C'est surtout la partie sur le DPROM qu'il a dû bypasser pour tweaker la RAM DX 128 avant de hacker le fil 128 sur le DMARK généré par le CPU ID du flux X4428 sans trigger le safety net du chromosome X du boitier que j'ai pas très bien compris.
Je me rappelle de cette affaire oui. J'avais aussi été outré. Le mec trouve une faille, previens les personnes concernées pour qu'il l'a corrige mais au lieu d'être félicité et remercier, il est condamné par la justice. Et là tu te dis l'honneteté ne paye pas toujours.
Surtout que s'il a trouvé une faille, combien avant s'en sont peut-être servi de façon malhonnête ?? Je me rappelle aussi l'affaire ("Pirates Mag'" à l'époque) et comme vous j'avais été choqué. Moralité, si vous trouvez une faille, exploitez-la et vous finirez peut-être en taule, ou prévenez la banque, et vous finirez sûrement en taule...
Il a un flow et un charisme incroyable cet homme je trouve. Et au delà de ça c'est un vrai génie, il a en quelques sortes ouvert les yeux au monde sur la vulnérabilité de tous systèmes.. c'est fou
Je me rappelle très bien de la période où c'est arrivé. Je suis vraiment content de voir qu'il s'en est plutôt bien sorti. L'injustice de son cas m'avait exaspéré à l'époque. J'étais vraiment inquiet pour lui.
Tout à fait, je me suis dit à l'époque qu'il avait eu affaire à des cadres incompétents qui avaient rapidement veillé à ce que leur responsabilité ne soit pas engagée. Classique.
Oui je me rappelle aussi, j'étais en train de conduire et j'ai entendu à la radio aux informations un truc tellement illogique : Serge Humpich, présenté comme un paranoïaque (et un autre terme dont je ne me rappelle plus) qui aurait piraté des cartes bleues et se serait présenté de lui-même pour le prouver. Je me souviens d'avoir passé une journée où j'ai été assez désabusé, j'en ai parlé à quelques personnes sans qu'il n'y ait aucune réaction.
Je m'en souviens quand c'était passé à la tv. En gros au informations il temoignait qu'il allait être jugé suite à sa trouvaille et qu'il n'avait rien volé, juste balancé l'info.
@@TurLuTuTuTuLasDansLeQun lanceur d’alerte condamné ? Il serait donc le premier … c’est déjà arrivé plus récemment Assange, Snowden, l’informaticien de la HSBC, tous des lanceurs d’alertes qui ont étés ou sont encore poursuivis par la justice
Super intéressant cet épisode, merci pour l'avoir invité. Pour ceux qui se demandent, il ne pouvait retirer que de petites sommes à la fois. En effet, il y a 3 phases dans le paiement, les 2 premières étaient hackable, la 3ème ne l'était pas. Sauf que cette 3ème étape, c'est lorsque le boitié fait des vérifications auprès de la banque. C'est long (10 secondes), et donc c'est fait uniquement pour minimum plusieurs centaines d'euros, ou si la carte est fichée (trop de découvert par exemple). Il faut aussi savoir qu'ils ont encore pris quelques années avant de corriger cette faille, et que dans les années qui ont suivies, ce fut à nouveau hacké, puis corrigé, puis hacké... Mais maintenant ça semble solide :)
c'est là qu'il a mal joué. Il a hacké le niveau de sécurité le plus faible de la carte bleue et a crié à l'exploit (technique) et au scandale, alors qu'il était parfaitement assumé et connu des banques que ce niveau de sécurité n'était pas optimal. Il y avait bien des niveaux de sécurité supérieurs (reposant sur des échanges avec la banque, et qui n'ont jamais été hacké... et pour cause... c'est hyper solide comme principe de sécurité), et la décision de ne les activer que pour les plus grosses transactions se justifiait par les couts et le temps que cela prenait à l'époque. La sécurité est toujours une histoire de ratio bénéfices/risques ou couts/risques, pas juste de technologie. "je n'ai pas de documentation technique".... oui, et ça c'est une évidence quand on l'entend et qu'on sait ce qu'il a fait! Par contre, je suis effectivement atterré par la façon dont l'affaire et Serge en particulier ont été "traités"....plutôt de lui expliquer qu'il n'avait pas inventé l'eau chaude, arguments techniques à l'appui, on l’arrête, et plutôt que lui expliquer pourquoi il était important d’arrêter le cirque médiatique, on fait pression, on lui fait un procès, et on met face à lui des interlocuteurs qui techniquement s'y connaissent encore moins que lui...bref, on remet de l'huile sur le feu et on lui donne envie, pour le coup à juste titre d'alerter la France entière (juste l'inverse de ce qu'il fallait faire)... n'importe quoi.
@@Flangad « Il a [...] crié à à l'exploit (technique) et au scandale » Source ? (spoiler : il n'y en a pas car tu inventes). « il était parfaitement assumé et connu des banques que ce niveau de sécurité n'était pas optimal » Parfaitement assumé, ce n'est pas du tout le souvenir que j'en ai. De plus, un truc assumé ne fait pas une descente de police y compris chez l'avocat. « ll n'avait pas inventé l'eau chaude » Il a juste fallut changer tous les TPE de France, mentir aux clients pour leur faire changer de TPE (ça n'a pas fonctionné pour certains, genre une grosse chaîne de supermarchés qui a dit qu'ils ne changeraient pas, qu'ils expliqueraient à leurs clients que la CB est dangereuse... sauf si le GIE Carte Bleue payait le nouveau matériel et l'installation et le temps perdu, etc. Le GIE a baissé son pantalon plein de caca et a payé. C'est la légende. La réalité est... je ne sais pas). Résumé : tu racontes de la merde.
@@LeCheneDeTele. quand je dis "parfaitement assumé", c'est dans la conception et la mise en place du système. Comme je le dis dans mon message, toute la communication qui a suivi cette affaire a été lamentable... là je suis d'accord, ils n'ont plus rien assumé! Pour expliquer plus en détails: ce n'était pas un scoop à l'époque que les petites transactions étaient vulnérables et ça ne posait aucun souci tant que l'info ne circulait pas (ou pas trop)... il était en effet relativement facile à l'époque de faire une copie d'une vraie carte, exigeant le code secret de notre choix, et qui puisse fonctionner pour toutes les transactions où les "étages supérieurs de sécurité" n'étaient pas activés (les petites transactions). Ce fait était parfaitement documenté, connu.... c'était une conséquence quasi évidentes des spécifications techniques de la carte bleue. c'est pour ça que je dis que c'était assumé. Et encore une fois, les étages de sécurité supérieurs étaient bien là et inviolables lorsque que c'était jugé nécessaire. La seule chose en plus qu'a fait Serge comparé à la "copie de carte" que j'évoque, c'est d'avoir cassé une clé, ce qui lui permettait de faire un peu mieux qu'une copie d'une carte : il pouvait créer une carte de toute pièce, basée sur un porteur fictif, et donc rattachée à aucun compte en banque... et pour ça, il a effectivement cassé une clé secrète qui lorsque la carte a été conçue pouvait être largement assez sécurisée et ne l'était visiblement plus assez au moment de l'affaire. Mais le fait que cette clé ait été découverte ou pas ne change pas grand chose à la sécurité globale du système. Autrement dit: il y avait déjà à l'époque tout ce qu'il fallait, techniquement, dans le système carte bleue pour sécuriser les transactions. Il avait juste été décidé de ne pas mettre en œuvre systématiquement tous les mécanismes de sécurité disponibles (les réserver aux gros montants) tout simplement parce que ça aurait couté trop cher comparé cout estimé de la fraude rendu possible par cette relative vulnérabilité (il fallait quand même un certain niveau pour jouer à ça). Serge n'a pas appris grand chose au GIE quand il est allé les voir en leur disant "attention, j'ai découvert une faille dans le système CB, regardez, j'ai réussi à le hacker". Les faiblesses qu'il a présentées étaient parfaitement connues du GIE, elles étaient partie intégrante d'une stratégie de sécurité globale parfaitement assumée, et c'est probablement pour ça qu'il n'a pas été pris au sérieux. Sauf que à partir du moment où l'information circule à grande échelle et qu'on a plus affaire à un petit hacker qui fait juste son bricolage dans on coin mais à quelqu'un qui communique sur le sujet, évidement, le principe du "petit risque, petite sécurité, gros risque, grosse sécurité" ne tient plus, car "ptit risque multiplé par un nombre de fraudes potentielles qui explose, ça devient un gros risque...et c'est ça qui a rendu le GIE très ronchon et obligé à mettre à jour l’ensemble du système (ce qui a probablement couté une fortune). mais il ne faut pas perdre de vue qu'à l'époque internet était loin d'être ce qu'il est aujourd'hui et justement les infos circulaient infiniment moins facilement qu'aujourd'hui. La sécurité informatique, ça repose sur des mécanismes techniques, mais pas seulement... ça repose aussi sur de la confidentialité de l'info et c'est surtout le fait que des infos qui jusqu'à présent n'étaient présentes que dans des documents "à diffusion restreinte".... (mais pas Top Secret non plus, la preuve, j'y ai eu accès en toute légalité alors que j'étais encore étudiant) soient diffusées dans les medias qui a énervé les banques...et engendré leur réaction déplorable (qui n'a d'ailleurs fait qu’aggraver les choses car c'est à partir de là que tout le monde s'est mis à en parler).
@@Flangad J'ai quand même l'impression que seule une petite fraction des électroniciens/ingénieurs auraient été capables de faire ce qu'il a fait. En ce sens, c'est tout de même un exploit technique. Ce qu'il a fait, ça permettait de faire beaucoup plus que ce que font les gens qui font du "skimming", avec moins de risque (car pas besoin d'aller bidouiller un distributeur de billets, d'y installer un transmetteur relié à une ligne de téléphone, etc). Donc si c'était réalisable par n'importe quel ingénieur lambda, pourquoi ça n'a pas été fait massivement, comme l'est le skimming aujourd'hui ?
@@brinckau ce qui est remarquable (mais pas un exploit pour autant) c'est d'avoir réussi à faire ce qu'il a fait sans avoir l’accès aux docs techniques.... ça c'est clair. Je ne dis pas que Serge est mauvais techniquement, mais il a clairement mis la main et fait un bout de rétro-ingénierie dans quelque chose qui le dépasse sous bien des aspects, aussi bien techniques que de stratégie globale de sécurité et que communication (ce qui est tout à fait normal vu le niveau d'infos auquel il avait accès).
J'adore les mecs qui raconte des anecdotes que personnes ne comprends tellement elles sont technique 😂 Moi je réclame, j'exige, une émission spéciale rien que pour expliquer son anecdote. 😉
L'affaire avait été médiatisée - à l'époque, tout bidouilleur connaissait l'affaire Humpich. On en discutait au café avec les collègues, on était dégoûtés. L'erreur de M.Humpich est d'avoir voulu la jouer "white hat" et d'avoir voulu contribuer à améliorer la sécurité des paiements à l'époque... La perception du hacking a beaucoup évolué depuis (quoique, même aujourd'hui, je ne suis pas convaincu que ce soit très bien perçu dans la monde bancaire). Je ne suis pas un auditeur habituel de la chaine, mais quand j'ai vu le titre de la vidéo, j'ai immédiatement su que c'était de M.Humpich que vous alliez parler - une personne dont je n'avait jamais plus entendu parler. Je suis heureux que cette personne ne regrette rien de sa vie.
Il y en a encore, cette semaine je me suis fait avoir pour 241€, c'est peut-être pas beaucoup pour vous mais pour moi, c'est la moitié de ma retraite, alors a72 ans vivre cela c'est dur !
@@pauladessart-corthouts9738 Par quel mécanisme PRECIS as-tu été défait de cette somme ? parce que moi, mes 4 banques, si je suis pas l'auteur de la dépense, je suis remboursé dans la journée. Enfin techniquement, j'ai jamais été volé d'argent sur ma CB; mais 3 fois mes banques m'ont contacté pour me proposer d'annuler une opération douteuse. J'ai jamais non plus été piraté contre mon gré (j'héberge plusieurs virus que j'ai téléchargé en connaissance de cause). Pourtant, je suis attaqué en permanence (une dizaine d'attaque par seconde depuis 2004). En fait, la semaine dernière j'ai même été remboursé d'une opération légitime. J'ai jamais compris pourquoi. J'ai payé un truc, et 8j après, j'ai été remboursé par ma banque. J'ai quand même contacté le commerçant pour leur proposer un second paiement si ils découvrent un trou dans la caisse. Et non, 241€ c'est rien. J'ai voulu porter plainte pour TENTATIVE d'escroquerie sur mes comptes bancaires, et le policier m'a répondu "tentative, donc, ils ont rien pris ? parce que nous sous 1500€ on bouge pas, et sous 800€ c'est même pas la peine de penser à venir nous voir". J'avais pourtant des coordonnées, classé sans suite. Donc si t'as pas perdu 1500€, t'as rien perdu.
La perception à changé, mais dans le fond, non. Si ça va trop loin : punition. Ce qui est incompris, car très technique = peur. Et en plus quand ça touche l'argent....
En 1978, avec un pote d'origine portugaise on avait remarqué que les monnayeurs reconnaissaient la pièce d'1 escudo (environ 3 centimes) comme une pièce de 10 Francs. On avait essayé par hasard car les 2 pièces se ressemblaient (taille, poids, couleur... vérifiez sur google). On récupérait alors des pièces d'1 escudo dans la communauté portugaise qui rentrait de vacances pour jouer au flipper 😂J'ai testé dans un distributeur SNCF, il m'avait rendu 8,50 F en achetant un ticket à 1,50F avec une pièce d'1 escudo, valant donc 3 centimes !
@@rizzentuto9218 En fait, il y avait moins d'adrénaline à jouer sans payer... il y aurait certainement eu moyen de gratter un peu d'oseille mais notre trip c'était de poser une pièce de 2 francs dans le cendrier du baby-foot pour reprendre le gagnant après le lycée, jouer au billard français et le perdant payait l'addition.
Serge Humpich est une légende ! Merci de l'avoir invité pour l'avoir fait découvrir aux plus jeunes.... Il a clairement montré à ses dépends le double discours des autorités de l'époque qui préféraient punir plutôt que de récompenser le lanceur d'alerte... Maintenant il serait aller à l'ANSSI avec un tel truc il aurait plus probablement eut un chèque et un contrat qui va avec 🥳
Ça continue toujours. J ai un droit légal de consulter le code source de MonMaster. Mais le ministère semble se raidir à l idée de l exécution de l ordonance. Faire corriger Parcoursup et ça avait repris de plus belle. Peut être que je devrait le vendre aux Russes en donnant l argent à l Ukraine pour déclencher une prise de conscience avec la cyberattaque qui en résulterait. Ça éviterait que ce ne soit Daesch avec la volonté de provoquer une vague de suicide.
Bonjour, je tiens à vous remercier pour cette interview ! J’en avais entendu parlé dans les années 90 et je pensais que cette personne avait disparu ou pire ! Bravo à ce monsieur !!!
Je me souviens de cette affaire à ses dèbuts et le choc que ça m’a procuré car vous étiez de parfaite bonne volonté à l’égard du giecb. Je suis heureux d’apprendre de vos nouvelles télévisuellement.
Doucement les raccourcis. Quand on commence à fouiller dans une carte bancaire et à la modifier, on sait qu'on rentre dans l'illégal. Et pas qu'un peu. Peu importe les motivations, la loi c'est la loi.
Si vous voulez en savoir plus, il y a un super passage dans la série " Halt and Catch Fire " où on peut voir comment à l'époque ils avaient récupérer le code binaire du bios d'IBM de la même façon que ce Mr. pour programmer leurs propres bios. Merci pour cette interview vraiment super intéressante.
Pour répondre plus précisément à la question de Nozman sur l'origine des fonds pour la fausse transaction. C'est la banque (Acquéreur) qui a du payer la transaction avec ses fonds propre à son client (Accepteur)(RATP dans l'exemple des tickets de metro) par obligation contractuelle. Elle même ne pouvait se faire rembourser puisque la carte étant fausse et ne présentant même pas un BIN correcte, elle ne peut se retourner vers une autre banque potentiellement émettrice de la carte.
Ce qui n'est pas dit dans l'extrait, mais qu'il me semble bien avoir lu à l'époque (oui, je suis vieux, et je suivais l'affaire de près :P), c'est que Serge avait voulu "monnayer" sa découverte. En gros, il proposait aux banques de leur livrer la faille, contre un petit chèque. Je ne le juge pas, tout travail mérite salaire, d'autant que c'était pour le bien commun ;) ! D'ailleurs aujourd'hui les grosses boites récompensent à peu près correctement les lanceurs d'alerte qui leur envoient des failles. Mais du coup, c'était aussi ça qui, à l'époque, avait un peu mis le système bancaire en colère contre Serge ;) !
@@dayga5568 vos propos sont incohérents. S'il n'avait pas demandé de contrepartie et qu'il ne s'était pas fait 'cracher dessus' par la suite, rien ne serait venu des banques, ni bon ni mauvais
@@pierre-julienandrieux2783 on parle de banques à qui il présentait une faille qui aurait pu leur coûter des millions, penser qu’il aurait été accueilli à bras ouvert même sans demander de billet de compensation, oui c’est être naïf
Oui enfin c'est plutôt l'intelligence de se dire j'ai pas envie de finir ma vie en prison plutôt que de la gentillesse hein xD Tous les gens qui bossent dans un secteur critique pourraient causer de sacré dégâts. C'est juste être fier de son travail, être un peu curieux, et pas envie d'emmerder le monde ^^ Enfin perso pour bosser dans le système et réseau parfois pour de grosses entreprises c'est mon attitude.
1990-1995 l'époque des yescards, des cartes à puce pour téléphoner gratos, de la génération de numéros de CB avec la clef de Luhn, des cartes pour canal+ et les décodeurs canalsat, des copieurs de jeux super nintendo, megadrive et neogeo. C'était une bonne époque, on s'ennuyait pas à la fac avec tout ça! je ne suis pas certain que c'est ce monsieur qui a fuité toutes les infos, car à la fac un de mes profs était un de 3 inventeurs de la carte à puce qui travaillé pour le giecb et il avait la langue bien... pendue et on faisait pas mal de test. Le hack éthique c'est mignon aujourd'hui mais c'était bien plus drôle à l'époque ! ;)
Quelle chance d'avoir pu recevoir ce génie ! Un electronicien, un vrai un dur :) un hacker, un précurseur. Je me souviens du scandale que ça avait fait, tous les fan de sécurité de l'époque suivaient l'affaire. Ça a fait jurisprudence.
@@faro2468 Je sais pas s'il est vraiment hautain. D'autres commentaires disent qu'il est humble... En tout cas, il est forcément super doué. Il peut être fier de lui.
Je m'en souviens, les yes card se sont mises à circuler partout. La vérification était local tpe/carte crédit. Et ça fonctionnait, mais si il y'avait une demande d'autorisation car le montant était trop important la transaction était alors invalidé. Les commerçants font un appel en fin de journée pour transférer les fonds à leur banque.
un peu dommage que les gens qui se veulent informaticiens aujourd'hui captent pas quand on parle de hardware basique, de ram, d'oscilloscope, de cycle, de bus... c'est quand même un peu la base de savoir ce qui fait tourner son programme, au dela de juste "ligne de code, classe et fonction" y'a pas une vraie compréhension de ce qui se passe quand un programme tourne, ni des composants de bases.... Même si à la limite vous voulez pas toucher à l'électronique, apprenez au moins l'architecture de processeur, ca fera de vous de meilleurs programmeurs :)
J'ai fait des soudures sur port ISA et port // et pourtant j'ai pas compris la différence entre south bridge et north bridge, ni le fonctionnement détaillé du prefetcher. J'ai abandonné en cours de route. Les machines modernes sont devenues trop complexes pour que quiconque puisse encore en avoir une compréhension globale. Si des machines comme NEXT ou Alpha pouvaient être conçues, hard et soft, par moins de 50 personnes, aujourd'hui faut une cohorte de plus de 10000 personnes juste pour coder le noyau linux, et des intelligences artificielles pour optimiser le routage d'un processeur (j ai lâché au pentium 4, n ayant jamais entendu parlé de pentium 5, il semblerait qu'ils aient changé de nomenclature ).
@@Ibrahim-pf1il pour ça il suffit de dominos. Avec des boîtes d allumette tu peux fabriquer une IA qui apprend de ses erreurs ... Voir la chaîne stand up math
Je m'en souviens… j'étais gamin et je trouvais ça déjà débile à l'époque de condamner un mec qui avait trouvé une faille et avait prévenu les banques pour qu'ils corrigent…
ahhh ce mec est une légende mais par pitié le couper pas au pire vous faite une autre vidéo pour expliquer les concepts !! sinon pour ceux qui veulent capter chaque concept qui ne peut s'apprendre que par la pratique il y a toujours la chaine très connu de ben eater .. et merci pour l'itw
Tout a fait, les vidéos de Ben Eater sont incroyables de précision et de pédagogie pour comprendre les vieilles architectures d'ordinateurs 8 bits! Il serait d'ailleurs de bon ton de faire référence a la source lorsque underscore utilise ses images pendant l'explication technique...
@@thomhpl oui complétement d'accord avec ton mesage, maintenant sur un point permet moi de partager ma vision des chose ce ne sont pas du tout des vielles architectures(du sens ou elle se retrouve dans les modernes) de mon point de vue d'hobbyiste. Elle on un double avantage elle sont accessible si on les prend par le bon bout et permette si on pratique d'assembler un ordinateur fonctionnel. Qu'est ce que l'ALU, un bus de donné un decodeur comment on compare une valeur (qu'on retrouve en haut niveau ) comment l'ordinateur mémorise on retrouve matériellement ce qu'on va retrouvé en haut niveau du coup tous ce qui est retro est une mine d'or. La grosse différence avec les vielles archi c'est qu'on a pas le concept de carte graphique on pilote un écran crt, et la ben c'est vrai que c'est pas une partie que je maitrise comme la communication avec des périphérique .. en tout cas la bonne journée au passionné de techno
@@Pos44Dami c'est tout a fait juste, l'architecture de base est la même, mais les systèmes modernes ont bien plus de complexité ajoutée et sont bien plus intégrés. Impossible aujourd'hui d'observer directement un bus de données tant la vitesse de la RAM est haute, les processeurs ont des mémoires cache a plusieurs niveaux, la plupart des données transitent via PCI vers les périphériques. Le coeur du CPU est le même, mais tout autour a changé ;)
Au delà de l'énorme perf technique, je crois que ce monsieur a aussi mis en lumière certaines absurdités de nos croyances sécuritaires (c'est bien écris hein). En tt cas bravo à lui.
Je connaissais un mec qui faisait des yescard au début des années 90. Il avait été voir le GIE qui s'en battait les K de la sécurité des utilisateurs. Tout ce qu'ils voulaient c'est que ça ne se sache pas. Quand Humpich est allé, à son tour, les voir, ils savaient. Humpich s'est fait avoir en voulant prouver ses dires. Il l'a payé très cher.
Je m’en souviens comme si c’était hier après la lecture d’un article sur Le Point en 99 (numéro spécial Japon) et j’avais été consterné déjà à l’époque pour ce qui était une terrible injustice : il aide à améliorer un système, et au lieu d’être remercié il se fait arrêter !!!
quand des chercheurs de l'université de Birmingham ont cracké les immobilizers utilisés par VW, qu'ils ont prévenu en toute bonne foie le constructeur d'une faille de sécurité, même chose, que des problèmes...menaces, procès, interdiction de publier etc...
5:45 en 1995 les terminaux de paiement n'envoyez aux banques les ordres de paiement que la nuit tombée pour ne pas saturer les lignes téléphoniques donc on pouvait avec des fausses cartes donner des faux numéros de compte qui n'était analysé que des heures après l'ordre de paiement: Yes card
@13:52: ce serait super de faire une émission qui explique exactement quel hacking est autorisé, sous quelles conditions, en France et aux US, par la loi ou la jurisprudence.
Pour ceux qui se posent la question, la faille découverte par ce monsieur n'existe plus. C'était sur la norme B0' française qui n'existe plus et a été remplacé par la norme EMV (internationnale et d'origine américaine Master/Visa) depuis 2005.
Étonnant qu’il n’ait pas expliqué la raison pour laquelle sa « yes card » a fonctionné pour l’achat de quelques tickets de métro mais n’aurait pas fonctionné pour un achat de 1000€ (comme demandé par le type à la casquette) : à moins de 100fr de l’époque il n’y avait pas d’interrogation du central pour obtenir une autorisation.
De nos jours les pirates crckent toulours les cartes bancaires a paiement sans contact qui ne demandent pas d'autorisation jusqu'a une vingtaine d'euros pour la plupart,non? Pas grand chose n'a change de ce cote-la.
Il est costaud lui. Entre l'archéologue et le Mike Horn de l'électronique, A 8:30 ... Ah ouais. Le gars, y se fait arrêter.... et du coup, il est content . "Ah bah, finalement. Là, on me croit." lol Chaud quand même.
Hypothèse: Il n'était pas le premier à l'avoir découvert mais c'était le seul honnête pendant que d'autres s'en sont mis pleins les poches illégalement
40 flics pour arrêter un brave type ! hahaha :)) Qu'est ce qu'ils doivent se mettre dans la poche la fliquerie avec des missions comme pour arrêter un lapin ! hahaha :))
Avoir un malfaiteur dans des rang fait toujours mauvais effet. Y a encore ce jour des tas de boîte ou il est impossible d être embauché si t'as pas un casier vierge (conducteur de bus par exemple , pour citer un truc pas obvious )
c'est comme sur l'autoroute. si a chaque fois les terminaux doivent attendre le retour de l'autorisation de la banque c'est des files d'atente de plusieurs kilomètres en perspectives....
Admirable et effrayant !!! Mais chapeau a vs tous..👍 PS.O!! l'honnêteté n'est pas Tjours payeuse..C fou.. J'ai trop ri quand il a dit... Personne ne me croyait....C fou.......
Qui se rappelle de ce reportage de M6 des années 2000 où on voyait un reportage sur le hack de carte bleu. On voyait un gars flouté retirer des paquet de clopes au comptoir du bar tabac avec une carte vitale ? Le mec avait bien payé avec une carte vitale.
Serge Humpich, ça faisait longtemps, ça me rappelle l'époque des Pirate'Mag ! L'idée qu'on s'en faisait à l'époque c'est que SH était génial, mais il avait un égo sur-dimensionné. C'est cet ego qu'il l'a mis dedans.
Bonjour. Cela etait possible car les paiements ne s'effectaient pas en ligne, mais simplemement en vérifiiant que la carte présentée était une carte de paiement. Aujourd'hui cela ne serait plus possible car pour valider votre achat/paiement, le terminal de paiement (POS) interroge votre banque et lui demande l'autorisation à l'operation. La carte fictive produite n'étant reliée à aucun compte, le piaement serait refusé
Sa me fait penser directement au film Terminator 2 lorsque John Connor et son pote sortent leur systéme pour hacker un distributeur . Vraiment passionnant l’interview.
Je bossais dans les cartes à puce a une époque, les constructeurs de carte s'étaient trompés dans l'envoi du manuel, il m'avait filé un document ultra sensible J'en ai jamais rien fait, j'ai renvoyé le manuel. On m'a averti que faux monnayeur, même électronique valait 20 ans de taule. Sinon ,je me rappel de la médiatisation de cette histoire.
Je croyais que le seul « vrai » électronicien de france etait Stephane Marty 😱😱😱😱 Même si tu perd du monde fallait le laisser finir, la réflexion était intéressante
Wouahhhh!!!! La yes card!!! Mon héro!! Tu m'avais (presque) donné l'envie d'en faire une à l'époque :)) et décoder le code ligne par ligne me rappelle quand je craquais les jeux pc, desassambler jusqu'à trouver l'instruction qui teste le code du jeu et inverser la condition.... I had a dream...
À la décharge des banques à l'époque, internet n'était peut être pas assez démocratisé pour mettre en place l'autorisation systématique qu'appliquent presque tous·tes les banques/TPE aujourd'hui. Avec la couverture actuelle en réseaux mobiles on peut faire fonctionner un TPE avec autorisation systématique presque partout.
Dans les années 90 les piratages n'étaient pas ... rare. Ils étaient très fréquents mais il n'existait presque qu'aucune sécurité ou programmes pour ne serait-ce que les détecter. et un programmeur dans les années 80/90 faisait ... presque obligatoirement du hacking, cracking et prehacking ou au moins, apprenait suffisamment la dessus pour savoir ce que c'était.
Très bonne vidéo. Cependant le chien ne descend pas du loup, ils ont peut être un ancêtre commun mais pas plus. Il faut en finir avec cette croyance qui a été démontrée comme étant erronée.
À l'époque les connexions étaient lentes et on avaient la possibilité de lancer une télécollecte en fin de journée. Toutes les transactions (vraies ou forgées) étaient stockées dans le terminal de paiement pendant la journée de travail (même les cartes volées étaient sync le soir, ou le matin... ) et envoyées au centre bancaire le soir... Je me souviens bien de cette histoire. Un as de la rétro ingéniérie ce gars. Un vrai hacker.
10:12 Aujourd'hui clairement que oui c'est détectable. Déjà, il n'est pas impossible que le TPE détecte que le numéro de carte ne correspond à rien. Ensuite à partir d'un certain montant, un autorisation est lancée et, aucun compte n'étant lié à la carte, elle aurait été refusée et même probablement lancé une alerte. Pour un petit montant, ça serait passé sur le moment mais lors de la télécollecte (envoi des transactions du jour à la banque) ça aurait été détecté. A partir de là, toutes les informations de la transaction auraient été épluchées et on aurait facilement retrouvé lieu, date et heure de la transaction. Et donc par exemple dans une station de métro avec caméra, on aurait très facilement retrouvé la personne.
A l époque, j’ai bossé dans la monétique et la faille était plus subtile et connue. Le cœur du problème était que les appels des terminaux coûtaient une fortune et qu il y avait des vérifications qu au delà de 3 achat ou plus de 100 francs
Je me souvient de se dimanche après-midi ou je tombe sur se reportage et je voie se monsieur piraté un cb et la passé à des journalistes qui prene un péage avec . J aurai fait tellement plus avec cet fameuse carte vital transformé en cb c fou !
Il y a paiement offline (par exemple au péage) asynchrone et online synchrone (en boutique) où la transaction est validée par l'émetteur de la carte (pas tout à fait vrai mais il faut simplifier) via le réseau de paiement Visa/Mastercard/CB. Il a réussi une transaction valide offline (peut-être en générant un ARQC, autorisation de paiement valide si ça existait à l'époque). Il y a une régularisation des paiements offline en batch où les transactions sont réellement effectuées entre la banque du client et du marchand. S'il a utilisé un numéro de carte non-valide, ça se voit, S'il a utilisé un numéro de carte valide, je suppose que quelqu'un finira par se plaindre.
Je me souviens qu'au début de l'affaire il avait engagé deux avocats, un nain et un aveugle. Cela ne l'avait sans doute pas aidé pour être pris au sérieux.
Par contre dire que dans les années 90 y avait pas de hack... faut se renseigner un peu quand même ! C'était même l'âge d'or du hacking... A l'époque, le phreaking, les blue-box, le hack de hardware, c'était un putain de challenge et un jeu pour beaucoup ! En vrai c'était même des fois trop simple, car les sécu n'étaient pas encore au top, et on rajoutait de l'électronique partout : les bagnoles, les débuts de la domotique, la robotique... bref, on voulait tout "informatiser" et tout faire communiquer, mais sans les connaissances actuelles (et les practices actuelles) en terme de sécu !
Oui c'est ce qui me dérange avec ces émissions : la plupart des jeunes gars de 20 ans pensent qu'ils sont pionniers dans leurs domaines, et qu'avant on savait rien faire... Une telle inculture est incroyable, en plus d'être irrespectueux.
Il y’a des sociétés qui payent pour trouver des failles mais pas pour monsieur apparement, à mon avis c’est très bien ce qu’il a fait si on veut évoluer les choses
Allez direct à 5:11 si vous arrivez pas à suivre la technique ! 😅
pic16f84
C'est surtout la partie sur le DPROM qu'il a dû bypasser pour tweaker la RAM DX 128 avant de hacker le fil 128 sur le DMARK généré par le CPU ID du flux X4428 sans trigger le safety net du chromosome X du boitier que j'ai pas très bien compris.
Au contraire, c'est vachement intéressant!
Trop tard, mais si j'avais vue ton commentaire avant, j aurais clic
Nouveaux locaux?
Super travail de rétro-ingénierie ! Je suis d'autant plus admiratif de l'intégrité dont Serge a fait preuve dans sa vie !
Il s'appelle serge
Ouais le pauvre Serge il aurait pu se gaver mais a préféré faire de la leche pour au final se taper une G.A.V.
Il aurait dû s'appeler momo, non ?
Je me rappelle de cette affaire oui. J'avais aussi été outré. Le mec trouve une faille, previens les personnes concernées pour qu'il l'a corrige mais au lieu d'être félicité et remercier, il est condamné par la justice.
Et là tu te dis l'honneteté ne paye pas toujours.
Cela ne vous rappelle pas certains lanceurs d'alerte 😉 ?
Surtout que s'il a trouvé une faille, combien avant s'en sont peut-être servi de façon malhonnête ?? Je me rappelle aussi l'affaire ("Pirates Mag'" à l'époque) et comme vous j'avais été choqué. Moralité, si vous trouvez une faille, exploitez-la et vous finirez peut-être en taule, ou prévenez la banque, et vous finirez sûrement en taule...
Aujourd'hui tu trouve une faille comme ça tu nique tout et tu te tais. L'honnêteté n'a jamais payé
Il a un flow et un charisme incroyable cet homme je trouve. Et au delà de ça c'est un vrai génie, il a en quelques sortes ouvert les yeux au monde sur la vulnérabilité de tous systèmes.. c'est fou
non ?
Ce mec est un génie (et assez humble avec ça) ce qu'il a subit c'est tout bonnement scandaleux, heureusement qu'il le prend avec philosophie ^^
Exactement 👍
un collabo
Je me rappelle très bien de la période où c'est arrivé. Je suis vraiment content de voir qu'il s'en est plutôt bien sorti. L'injustice de son cas m'avait exaspéré à l'époque. J'étais vraiment inquiet pour lui.
Tout à fait, je me suis dit à l'époque qu'il avait eu affaire à des cadres incompétents qui avaient rapidement veillé à ce que leur responsabilité ne soit pas engagée. Classique.
Oui je me rappelle aussi, j'étais en train de conduire et j'ai entendu à la radio aux informations un truc tellement illogique : Serge Humpich, présenté comme un paranoïaque (et un autre terme dont je ne me rappelle plus) qui aurait piraté des cartes bleues et se serait présenté de lui-même pour le prouver.
Je me souviens d'avoir passé une journée où j'ai été assez désabusé, j'en ai parlé à quelques personnes sans qu'il n'y ait aucune réaction.
Je m'en souviens quand c'était passé à la tv.
En gros au informations il temoignait qu'il allait être jugé suite à sa trouvaille et qu'il n'avait rien volé, juste balancé l'info.
@@TurLuTuTuTuLasDansLeQun lanceur d’alerte condamné ? Il serait donc le premier … c’est déjà arrivé plus récemment Assange, Snowden, l’informaticien de la HSBC, tous des lanceurs d’alertes qui ont étés ou sont encore poursuivis par la justice
Super intéressant cet épisode, merci pour l'avoir invité. Pour ceux qui se demandent, il ne pouvait retirer que de petites sommes à la fois. En effet, il y a 3 phases dans le paiement, les 2 premières étaient hackable, la 3ème ne l'était pas. Sauf que cette 3ème étape, c'est lorsque le boitié fait des vérifications auprès de la banque. C'est long (10 secondes), et donc c'est fait uniquement pour minimum plusieurs centaines d'euros, ou si la carte est fichée (trop de découvert par exemple).
Il faut aussi savoir qu'ils ont encore pris quelques années avant de corriger cette faille, et que dans les années qui ont suivies, ce fut à nouveau hacké, puis corrigé, puis hacké... Mais maintenant ça semble solide :)
c'est là qu'il a mal joué. Il a hacké le niveau de sécurité le plus faible de la carte bleue et a crié à l'exploit (technique) et au scandale, alors qu'il était parfaitement assumé et connu des banques que ce niveau de sécurité n'était pas optimal. Il y avait bien des niveaux de sécurité supérieurs (reposant sur des échanges avec la banque, et qui n'ont jamais été hacké... et pour cause... c'est hyper solide comme principe de sécurité), et la décision de ne les activer que pour les plus grosses transactions se justifiait par les couts et le temps que cela prenait à l'époque. La sécurité est toujours une histoire de ratio bénéfices/risques ou couts/risques, pas juste de technologie. "je n'ai pas de documentation technique".... oui, et ça c'est une évidence quand on l'entend et qu'on sait ce qu'il a fait! Par contre, je suis effectivement atterré par la façon dont l'affaire et Serge en particulier ont été "traités"....plutôt de lui expliquer qu'il n'avait pas inventé l'eau chaude, arguments techniques à l'appui, on l’arrête, et plutôt que lui expliquer pourquoi il était important d’arrêter le cirque médiatique, on fait pression, on lui fait un procès, et on met face à lui des interlocuteurs qui techniquement s'y connaissent encore moins que lui...bref, on remet de l'huile sur le feu et on lui donne envie, pour le coup à juste titre d'alerter la France entière (juste l'inverse de ce qu'il fallait faire)... n'importe quoi.
@@Flangad
« Il a [...] crié à à l'exploit (technique) et au scandale » Source ? (spoiler : il n'y en a pas car tu inventes).
« il était parfaitement assumé et connu des banques que ce niveau de sécurité n'était pas optimal » Parfaitement assumé, ce n'est pas du tout le souvenir que j'en ai. De plus, un truc assumé ne fait pas une descente de police y compris chez l'avocat.
« ll n'avait pas inventé l'eau chaude » Il a juste fallut changer tous les TPE de France, mentir aux clients pour leur faire changer de TPE (ça n'a pas fonctionné pour certains, genre une grosse chaîne de supermarchés qui a dit qu'ils ne changeraient pas, qu'ils expliqueraient à leurs clients que la CB est dangereuse... sauf si le GIE Carte Bleue payait le nouveau matériel et l'installation et le temps perdu, etc. Le GIE a baissé son pantalon plein de caca et a payé. C'est la légende. La réalité est... je ne sais pas).
Résumé : tu racontes de la merde.
@@LeCheneDeTele. quand je dis "parfaitement assumé", c'est dans la conception et la mise en place du système. Comme je le dis dans mon message, toute la communication qui a suivi cette affaire a été lamentable... là je suis d'accord, ils n'ont plus rien assumé!
Pour expliquer plus en détails: ce n'était pas un scoop à l'époque que les petites transactions étaient vulnérables et ça ne posait aucun souci tant que l'info ne circulait pas (ou pas trop)... il était en effet relativement facile à l'époque de faire une copie d'une vraie carte, exigeant le code secret de notre choix, et qui puisse fonctionner pour toutes les transactions où les "étages supérieurs de sécurité" n'étaient pas activés (les petites transactions). Ce fait était parfaitement documenté, connu.... c'était une conséquence quasi évidentes des spécifications techniques de la carte bleue. c'est pour ça que je dis que c'était assumé. Et encore une fois, les étages de sécurité supérieurs étaient bien là et inviolables lorsque que c'était jugé nécessaire. La seule chose en plus qu'a fait Serge comparé à la "copie de carte" que j'évoque, c'est d'avoir cassé une clé, ce qui lui permettait de faire un peu mieux qu'une copie d'une carte : il pouvait créer une carte de toute pièce, basée sur un porteur fictif, et donc rattachée à aucun compte en banque... et pour ça, il a effectivement cassé une clé secrète qui lorsque la carte a été conçue pouvait être largement assez sécurisée et ne l'était visiblement plus assez au moment de l'affaire. Mais le fait que cette clé ait été découverte ou pas ne change pas grand chose à la sécurité globale du système.
Autrement dit: il y avait déjà à l'époque tout ce qu'il fallait, techniquement, dans le système carte bleue pour sécuriser les transactions. Il avait juste été décidé de ne pas mettre en œuvre systématiquement tous les mécanismes de sécurité disponibles (les réserver aux gros montants) tout simplement parce que ça aurait couté trop cher comparé cout estimé de la fraude rendu possible par cette relative vulnérabilité (il fallait quand même un certain niveau pour jouer à ça). Serge n'a pas appris grand chose au GIE quand il est allé les voir en leur disant "attention, j'ai découvert une faille dans le système CB, regardez, j'ai réussi à le hacker". Les faiblesses qu'il a présentées étaient parfaitement connues du GIE, elles étaient partie intégrante d'une stratégie de sécurité globale parfaitement assumée, et c'est probablement pour ça qu'il n'a pas été pris au sérieux.
Sauf que à partir du moment où l'information circule à grande échelle et qu'on a plus affaire à un petit hacker qui fait juste son bricolage dans on coin mais à quelqu'un qui communique sur le sujet, évidement, le principe du "petit risque, petite sécurité, gros risque, grosse sécurité" ne tient plus, car "ptit risque multiplé par un nombre de fraudes potentielles qui explose, ça devient un gros risque...et c'est ça qui a rendu le GIE très ronchon et obligé à mettre à jour l’ensemble du système (ce qui a probablement couté une fortune). mais il ne faut pas perdre de vue qu'à l'époque internet était loin d'être ce qu'il est aujourd'hui et justement les infos circulaient infiniment moins facilement qu'aujourd'hui.
La sécurité informatique, ça repose sur des mécanismes techniques, mais pas seulement... ça repose aussi sur de la confidentialité de l'info et c'est surtout le fait que des infos qui jusqu'à présent n'étaient présentes que dans des documents "à diffusion restreinte".... (mais pas Top Secret non plus, la preuve, j'y ai eu accès en toute légalité alors que j'étais encore étudiant) soient diffusées dans les medias qui a énervé les banques...et engendré leur réaction déplorable (qui n'a d'ailleurs fait qu’aggraver les choses car c'est à partir de là que tout le monde s'est mis à en parler).
@@Flangad J'ai quand même l'impression que seule une petite fraction des électroniciens/ingénieurs auraient été capables de faire ce qu'il a fait. En ce sens, c'est tout de même un exploit technique.
Ce qu'il a fait, ça permettait de faire beaucoup plus que ce que font les gens qui font du "skimming", avec moins de risque (car pas besoin d'aller bidouiller un distributeur de billets, d'y installer un transmetteur relié à une ligne de téléphone, etc). Donc si c'était réalisable par n'importe quel ingénieur lambda, pourquoi ça n'a pas été fait massivement, comme l'est le skimming aujourd'hui ?
@@brinckau ce qui est remarquable (mais pas un exploit pour autant) c'est d'avoir réussi à faire ce qu'il a fait sans avoir l’accès aux docs techniques.... ça c'est clair. Je ne dis pas que Serge est mauvais techniquement, mais il a clairement mis la main et fait un bout de rétro-ingénierie dans quelque chose qui le dépasse sous bien des aspects, aussi bien techniques que de stratégie globale de sécurité et que communication (ce qui est tout à fait normal vu le niveau d'infos auquel il avait accès).
J'adore les mecs qui raconte des anecdotes que personnes ne comprends tellement elles sont technique 😂
Moi je réclame, j'exige, une émission spéciale rien que pour expliquer son anecdote. 😉
Va voir deus ex silicium.
Perso j'ai à peu près compris
@@Benoit-Pierre Je connais le loustic et, en effet, il est bien du même bois. Passionnant mais il faut s'accrocher pour suivre.
fr.wikipedia.org/wiki/YesCard
J'ai compris ce dont il parlais sans même être très technique. Il faut juste s'intéresser au software et au hardware légèrement
L'affaire avait été médiatisée - à l'époque, tout bidouilleur connaissait l'affaire Humpich. On en discutait au café avec les collègues, on était dégoûtés. L'erreur de M.Humpich est d'avoir voulu la jouer "white hat" et d'avoir voulu contribuer à améliorer la sécurité des paiements à l'époque... La perception du hacking a beaucoup évolué depuis (quoique, même aujourd'hui, je ne suis pas convaincu que ce soit très bien perçu dans la monde bancaire).
Je ne suis pas un auditeur habituel de la chaine, mais quand j'ai vu le titre de la vidéo, j'ai immédiatement su que c'était de M.Humpich que vous alliez parler - une personne dont je n'avait jamais plus entendu parler. Je suis heureux que cette personne ne regrette rien de sa vie.
Pareil :)
Y a eu la même 10 ans plus tard avec moneo craqué par un prof de math
Il y en a encore, cette semaine je me suis fait avoir pour 241€, c'est peut-être pas beaucoup pour vous mais pour moi, c'est la moitié de ma retraite, alors a72 ans vivre cela c'est dur !
@@pauladessart-corthouts9738 Par quel mécanisme PRECIS as-tu été défait de cette somme ? parce que moi, mes 4 banques, si je suis pas l'auteur de la dépense, je suis remboursé dans la journée.
Enfin techniquement, j'ai jamais été volé d'argent sur ma CB; mais 3 fois mes banques m'ont contacté pour me proposer d'annuler une opération douteuse.
J'ai jamais non plus été piraté contre mon gré (j'héberge plusieurs virus que j'ai téléchargé en connaissance de cause). Pourtant, je suis attaqué en permanence (une dizaine d'attaque par seconde depuis 2004).
En fait, la semaine dernière j'ai même été remboursé d'une opération légitime. J'ai jamais compris pourquoi. J'ai payé un truc, et 8j après, j'ai été remboursé par ma banque. J'ai quand même contacté le commerçant pour leur proposer un second paiement si ils découvrent un trou dans la caisse.
Et non, 241€ c'est rien.
J'ai voulu porter plainte pour TENTATIVE d'escroquerie sur mes comptes bancaires, et le policier m'a répondu "tentative, donc, ils ont rien pris ? parce que nous sous 1500€ on bouge pas, et sous 800€ c'est même pas la peine de penser à venir nous voir". J'avais pourtant des coordonnées, classé sans suite.
Donc si t'as pas perdu 1500€, t'as rien perdu.
La perception à changé, mais dans le fond, non. Si ça va trop loin : punition. Ce qui est incompris, car très technique = peur. Et en plus quand ça touche l'argent....
En 1978, avec un pote d'origine portugaise on avait remarqué que les monnayeurs reconnaissaient la pièce d'1 escudo (environ 3 centimes) comme une pièce de 10 Francs. On avait essayé par hasard car les 2 pièces se ressemblaient (taille, poids, couleur... vérifiez sur google).
On récupérait alors des pièces d'1 escudo dans la communauté portugaise qui rentrait de vacances pour jouer au flipper 😂J'ai testé dans un distributeur SNCF, il m'avait rendu 8,50 F en achetant un ticket à 1,50F avec une pièce d'1 escudo, valant donc 3 centimes !
Bravo😁
@@rizzentuto9218
En fait, il y avait moins d'adrénaline à jouer sans payer... il y aurait certainement eu moyen de gratter un peu d'oseille mais notre trip c'était de poser une pièce de 2 francs dans le cendrier du baby-foot pour reprendre le gagnant après le lycée, jouer au billard français et le perdant payait l'addition.
Et à cette époque les lires italiennes passaient aussi dans certaines machines, dont les cabines telephoniques, vive les poids et mesures lol !
Serge Humpich est une légende ! Merci de l'avoir invité pour l'avoir fait découvrir aux plus jeunes.... Il a clairement montré à ses dépends le double discours des autorités de l'époque qui préféraient punir plutôt que de récompenser le lanceur d'alerte... Maintenant il serait aller à l'ANSSI avec un tel truc il aurait plus probablement eut un chèque et un contrat qui va avec 🥳
Ça continue toujours. J ai un droit légal de consulter le code source de MonMaster. Mais le ministère semble se raidir à l idée de l exécution de l ordonance. Faire corriger Parcoursup et ça avait repris de plus belle.
Peut être que je devrait le vendre aux Russes en donnant l argent à l Ukraine pour déclencher une prise de conscience avec la cyberattaque qui en résulterait.
Ça éviterait que ce ne soit Daesch avec la volonté de provoquer une vague de suicide.
Super intéressant, c'est pas la première fois que vous ramenez un type qui a une histoire dingue et plein de choses a raconter.
Bonjour, je tiens à vous remercier pour cette interview ! J’en avais entendu parlé dans les années 90 et je pensais que cette personne avait disparu ou pire ! Bravo à ce monsieur !!!
Je me souviens de cette affaire à ses dèbuts et le choc que ça m’a procuré car vous étiez de parfaite bonne volonté à l’égard du giecb. Je suis heureux d’apprendre de vos nouvelles télévisuellement.
Imagine trouver une faille et te faire enfermer pour avoir prévenu que des ingénieurs ont fait une boulette
*Prison avec sursis, donc pas vraiment prison par contre le simple fait qu'il y ait eu une condamnation est honteux
@@akiesa559 c'est ça qui me dégoûte, une condamnation c'est quand on a commis un crime, là il a juste montré une faille sans intention malveillante.
@@RetroGamersFaction je suis bien d'accord avec toi heureusement que les choses sont différentes maintenant...
Ça arrive plus souvent qu on croit
Doucement les raccourcis. Quand on commence à fouiller dans une carte bancaire et à la modifier, on sait qu'on rentre dans l'illégal. Et pas qu'un peu.
Peu importe les motivations, la loi c'est la loi.
Toujours intéressant François Cluzet quand il parle d'électronique.
Ohlala toi t'es pas le couteau le plus aiguisé du tiroir, ni même le pingouin qui glisse le plus loin
😂 c’est tellement ça
MEEEEEERDEEEEEE
Putain merci je cherchais depuis 5 min !
Oh bien trouvé
Si vous voulez en savoir plus, il y a un super passage dans la série " Halt and Catch Fire " où on peut voir comment à l'époque ils avaient récupérer le code binaire du bios d'IBM de la même façon que ce Mr. pour programmer leurs propres bios.
Merci pour cette interview vraiment super intéressante.
Pour répondre plus précisément à la question de Nozman sur l'origine des fonds pour la fausse transaction. C'est la banque (Acquéreur) qui a du payer la transaction avec ses fonds propre à son client (Accepteur)(RATP dans l'exemple des tickets de metro) par obligation contractuelle. Elle même ne pouvait se faire rembourser puisque la carte étant fausse et ne présentant même pas un BIN correcte, elle ne peut se retourner vers une autre banque potentiellement émettrice de la carte.
Eh bah j'ai parlé de lui pour mon grand oral ! C'est trop cool de le retrouver ici :)
Ce qui n'est pas dit dans l'extrait, mais qu'il me semble bien avoir lu à l'époque (oui, je suis vieux, et je suivais l'affaire de près :P), c'est que Serge avait voulu "monnayer" sa découverte.
En gros, il proposait aux banques de leur livrer la faille, contre un petit chèque.
Je ne le juge pas, tout travail mérite salaire, d'autant que c'était pour le bien commun ;) ! D'ailleurs aujourd'hui les grosses boites récompensent à peu près correctement les lanceurs d'alerte qui leur envoient des failles.
Mais du coup, c'était aussi ça qui, à l'époque, avait un peu mis le système bancaire en colère contre Serge ;) !
ça se comprend, mais même si il n'avait rien demandé en contrepartie, il se serait quand même fait cracher dessus par les gros de ce monde mdr
@@dayga5568 avec des si...
@@pierre-julienandrieux2783 c’est vrai mais faut être naïf pour penser que quelque chose de bon peut venir des banques
@@dayga5568 vos propos sont incohérents. S'il n'avait pas demandé de contrepartie et qu'il ne s'était pas fait 'cracher dessus' par la suite, rien ne serait venu des banques, ni bon ni mauvais
@@pierre-julienandrieux2783 on parle de banques à qui il présentait une faille qui aurait pu leur coûter des millions, penser qu’il aurait été accueilli à bras ouvert même sans demander de billet de compensation, oui c’est être naïf
J'ai l'impression que les plus grands esprits sont les gens les plus gentils ! Il aurait pu faire de sacré dégâts
Ce sont les gens qui réfléchissent avant de parler...
Oui enfin c'est plutôt l'intelligence de se dire j'ai pas envie de finir ma vie en prison plutôt que de la gentillesse hein xD Tous les gens qui bossent dans un secteur critique pourraient causer de sacré dégâts. C'est juste être fier de son travail, être un peu curieux, et pas envie d'emmerder le monde ^^ Enfin perso pour bosser dans le système et réseau parfois pour de grosses entreprises c'est mon attitude.
@@YunSeong37 Donc tu es complice de ces pratiques. Merci mais tu aurais sûrement vendu certaines personnes en 39-45.
@@vladimirbogdanov91 C'est quoi le rapport, mais il est fou ce type xD
Un génie fou, incompris ! magnifique, le meilleur intervenant à ce jour !
j'ai RIEN compris, mais je suis admirative devant ce monsieur!
1990-1995 l'époque des yescards, des cartes à puce pour téléphoner gratos, de la génération de numéros de CB avec la clef de Luhn, des cartes pour canal+ et les décodeurs canalsat, des copieurs de jeux super nintendo, megadrive et neogeo. C'était une bonne époque, on s'ennuyait pas à la fac avec tout ça! je ne suis pas certain que c'est ce monsieur qui a fuité toutes les infos, car à la fac un de mes profs était un de 3 inventeurs de la carte à puce qui travaillé pour le giecb et il avait la langue bien... pendue et on faisait pas mal de test. Le hack éthique c'est mignon aujourd'hui mais c'était bien plus drôle à l'époque ! ;)
Quelle chance d'avoir pu recevoir ce génie ! Un electronicien, un vrai un dur :) un hacker, un précurseur. Je me souviens du scandale que ça avait fait, tous les fan de sécurité de l'époque suivaient l'affaire. Ça a fait jurisprudence.
On a tous reconnus François Cluzet, gg à lui ! Cet invité est incroyable. Et merci pour l'émission
J'appuie tous les commentaires qui demandent une version longue de l'entretien de cet homme.
ptin il parle comme un mec des simpsons
😂😂😂😂😂😂😂
Grave et hyper hautain, à croire qu'il est le premier chirurgien à avoir réussi une transplantation cardiaque !
@@faro2468 Je sais pas s'il est vraiment hautain. D'autres commentaires disent qu'il est humble... En tout cas, il est forcément super doué. Il peut être fier de lui.
Il n'est pas hautain il parle un français correct mélangé a des termes informatiques.
😂😂😂😂😂😂
Je m'en souviens, les yes card se sont mises à circuler partout.
La vérification était local tpe/carte crédit.
Et ça fonctionnait, mais si il y'avait une demande d'autorisation car le montant était trop important la transaction était alors invalidé.
Les commerçants font un appel en fin de journée pour transférer les fonds à leur banque.
L'humanité n'est pas perdue des jeunes qui tiennent une chaîne youtube si intéressantesm🙏🏼🙏🏼🙏🏼🙏🏼 je découvre et franchement très professionnel.
un peu dommage que les gens qui se veulent informaticiens aujourd'hui captent pas quand on parle de hardware basique, de ram, d'oscilloscope, de cycle, de bus... c'est quand même un peu la base de savoir ce qui fait tourner son programme, au dela de juste "ligne de code, classe et fonction" y'a pas une vraie compréhension de ce qui se passe quand un programme tourne, ni des composants de bases....
Même si à la limite vous voulez pas toucher à l'électronique, apprenez au moins l'architecture de processeur, ca fera de vous de meilleurs programmeurs :)
J'ai fait des soudures sur port ISA et port // et pourtant j'ai pas compris la différence entre south bridge et north bridge, ni le fonctionnement détaillé du prefetcher.
J'ai abandonné en cours de route.
Les machines modernes sont devenues trop complexes pour que quiconque puisse encore en avoir une compréhension globale.
Si des machines comme NEXT ou Alpha pouvaient être conçues, hard et soft, par moins de 50 personnes, aujourd'hui faut une cohorte de plus de 10000 personnes juste pour coder le noyau linux, et des intelligences artificielles pour optimiser le routage d'un processeur (j ai lâché au pentium 4, n ayant jamais entendu parlé de pentium 5, il semblerait qu'ils aient changé de nomenclature ).
Vraie à 100%. Au moins comprendre les composants qui font les portes logiques.
@@Ibrahim-pf1il pour ça il suffit de dominos.
Avec des boîtes d allumette tu peux fabriquer une IA qui apprend de ses erreurs ...
Voir la chaîne stand up math
@@Benoit-Pierre Est ce que tu pourrais me passer le lien de la vidéo, je suis curieux de voir sa ?
@@Ibrahim-pf1il j arrive pas a poster mes messages sont censuré
Je connaissais un peu son histoire (38 ans d'informatique derrière moi). Génial !
Mais... quand c'est bien, c'est toujours trop court.
Merci 😉👍
Je m'en souviens… j'étais gamin et je trouvais ça déjà débile à l'époque de condamner un mec qui avait trouvé une faille et avait prévenu les banques pour qu'ils corrigent…
La Plus-value de roni aka lupin sur votre émission est incroyable
ahhh ce mec est une légende mais par pitié le couper pas au pire vous faite une autre vidéo pour expliquer les concepts !! sinon pour ceux qui veulent capter chaque concept qui ne peut s'apprendre que par la pratique il y a toujours la chaine très connu de ben eater .. et merci pour l'itw
Ben eater !!!
Tout a fait, les vidéos de Ben Eater sont incroyables de précision et de pédagogie pour comprendre les vieilles architectures d'ordinateurs 8 bits! Il serait d'ailleurs de bon ton de faire référence a la source lorsque underscore utilise ses images pendant l'explication technique...
@@thomhpl oui complétement d'accord avec ton mesage, maintenant sur un point permet moi de partager ma vision des chose ce ne sont pas du tout des vielles architectures(du sens ou elle se retrouve dans les modernes) de mon point de vue d'hobbyiste. Elle on un double avantage elle sont accessible si on les prend par le bon bout et permette si on pratique d'assembler un ordinateur fonctionnel.
Qu'est ce que l'ALU, un bus de donné un decodeur comment on compare une valeur (qu'on retrouve en haut niveau ) comment l'ordinateur mémorise on retrouve matériellement ce qu'on va retrouvé en haut niveau du coup tous ce qui est retro est une mine d'or.
La grosse différence avec les vielles archi c'est qu'on a pas le concept de carte graphique on pilote un écran crt, et la ben c'est vrai que c'est pas une partie que je maitrise comme la communication avec des périphérique ..
en tout cas la bonne journée au passionné de techno
@@Pos44Dami c'est tout a fait juste, l'architecture de base est la même, mais les systèmes modernes ont bien plus de complexité ajoutée et sont bien plus intégrés. Impossible aujourd'hui d'observer directement un bus de données tant la vitesse de la RAM est haute, les processeurs ont des mémoires cache a plusieurs niveaux, la plupart des données transitent via PCI vers les périphériques. Le coeur du CPU est le même, mais tout autour a changé ;)
Au delà de l'énorme perf technique, je crois que ce monsieur a aussi mis en lumière certaines absurdités de nos croyances sécuritaires (c'est bien écris hein). En tt cas bravo à lui.
j'aime bien son air "oui...boh..pff, j'ai cracké le systeme bancaire de l'époque quoi..'fin bon.."
Je connaissais un mec qui faisait des yescard au début des années 90. Il avait été voir le GIE qui s'en battait les K de la sécurité des utilisateurs. Tout ce qu'ils voulaient c'est que ça ne se sache pas. Quand Humpich est allé, à son tour, les voir, ils savaient. Humpich s'est fait avoir en voulant prouver ses dires. Il l'a payé très cher.
J'adore les électroniciens qui causent techniques! Les gars vous parlez carrément une autre langue :-)
Je m’en souviens comme si c’était hier après la lecture d’un article sur Le Point en 99 (numéro spécial Japon) et j’avais été consterné déjà à l’époque pour ce qui était une terrible injustice : il aide à améliorer un système, et au lieu d’être remercié il se fait arrêter !!!
quand des chercheurs de l'université de Birmingham ont cracké les immobilizers utilisés par VW, qu'ils ont prévenu en toute bonne foie le constructeur d'une faille de sécurité, même chose, que des problèmes...menaces, procès, interdiction de publier etc...
5:45 en 1995 les terminaux de paiement n'envoyez aux banques les ordres de paiement que la nuit tombée pour ne pas saturer les lignes téléphoniques donc on pouvait avec des fausses cartes donner des faux numéros de compte qui n'était analysé que des heures après l'ordre de paiement: Yes card
@13:52: ce serait super de faire une émission qui explique exactement quel hacking est autorisé, sous quelles conditions, en France et aux US, par la loi ou la jurisprudence.
Pour ceux qui se posent la question, la faille découverte par ce monsieur n'existe plus. C'était sur la norme B0' française qui n'existe plus et a été remplacé par la norme EMV (internationnale et d'origine américaine Master/Visa) depuis 2005.
J'ai l'impression d'entendre Mr Mackey (South Park), ca me stresse 😂
Étonnant qu’il n’ait pas expliqué la raison pour laquelle sa « yes card » a fonctionné pour l’achat de quelques tickets de métro mais n’aurait pas fonctionné pour un achat de 1000€ (comme demandé par le type à la casquette) : à moins de 100fr de l’époque il n’y avait pas d’interrogation du central pour obtenir une autorisation.
De nos jours les pirates crckent toulours les cartes bancaires a paiement sans contact qui ne demandent pas d'autorisation jusqu'a une vingtaine d'euros pour la plupart,non? Pas grand chose n'a change de ce cote-la.
Je déteste ce style d’élocution, mais l’expérience est génial. Merci d’avoir trouvé une histoire pareille 👍👍👍👍👍👍👍
Il est costaud lui. Entre l'archéologue et le Mike Horn de l'électronique,
A 8:30 ... Ah ouais. Le gars, y se fait arrêter.... et du coup, il est content . "Ah bah, finalement. Là, on me croit." lol Chaud quand même.
Ce passage était un enfer à écouter en podcast, il est tellement endormant le monsieur 😂
Sa voix et son intonation sont abominables 😄
Je cherchais vos commentaires ahah, vraiment pas possible à regarder 😮💨🤣
On dirait la voix d'un prof de math ou de physique chimie haha
Genre 8:16 c'est limite de l'irrespect là 😂
Merci !
Les gars vous êtes TOP !!! Et votre invité est excellent !!! Du coup je m'abonne à votre chaine 👍👍👍.
10:12
Pour moi cette intervention mérite vraiment d'être mise en avant. Car c'est criant d'un problème majeur sur notre société
Hypothèse: Il n'était pas le premier à l'avoir découvert mais c'était le seul honnête pendant que d'autres s'en sont mis pleins les poches illégalement
100% c'est ça et la médiatisation qui a suivi semble être juste un avertissement pour ceux qui l'ont exploité potentiellement à côté
Merci super vidéo , la partie technique est très intéressant voire stimulante !
Ce genre de personnes sont des genies de l'ombre. C'est grace a eux tt la technologie d'aujourdhui
Il a la même voix que Francois Cluzet, c'est abusé ! A part ça, il est incroyable bien sûr :)
40 flics pour arrêter un brave type ! hahaha :))
Qu'est ce qu'ils doivent se mettre dans la poche la fliquerie avec des missions comme pour arrêter un lapin ! hahaha :))
Une très belle émission, avec quelque chose d'émouvant et de positif. Merci. 🙏
Exzellent j adore ecoute des histoire de fait reel surtout une comme Celle la en plus il a ca maniere de parle serieux c interessant
un employé comme ça c'est de l'or quel gâchis de le virer !
Avoir un malfaiteur dans des rang fait toujours mauvais effet. Y a encore ce jour des tas de boîte ou il est impossible d être embauché si t'as pas un casier vierge (conducteur de bus par exemple , pour citer un truc pas obvious )
c'est comme sur l'autoroute. si a chaque fois les terminaux doivent attendre le retour de l'autorisation de la banque c'est des files d'atente de plusieurs kilomètres en perspectives....
Pas moi qui découvre que ram ça veut dire random Access mémories et qui a une giga illumination sur le dernier album des Daft punks 🤣
Admirable et effrayant !!!
Mais chapeau a vs tous..👍
PS.O!! l'honnêteté n'est pas Tjours payeuse..C fou.. J'ai trop ri quand il a dit... Personne ne me croyait....C fou.......
Compris les jeunes...trouvez un truc original...L IA A PEUT-ÊTRE DU SOUCIS A SE FAIRE...👍
Qui se rappelle de ce reportage de M6 des années 2000 où on voyait un reportage sur le hack de carte bleu. On voyait un gars flouté retirer des paquet de clopes au comptoir du bar tabac avec une carte vitale ? Le mec avait bien payé avec une carte vitale.
Ça me dit quelque chose: il est passé au péage avec un numéro de carte 123456789..
4:51 on aperçoit une image de ce reportage (mec en blouse blanche)
Serge Humpich, ça faisait longtemps, ça me rappelle l'époque des Pirate'Mag ! L'idée qu'on s'en faisait à l'époque c'est que SH était génial, mais il avait un égo sur-dimensionné. C'est cet ego qu'il l'a mis dedans.
Personne se dit que quelqu’un avait peut-être déjà trouvé la faille mais peut-être juste que cette dernière ne s’est jamais fait prendre
Bonjour. Cela etait possible car les paiements ne s'effectaient pas en ligne, mais simplemement en vérifiiant que la carte présentée était une carte de paiement. Aujourd'hui cela ne serait plus possible car pour valider votre achat/paiement, le terminal de paiement (POS) interroge votre banque et lui demande l'autorisation à l'operation. La carte fictive produite n'étant reliée à aucun compte, le piaement serait refusé
Sa me fait penser directement au film Terminator 2 lorsque John Connor et son pote sortent leur systéme pour hacker un distributeur . Vraiment passionnant l’interview.
Un Atari Portfolio doté d'un modem, l'équivalent mobile du hacker de "Wargames".
Serge Humpich a écrit un livre paru en 2001, "Le Cerveau Bleu", chez XO Éditions, où il raconte toute son aventure : passionnant récit...
Je bossais dans les cartes à puce a une époque, les constructeurs de carte s'étaient trompés dans l'envoi du manuel, il m'avait filé un document ultra sensible
J'en ai jamais rien fait, j'ai renvoyé le manuel. On m'a averti que faux monnayeur, même électronique valait 20 ans de taule. Sinon ,je me rappel de la médiatisation de cette histoire.
Top ces explications pointues et détaillées !!
Excellent sa manière de parler, on sent bien que le mec est pas commun^^
Excellente chaine, continuez ! Quel Monsieur ! Bravo !
Incroyable émission, plus de 22 ans après la censure
Je croyais que le seul « vrai » électronicien de france etait Stephane Marty 😱😱😱😱
Même si tu perd du monde fallait le laisser finir, la réflexion était intéressante
Wouahhhh!!!! La yes card!!! Mon héro!! Tu m'avais (presque) donné l'envie d'en faire une à l'époque :)) et décoder le code ligne par ligne me rappelle quand je craquais les jeux pc, desassambler jusqu'à trouver l'instruction qui teste le code du jeu et inverser la condition.... I had a dream...
À la décharge des banques à l'époque, internet n'était peut être pas assez démocratisé pour mettre en place l'autorisation systématique qu'appliquent presque tous·tes les banques/TPE aujourd'hui. Avec la couverture actuelle en réseaux mobiles on peut faire fonctionner un TPE avec autorisation systématique presque partout.
Oh je suis content d'avoir des nouvelles de Serge Humich. J'avais suivi sa malheureuse histoire des YES cards.
J'avais suivi cette histoire dans le magazine "Le virus informatique" à l'époque.
Dans les années 90 les piratages n'étaient pas ... rare. Ils étaient très fréquents mais il n'existait presque qu'aucune sécurité ou programmes pour ne serait-ce que les détecter.
et un programmeur dans les années 80/90 faisait ... presque obligatoirement du hacking, cracking et prehacking ou au moins, apprenait suffisamment la dessus pour savoir ce que c'était.
Très bonne vidéo. Cependant le chien ne descend pas du loup, ils ont peut être un ancêtre commun mais pas plus. Il faut en finir avec cette croyance qui a été démontrée comme étant erronée.
À l'époque les connexions étaient lentes et on avaient la possibilité de lancer une télécollecte en fin de journée. Toutes les transactions (vraies ou forgées) étaient stockées dans le terminal de paiement pendant la journée de travail (même les cartes volées étaient sync le soir, ou le matin... ) et envoyées au centre bancaire le soir... Je me souviens bien de cette histoire. Un as de la rétro ingéniérie ce gars. Un vrai hacker.
l'inventeur des yes card du debut des années 2000 Merci chef
10:12 Aujourd'hui clairement que oui c'est détectable. Déjà, il n'est pas impossible que le TPE détecte que le numéro de carte ne correspond à rien. Ensuite à partir d'un certain montant, un autorisation est lancée et, aucun compte n'étant lié à la carte, elle aurait été refusée et même probablement lancé une alerte. Pour un petit montant, ça serait passé sur le moment mais lors de la télécollecte (envoi des transactions du jour à la banque) ça aurait été détecté. A partir de là, toutes les informations de la transaction auraient été épluchées et on aurait facilement retrouvé lieu, date et heure de la transaction. Et donc par exemple dans une station de métro avec caméra, on aurait très facilement retrouvé la personne.
A cette époque le facturette lors du retrait affichait le numéro de carte bleue... beaucoup de choses ont changées depuis
Oui, tout change, mais... les yescards existent toujours ;)
j'adore ton émission. vous avez toujours des invités incroyables. 🤩
A l époque, j’ai bossé dans la monétique et la faille était plus subtile et connue. Le cœur du problème était que les appels des terminaux coûtaient une fortune et qu il y avait des vérifications qu au delà de 3 achat ou plus de 100 francs
Je me souvient de se dimanche après-midi ou je tombe sur se reportage et je voie se monsieur piraté un cb et la passé à des journalistes qui prene un péage avec . J aurai fait tellement plus avec cet fameuse carte vital transformé en cb c fou !
"on aime péter des trucs" 😂😂🤣🤣 génial !
Je n'ai pas compris ce qui lui a été reproché exactement ? Quels étaient les motifs invoqués au procès ?
Je me souviens très bien de lui et de son histoire (oui, je suis un vieux), il est passé à ça se discute
le moment du “d’où vient l’argent? y’a pas d’argent en fait…” c’est juste enorme
Il y a paiement offline (par exemple au péage) asynchrone et online synchrone (en boutique) où la transaction est validée par l'émetteur de la carte (pas tout à fait vrai mais il faut simplifier) via le réseau de paiement Visa/Mastercard/CB.
Il a réussi une transaction valide offline (peut-être en générant un ARQC, autorisation de paiement valide si ça existait à l'époque).
Il y a une régularisation des paiements offline en batch où les transactions sont réellement effectuées entre la banque du client et du marchand. S'il a utilisé un numéro de carte non-valide, ça se voit, S'il a utilisé un numéro de carte valide, je suppose que quelqu'un finira par se plaindre.
plus je comprends rien , plus sa me fascine !!🤣🤣
Essaye deus ex silicium
Superbe vidéo Micode!
L'affaire avait été bien décrite dans le magazine Pirates Mag.
J'ai absolument rien compris 😆
Mais je kiffe l'intelligence du gars et son génie.
Je me souviens qu'au début de l'affaire il avait engagé deux avocats, un nain et un aveugle. Cela ne l'avait sans doute pas aidé pour être pris au sérieux.
Par contre dire que dans les années 90 y avait pas de hack... faut se renseigner un peu quand même ! C'était même l'âge d'or du hacking...
A l'époque, le phreaking, les blue-box, le hack de hardware, c'était un putain de challenge et un jeu pour beaucoup ! En vrai c'était même des fois trop simple, car les sécu n'étaient pas encore au top, et on rajoutait de l'électronique partout : les bagnoles, les débuts de la domotique, la robotique... bref, on voulait tout "informatiser" et tout faire communiquer, mais sans les connaissances actuelles (et les practices actuelles) en terme de sécu !
Oui c'est ce qui me dérange avec ces émissions : la plupart des jeunes gars de 20 ans pensent qu'ils sont pionniers dans leurs domaines, et qu'avant on savait rien faire...
Une telle inculture est incroyable, en plus d'être irrespectueux.
serge a presque la même voix que françois cluzet, un biopic avec cluzet serait parfait !
Il y’a des sociétés qui payent pour trouver des failles mais pas pour monsieur apparement, à mon avis c’est très bien ce qu’il a fait si on veut évoluer les choses