Han fikk automatene til å godta falske smartkort

Den 36 år gamle franske dataeksperten Serge Humpich har gjort noe alle smartkortselskap sier er umulig. Han har laget sine egne smartkort, og lurt to automater til å gi ham t-banebilletter, uten dekning av noe slag.

Humpich ble arrestert i september 1998 og anklaget for forbrytelser med en strafferamme på sju års fengsel og fem millioner francs (over 6 millioner kroner) i bot. Men da saken kom for retten forrige fredag (21. januar) krevde påtalemyndigheten bare to års betinget fengsel og 50.000 (60.000) francs i bot. Dommen faller 25. februar.

Avstanden mellom påstand og strafferamme har gitt ny kraft til antakelsene om at Humpich ikke har gjort noe galt ut over å oppdage et sikkerhetshull i smartkortsystemet og prøve å selge sin kunnskap om hullet til Groupement d'intérêt économique des cartes bancaires (GIE-CB) som forvalter det franske smartkortsystemet på vegne av 176 finansinstitusjoner.

Historien starter i 1995. Humpich er en av 34 millioner franskmenn med smartkort, og bruker det når han skal betale en restaurantregning. Han legger merke til at terminalen som leser kortet, ikke er knyttet til noe telefon- eller datanettverk. Følgelig må sikkerhetsrutinen som ifølge bankvesenet er absolutt ubrytelig, være lagret lokalt. Han kjøper en terminal fra et konkursbo og bruker fritiden sin på å finne ut om det ikke likevel skulle være mulig å komme rundt sikkerhetsrutinen.

To år seinere mener Humpich at han har greid å knekke beskyttelsen. Smartkort kan kjøpes på det åpne markedet. Disse kan han nå programmere slik at han vil kunne skaffe seg alt han ønsker av kontanter, varer og tjenester fra enhver fransk smartkortautomat, uten at kontoen hans trekkes.

Men Humpich er ingen forbryter. Tidlig i 1998 går han til det offentlige instituttet for intellektuell eiendom - Institut national de la propriété intellectuelle - der han høytidelig deponerer all dokumentasjon om sikkerhetshullet i smartkortsystemet. Så tar han kontakt med et advokatfirma for å forhandle fram en minnelig løsning med GIE-CB, samtidig som han beskytter sin egen identitet.

Ved første kontakt blir advokatene avvist kontant, og bedt om å komme tilbake med bevis. Humpich velger den billigst mulige løsningen. Han bruker sitt egenprogrammerte smartkort på automater utplassert ved et par t-banestasjoner, og skaffer seg, uten dekning, 11 "carnets" med til sammen 110 t-banebilletter. Advokatene hans leverer kvitteringene, og plutselig er GIE-CBs vantro vendt til visshet. For å være ett hundre prosent sikre, utleverer GIE-CB egne ukonfigurerte smartkort til advokatene. Kort tid etter returneres de, programmert etter Humpich' metode.

Humpich er fortsatt anonym i forhold til GIE-CB. Ifølge avisa Libération har han ikke fremmet noe som helst konkret krav om penger. Dette er viktig, fordi ryktene vil ha det til at Humpich skal ha fremmet krav om alt fra en til 200 millioner francs. Det eneste som skjer, er at advokatene fremmer et krav om at Humpich bør motta en form for kompensasjon for å ha påvist sikkerhetshullet, mot at dokumentasjonen og rettighetene til åndsverket som kunnskapen om sikkerhetshullet utgjør, overføres til GIE-CB.

Men finansfolkene har ikke til hensikt å forhandle. I stedet går de til anmeldelse for innbrudd i datasystem og forfalskning av bankkort. Og sommeren 1998 bruker de alt de har av kontakter innen politi og rettsvesen for å sikre at alle midler tas i bruk for å spore opp Humpich, også skygging og telefonavlytting.

Midt i september dukker 40 politifolk på Humpich' lille gårdsbruk utenfor Paris. Humpich holdes innesperret i 48 timer. Eiendommen ransakes. Humpich advares om at han har interesse av å holde opplevelsen for seg selv. Ellers er det nok av organiserte kriminelle i både øst og vest som kan tenkes å gripe ham og tvinge ham til å samarbeide. Dommeren som avhører ham slår til og med fast at det dreier seg om statens sikkerhet.

Humpich forholder seg taus, og tror øyensynlig fortsatt at det skal være mulig å komme fram til en ordning der GIE-CB gjør ham rik. I juni 1999 får han vite at en rettssak er berammet, og at han er formelt anklaget for forbrytelser med en strafferamme på sju års fengsel og fem millioner francs i bot.

Først da tar Humpich kontakt med pressen. Provinsavisen Est Républicain er først ute med en artikkel, 11. juni. Så følger andre, og til slutt også noen fra hovedstaden. Men tv nøler. Den satiriske avisa Canard enchaîné røper at GIE-CB presser Canal+ til å avstå fra å sende et ferdigredigert program med Humpich. Opptak gjort av kanalene France 2 og France 3 blir heller aldri vist.

I august får Humpich sparken. Arbeidsgiveren er for avhengig av et godt forhold med finansverdenen, og tør ikke lenger ha Humpich på lønningslisten.

Ut på høsten 1999 lanserer GIE-CB en ny generasjon smartkort. Det har selvfølgelig ingenting med Humpich-saken å gjøre.

Humpich gjentok i retten at han var blitt oppfordret av GIE-CB til å bevise sin påstand om mangler ved sikkerheten i smartkortsystemet. Han mener det ikke kan være straffbart å be om kompensasjon for det arbeidet han har nedlagt. Den storstilte politioperasjonen som avslørte Humpich' identitet har heller ikke påvist noe som helst forhold mellom ham og kriminelle grupper.

Rettssaken ble omfattet med så stor interesse i Frankrike at Humpich endelig slapp til på tv. Hans støttegruppe har gjengitt masse bakgrunnsmateriale på sitt nettsted, blant annet intervjuer og avskrifter av debattprogrammer om saken.

Dommen som avsies 25. februar vil få stor betydning. Det franske bankvesenet har vist at det ikke er i stand til å forholde seg korrekt til utenforstående som påviser feil i deres sikkerhetsopplegg. Det er som om Microsoft skulle forfulgt alle som melder om sikkerhetsfeil i Internet Explorer og andre programmer. Det er å motarbeide de felles interessene bankene og brukerne har i å heve sikkerhetsnivået i betalingsordninger.

Det er med andre ord å dele ut høye trumf til forbryterverden.

Stadfestes denne holdningen i retten, er meldingen klar: Det lønner seg ikke å være ærlig. Det er forbrytelsen som varer lengst.

Også i Norge blir smartkort betraktet som en nærmest innbruddssiker totalløsning:
Smartkort fra iD2 i virtuelt privat nett
Bull Norge øker med 27 prosent
Posten SDS satser videre på Mondex-pungen

Til toppen