Imaginez que vous êtes entrain de marcher tranquillement dans les rues lorsque soudainement, vous êtes entouré par trois gangs armés. Ayant retrouver que vous avez rien d’autre à part votre carte de crédit, Ils vous menacent et vous forcent à les suivre jusqu’à l’ATM le plus proche. Là, ils vous poussent devant le distributeur et vous demandent de donner le code PIN.

Vous avez donné deux fois de suite le mauvais code PIN et il vous disent qu’il vous reste la dernière chance, si non, vous serez bi** !

Et si taper mon code PIN à l’envers signalait automatiquement à la police la plus proche que je suis victime d’une agression ?

Déjà, désolé pour le titre. Taper son code PIN en envers ne signale null part que vous êtes victime d’une agression quelconque. N’essayez donc pas !

Même si ça semble évident que cela aurait été cool, Les explications sur pourquoi ce système n’a pas été mise en place vous seront donné dans la suite de cette guide.

Je note 2 facteurs principaux qui ont sans doute eu à décourager la mise en place d’un tel system.

Le code secret n’est pas stocké en clair

Généralement, dans les systèmes Informatiques, les codes secrets ne sont pas stockés en clair parce qu’ils pourraient être compromis si un tier les obtenait.

Les codes secrets tel que les mots de passes, les PIN, sont stockés après chiffrement unidirectionnel.

Raison pour laquelle lorsque vous êtes sur le point de réinitialiser votre mot de passe, dans la plus part de site, il vous est demandé de mettre le nouveau mot de passe au lieu de vous fournir votre ancien mot de passe vu que ce dernier a été chiffré de manière unidirectionnelle.

Un chiffrement unidirectionnel est une méthode de chiffrement qui fait qu’une fois une donnée est chiffrée, il ne sera plus possible de le déchiffrer.

Si le code inversé pouvait être reconnu par le distributeur, cela voudrait dire que le distributeur connait le code original.

Pour comprendre ce que j’essaie d’expliquer, Imaginons que votre code PIN est 2023 (Oui, je sais qu’il existe déjà pas moins de 1000 personnes au monde qui ont pour PIN, 2023. On aime bien les dates de naissances pour les PIN car trop simple à mémoriser).

Quand il sera stocké dans la base de données, après chiffrage, il deviendra avec l’usage de sha1 comme ceci. 445cd2fd3273962bdf09425109a2d09f7170e837

Lorsque vous venez au distributeur et entrez votre PIN, Le système le chiffre à nouveau et le compare à celui stocké dans la base de données. Si les deux PIN chiffrés correspondent, cela signifie que le mot de passe entré est correct et donc votre PIN entré est correcte. Au cas contraire, cela veut dire que le PIN n’est pas correcte car un code secret ne peut faire sortir qu’un seul code chiffré. Il est impossible d’avoir deux PIN chiffrés pour un seul PIN.

En réalité, on parle dans ce contexte de hashage au lieu du cryptage ou chiffrage. Et aux dernières nouvelles, la fonction de hashage comme sha1 est devenu peu sûr car déchiffrable. L’usage d’autres fonctions comme bcrypt ou argon2 sont de plus en plus utilisé.

Etant donné qu’il est impossible pour la machine de connaître le code original, il lui sera donc impossible de savoir si le code stocké est l’inverse de celui entré.

Un programmeur ayant travaillé sur les machines de distribution dit ceci

Si je pouvais en tant que programmeur, connaitre le code original et lire les données de la carte, je peux vous assurer que je ne resterais pas programmeur très longtemps. Je viderais les comptes d’une centaine de clients et je partirais au Brésil dans la nuit.

Donc, la protection du client demande qu’il soit impossible de lire le code.

Qu’est ce qui se passe si vous avez un PIN palindrome ?

Admettons qu’il ait possibilité de se passer du premier facteur. D’accord ! Le stockage en clair ne pose pas de problème. Mais…

Qu’est ce qui se passe si mon PIN est 2002, 1991, 4554 ?

Ca veut dire qu’à chaque fois que vous entrerez votre PIN, le système croira que vous avez tapez votre PIN à l’envers et donc déclencher l’alerte ?

Dans tous les cas, la pertinence d’un tel système semble paradoxale.

Finalement, le facteur déterminant de sa non mise en place reste la rareté des cas. Il y aurait eu surement des moyens plus sophistiqués si ces situations étaient courantes.

Catégorisé:

AstuceBanque