Smartkortforfalsker dømt til 10 måneders betinget fengsel

10 måneders betinget fengsel og dekning av egne omkostninger lyder dommen som rammet den franske smartkortfikleren Serge Humpich. Dommen stiller en rekke ubesvarte spørsmål rundt smartkorts faktiske sikkerhet.

Frankrike har brukt smartkort i en rekke betalingssystemer siden 1993. Dataeksperten Humpich ble fascinert av smartkortteknologien, skaffet seg en betalingsterminal fra et konkursbo, og mekket på fritida for å finne ut hvordan det virket. Etter to år hadde han greid å bryte krypteringen i systemet, og laget et titalls falske smartkort.

Les mer om bakgrunnen for saken i denne artikkelen: Han fikk automatene til å godta falske smartkort.

Et viktig poeng i saken er at Humpich ikke på eget initiativ brukte noen av disse kortene. I stedet deponerte han sin dokumentasjon hos en offentlig instans, og fikk et advokatfirma til å kontakte Groupement d'intérêt économique des cartes bancaires (GIE-CB) som forvalter det franske smartkortsystemet på vegne av 176 finansinstitusjoner. Hensikten var å forhandle om prisen GIE-CB skulle betale for å få dokumentasjonen.

Organisasjonen sa den ikke ville forhandle med Humpich før han hadde bevist sine kunnskaper. Da tok han egne smartkort og brukte dem til å kjøpe, uten dekning, et hundretalls t-banebilletter, og leverte kvitteringene til GIE gjennom advokatene. Da hadde GIE allerede fått politiet til å gjennomføre en større spanings- skygging- og overvåkningsoperasjon, og Humpich ble arrestert.

Strafferammen for anklagen er sju års fengsel og fem millioner francs i bot. Aktors påstand var to års betinget og 50.000 francs i bot. Dommen som ble avsagt 25. februar lød på ti måneders betinget, en franc i symbolsk oppreisning, og egne saksomkostninger - anslått til 12 millioner francs.

I mellomtiden har den franske hackerverden kastet seg over smartkortteknologien. Humpichs dokumentasjon er fortsatt forsvarlig bevart. Men anonyme personer har etterlatt spor på Internett som tyder på at Humpich ikke er alene om å vite hvordan smartkortterminalene i Frankrike kan lures av egenprogrammerte kort.

(For oversikt over dette, gå til nettstedet oppgitt under Serge Humpich.)

Til avisa Le Figaro sier Humpich at de som har lagt igjen sporene antakelig ikke vil trenge mer enn en ukes tid på å produsere funksjonelle falske smartkort - og det er ikke påkrevet å kunne eksperimentere på en egen betalingsterminal.

Flere politikere og forbrukertalspersoner har protestert mot behandlingen av Humpich, og finner det suspekt at bankvesenet gjør alt for å kriminalisere Humpich i stedet for å gjøre mer for å bedre sikkerheten i smartkortsystemene.

Charles Reguardati fra Afoc (Association force ouvrière consommateurs - forbrukeravdelingen til Frankrikes tredje største faglige landsorganisasjon) sier til Le Figaro at Humpich er ofret for å statuere et eksempel, og at det hele dreier seg om "forsvar for en interesse verdsatt til 376 milliarder dollar". I den franske nasjonalforsamlingen har representanten Christine Boutin slått fast at tilliten til verdens økonomiske system står og faller på tilliten til elektroniske transaksjoner, og at behandlingen av Humpich tyder på at de ansvarlige i GIE ikke er seg sitt ansvar bevisst.

Le Figaro har også snakket med mannen som oppfant smartkortene, Roland Moreno. Han forklarer at kortene som Humpich laget, bare fungerer på frittstående automater som selger bestemte gjenstander, blant annet t-banebilletter. Franske minibanker nøyer seg fortsatt bare med magnetstripen på kortene, og nytter altså ikke det som kjennetegner smartkortet, nemlig mikroprosessoren.

Moreno kom dessuten med denne svært oppsiktsvekkende påstanden:

- Butikker må sørge for å sjekke hologrammet på kortet de forevises. Hologrammet er umulig å forfalske.

Men smartkortet kan forfalskes, og grunnen til at Humpich-kortene ikke kan brukes til å tømme minibanker, er at minibankene fortsatt holder seg til magnetstripen, og ikke gjør bruk av det som har vært framstilt som det virkelige smarte ved smartkortet.

I Norge skal magnetstripekort avskaffes i løpet av de nærmeste årene. Sikkerhetssystemet blir sikkert bedre enn på de franske t-baneautomatene, men likevel...

Humpich har sagt at han vil appellere dommen.

Les mer om smartkort:


Smartkortsikkerhet uten tiltrodd tredjepart
Smartkortsikkerhet i Operas kommende e-post-leser
Tommelavtrykk erstatter PIN-kode i smartkortløsninger
Han fikk automatene til å godta falske smartkort
Smartkort fra iD2 i virtuelt privat nett
Posten SDS satser videre på Mondex-pungen
Verdens desidert minste datamaskin

Til toppen