressé (…) d’aller voir des industriels, voire aux Etats-Unis” ;

Attendu qu’une troisième réunion se tiendra le 20 août 1998 au terme de laquelle le GIE Cartes bancaires fera parvenir à Me Sayn des cartes-tests aux fins que son client les programme, atteste ainsi davantage de son savoir-faire et, le cas échéant, renseigne par ce biais sur les techniques utilisées ; que Me Sayn portera à la connaissance de ses interlocuteurs la réussite de la programmation en moins de dix minutes ;

Attendu que l’inconnu sera identifié en la personne de Serge H., ingénieur informaticien, interpellé à son domicile le 17 septembre 1998 ;

Attendu que seront saisis :

– les 2 cartes-tests et 2 cartes blanches remises par le GIE,
– une copie du “contrat de savoir-faire et de secret” précité,
– une enveloppe dite “Soleau”, dont l’autre compartiment sera saisi dans les archives de l’Institut national de la propriété industrielle (Inpi), déposée par Serge H. le 14 mai 1998 et intitulée “Comment fabriquer une fausse carte à puce”,
– la découverte de correspondances échangées en 1993 et 1994 avec un certain Alfred Banoclay,- du matériel informatique se composant d’un monitor Sony, un clavier Keytronic, une unité centrale, un lecteur de disquettes 3,5 pouces Sony, un disque dur Ide Seagate, un disque dur I de Quantum, un disque dur Scsi, un graveur de CD-Rom, un lecteur de CD-Rom, un modem Olitem, un terminal de paiement démonté muni d’une sonde logique, un analyseur logique muni de ses connexions et d’un câble le reliant à l’unité centrale, une plaquette de connexion entre les précédents composants et un lecteur encodeur pour pistes ISO et deux disquettes de driver, enfin deux lecteurs de piste ISO et un programmateur Eprom,

– un lot de cartes de paiement avec et sans puce, des cartes à puce vierges, et des cartes badges, ainsi que 5 cartes à puce vierges que l’intéressé désignera comme celles ayant été utilisées pour l’achat des tickets de métro, puis reprogrammées afin d’effacer les traces relatives à ces transactions ;

Attendu qu’au terme de l’instruction et des débats, il est acquis, au vu des déclarations de Serge H. qui exposera sans réserve les étapes de sa découverte, que ses travaux, lesquels lui ont pris plusieurs mois, sont partis de l’étude d’un terminal de paiement, dont il s’attachera à comprendre le dialogue s’établissant avec la Carte Bleue, afin de leurrer celui-ci, et de faire accepter par la puce la transaction, quels que soient les chiffres frappés sur le clavier ;

Attendu que ces étapes sont en résumé les suivantes :
– acquisition de TPE et de la documentation associée, ainsi que celle afférente aux cartes à puce Bull CP8,
– écriture d’un programme informatique pour récupérer les informations contenues dans le TPE,
– recherche pour comprendre le dialogue entre la carte et le TPE et découverte de la fonction Telepass (fonction d’authentification de la présence d’une puce CP8), ce qui devait le conduire à orienter ses recherches sur le programme du TPE,
– dessin de l’ensemble du câblage du TPE et découverte que le programme était fait pour fonctionner dans la RAM volatile du TPE,
– recherche pour piloter le TPE à partir du PC en modifiant la mémoire programmable (Eprom),
– extraction du programme contenu dans la RAM pour le recopier sur le PC,
– acquisition d’un analyseur logique pour étudier le fonctionnement de la RAM du TPE,
– désassemblage de la RAM pour étudier son fonctionnement et découverte du Telepass,
– acquisition d’un programmateur de microcontrôleur, installation de celui-ci entre la puce et le TPE et découverte de l’existence d’un algorithme d’authentification,
– isolement et extraction des données et du code du TPE,
– isolement de l’algorithme et réécriture de celui-ci en langage c puis découverte qu’il s’agissait d’un RSA et donc d’un algorithme à l’aide de programmes récupérés sur internet,- création d’un simulateur de carte,
– achat en Suède via internet de cartes à processeur programmables,
– transcription du programme sur les cartes blanches.

Attendu que Serge H. affirme avoir été animé dès l’origine non par l’appât du gain mais par la seule curiosité du chercheur ; qu’il présente sa démarche comme purement scientifique ; qu’une telle découverte, mettant à jour les défaillances des systèmes de protection mis au point par le GIE Cartes bancaires, ne pouvant, dans l’intérêt bien compris de chacun, être tenue secrète, il prendra immédiatement l’attache d’un avocat, s’adjoindra les compétences de conseils en propriété industrielle afin de garantir les droits qu’il pouvait en attendre, après négociations, dans un cadre contractuel ;

Attendu, au surplus, que ses conseils feront valoir à la barre que les éléments constitutifs de la prévention d’accès et introduction dans le système automatisé de données ne sont pas ici réunies ni au plan de l’élément matériel, les travaux ayant porté sur une composante isolée et inactive du système, en l’espèce un terminal de paiement non connecté au réseau de cartes bancaires, ni au plan de l’élément moral, l’aspect scientifique de la démarche excluant son caractère frauduleux ;

Attendu qu’ils soutiennent également l’absence d’élément matériel de l’infraction de contrefaçon, Serge H. n’ayant pas travaillé sur la puce des cartes bancaires du GIE mais ayant transféré une invention de son fait sur des puces vierges, ainsi que l’absence d’élément intentionnel tant en ce qui concerne la contrefaçon que l’usage, l’intéressé n’ayant agi, à la demande même du plaignant, que dans le but de démontrer son savoir-faire ;

– Sur la fraude informatique prévue et réprimée par les articles 323-1 et 323-3 du code pénal :

Attendu qu’il est constant, et reconnu, qu’après avoir démonté le terminal de paiement et écrit un programme informatique pour en extraire les données, Serge H. découvrira que l’authentification de la carte bancaire à puce dans le système du GIE Cartes bancaires est effectuée sur le terminal de paiement via la vérification de la carte par ce dernier au moyen du calcul d’une donnée lue sur celle-ci, à savoir sa valeur d’authentification, laquelle inclut le numéro de la carte et est donc indifférent d’une carte à l’autre ; que la logique de la démarche procédera donc de l’étude initiale du terminal pour comprendre la liaison entre carte à puce bancaire, terminal de paiement et établissements bancaires ;

Attendu que l’article 323-1 du code pénal vise l’accès et le maintien dans tout ou partie d’un système de traitement automatisé de données ;

Attendu que le système CB est, au sens des dispositions précitées, un système de traitement automatisé de données ; que les terminaux de paiement sont conçus pour permettre de recevoir les paiements dans le cadre du réseau CB ; qu’ils font l’objet de procédures d’agrément et de qualification pour répondre aux spécifications techniques et fonctionnelles “Carte Bleue” ; que le commerçant, ou en l’espèce Serge H., n’est en rien le propriétaire des logiciels de données qui y sont logés ; que le terminal de paiement, parce qu’il vérifie lors d’une transaction l’authenticité de la carte en effectuant un calcul de données sur celle-ci, doit être considéré comme partie intégrante du système automatisé de données ; que le fait que les travaux seront menés sur un terminal inerte sera sans conséquence sur la prévention, démonstration étant faite par le prévenu lui-même que le secret de la valeur d’authentification de la carte à puce sera percé via les informations contenues dans ce terminal ;

Attendu que, de ces éléments conjugués, il résulte que l’élément matériel de l’infraction d’accès à tout ou partie d’un système automatisé de données est établi ;

Attendu que cette démarche, pour scientifique qu’elle fût au regard de la méthode utilisée, inclut la connaissance de la violation de la norme, Serge H., qui s’est attaché précisément à forcer les dispositifs de sécurité mis en place, n’ayant pu à aucun moment ignorer au cours de ses années de recherches, elles-mêmes annoncées dans ses correspondances précitées remontant à l’année 1993, qu’il accédait dans le STAD du GIE Cartes bancaires contre le gré du maître du système ; que, partant, l’élément moral est suffisamment établi ;

Attendu qu’il en est de même en ce qui concerne l’infraction de maintien frauduleux dans le système de traitement automatisé de données ; que cette infraction réside plus spécifiquement dans la recherche pour isoler et identifier l’algorithme de cryptage ; que le caractère frauduleux de ce maintien est sans conteste établi dès lors que Serge H. a consacré ses efforts à décrypter une donnée cryptée par le maître du système ;

Attendu, par ailleurs, qu’il est reproché à Serge H. d’avoir introduit frauduleusement des données dans le système de traitement automatisé de données du GIE Cartes bancaires ;

Attendu que l’intéressé s’attachera effectivement à leurrer le terminal de paiement ; que, pour ce faire, après avoir manipulé et décrypté les données cryptées précédemment mentionnées, il insérera sur des cartes de nouvelles données aptes à le tromper ; que, ce faisant, il se rendra coupable d’introduction frauduleuse de données ;

– Sur la contrefaçon de cartes bancaires et l’usage :

Attendu que Serge H. est renvoyé pour avoir, courant 1998 et notamment le mois de juillet, contrefait 5 cartes bancaires et en avoir fait usage ;

Attendu qu’il est acquis que l’intéressé fera l’acquisition en Suède, via internet, de cartes à processeur programmables sur lesquelles il transcrira son programme ;

Attendu que seront saisies dans sa sacoche 5 de ses cartes à puce vierges dont il reconnaîtra qu’elle ont été utilisées pour l’achat le 7 juillet 1998 des 10 carnets de tickets de métro, puis reprogrammées pour effacer les traces relatives à ces transactions ;

Attendu que ces cartes programmées pour leurrer le TPE et reprogrammables à volonté, reconnues effectivement pour valides au cours du dialogue mené avec celui-ci, et donc authentifiées comme de vraies Cartes Bleues par le Crédit Mutuel, ne peuvent être protégées au regard de l’inventeur mais constituent bien une contrefaçon, telle que prévue et réprimée par l’article 67-1 du décret-loi du 30 octobre 1935 modifié par la loi du 30 décembre 1991 ;

Attendu que le mobile spécifique à ces cinq contrefaçons, à savoir démontrer son savoir-faire auprès de ses interlocuteurs au sein du GIE Cartes bancaires, ne peut être assimilé à l’élément intentionnel de l’infraction, lequel est intrinsèquement lié à la nature des travaux entrepris pour parvenir à cette réalisation et est parfaitement contenu dans le libellé de l’enveloppe Soleau déposée à l’Inpi “Comment fabriquer une fausse Carte Bleue à puce” ;

Attendu, en conséquence, que l’infraction de contrefaçon de cartes bancaires est parfaitement établie ; qu’au surplus, Serge H. en fera usage dans deux automates de la Ratp ;

Attendu, en conclusion, que Serge H. sera déclaré coupable de l’ensemble des faits reprochés ;

Attendu que cette fraude informatique, par la menace qu’elle fera courir sur l’ensemble des transactions par cartes bancaires, a troublé gravement l’ordre public ;

Attendu toutefois qu’au regard de la peine prononcée, le tribunal tiendra compte, en faveur de l’intéressé, de l’absence de profit direct tiré de la fraude et de la contrefaçon en dehors de ses pourparlers engagés dans un cadre contractuel, ainsi que de sa qualité de délinquant primaire ;

– Sur l’action civile :

Attendu que, par voie de conclusions régulièrement visées auxquelles il convient de se référer pour l’exposé détaillé de ses demandes, le GIE Cartes bancaires se constitue partie civile ;

Attendu que cette constitution sera déclarée recevable, le GIE Cartes bancaires ayant subi un préjudice personnel, direct, actuel et certain des suites de l’atteinte volontaire portée aux missions dont il est en charge, ainsi que de l’utilisation frauduleuse de son système et de l’utilisation de fausses cartes bancaires ;

Attendu qu’il sera fait droit, en réparation, à la demande limitée au franc symbolique ; que, par ailleurs, les frais irrépétibles seront fixés, en application de l’article 475-1 du CPP, à la somme de 12 000 F, la partie civile étant déboutée du surplus de ses demandes.

La décision

Le tribunal, statuant publiquement, en matière correctionnelle, en premier ressort, et par jugement contradictoire à l’encontre de Serge H., prévenu, à l’égard du GIE Cartes bancaires, partie civile ;

Sur l’action publique :

déclare Serge H. coupable pour les faits qualifiés de :
* contrefaçon ou falsification de cartes de paiement ou de retrait, faits commis courant 1998, à Paris et Courcelles-en-Brie,
* accès et maintien frauduleux dans un système de traitement automatisé de données, fait commis courant 1998, à Paris et Courcelles-en-Brie,
* introduction frauduleuse de données dans un système de traitement automatisé, faits commis en 1998, à Paris et Courcelles-en-Brie,
* usage de cartes de paiement ou de retrait contrefaites ou falsifiée, faits commis courant 1998, à Paris et Courcelles-en-Brie ;

Vu les articles susvisés :
condamne Serge H. à 10 mois d’emprisonnement ;

Vu les articles 132-29 à 132-34 du code pénal :
dit qu’il sera sursis totalement à l’exécution de cette peine dans les conditions prévues par ces articles.

Et, aussitôt, suite à cette condamnation assortie du sursis simple, a donné l’avertissement, prévu à l’article 132-29 du code pénal, au condamné que s’il commet une nouvelle infraction, il pourra faire l’objet d’une condamnation qui sera susceptible d’entraîner l’exécution de la première peine sans confusion avec la seconde et qu’il encourra les peines de la récidive dans les termes des articles 132-9 et 132-10 du code pénal ;

Vu les articles susvisés, à titre de peine complémentaire :
ordonne à l’encontre de Serge H. la confiscation des scellés D62, D73, D77 à D82, D89, D90, D204, D208, D216, D237, D231, D239, D246, D254, D256, D259, D260, D269 ;

Sur l’action civile :

déclare recevable la constitution de partie civile du GIE Cartes bancaires ;

condamne Serge H. à payer au GIE Cartes bancaires, partie civile, la somme de 1 F à titre de dommages-intérêts et, en outre, la somme de 12 000 F au titre de l’article 475-1 du code de procédure pénale ;

déboute la partie civile du surplus de ses demandes.

Le tribunal : Mme Anny Dauvilaire-Allal (président), Mme Jelena Kojic et De Keating Hart (juges), Mme Isabelle Nouhaud (substitut).

Avocats : Mes François Cornette de Saint-Cyr, Benoît Louvet et Michel Beaussier.

Notre présentation de la décision