Le tombeur de la Carte Bleue condamné : génie incompris ou habile maître chanteur ?
Publié le 05/03/2000 par Etienne Wery
Les faits Serge Humpich est un personnage énigmatique. Probablement informaticien de génie, il prétend avoir percé l’algorithme de la célèbre Carte Bleue française (première carte à puce de paiement en France). Il s’est présenté un jour par avocat interposé au consortium de banques qui gère la Carte Bleue – le GIE Carte Bleue – avec…
Les faits
Serge Humpich est un personnage énigmatique.
Probablement informaticien de génie, il prétend avoir percé l’algorithme de la célèbre Carte Bleue française (première carte à puce de paiement en France). Il s’est présenté un jour par avocat interposé au consortium de banques qui gère la Carte Bleue – le GIE Carte Bleue – avec 10 carnets de 10 tickets de métro non utilisés attestant de la réalité de 10 transactions intervenues aux guichets automatiques des stations de métro Balard et Charles-Michels effectuées le 7 juillet 1998, transactions effectivement créditées à la Ratp mais se rapportant à 10 numéros de cartes de paiement affectés au Crédit Mutuel mais non encore attribués à des porteurs !
Dans le cadre de ces discussions, il a proposé au GIE Carte Bleue de conclure avec lui un « contrat de transmission de savoir-faire et de secret » dans lequel il révèle la faille du système qui lui a permis de percer l’algorithme.Tout en poursuivant les discussions, le GIE Carte Bleue dépose plainte.
Les préventions et les moyens de défense
Quelques perquisitions plus tard (aussi bien chez son avocat qu’à son domicile), Serge Humpich est poursuivi en justice pour « avoir frauduleusement accédé et s’être maintenu dans le système de traitement automatisé de données du GIE Cartes bancaires, y avoir introduit des données, et avoir contrefait 5 cartes bancaires et en avoir fait usage ».
La défense invoque deux choses :
-
Tout d’abord, elle soutient que l’infraction n’est matériellement pas établie, les travaux ayant été réalisés sur des éléments séparés du système de paiement automatisé, et n’ayant donc pas impliqué d’accès au système au sens de la loi.
-
Elle plaide plus fondamentalement l’absence d’élément moral et affirme que Serge Humpich a été animé dès l’origine « non par l’appât du gain mais par la seule curiosité du chercheur et que sa démarche est purement scientifique ». Pour la défense, « une telle découverte, mettant à jour les défaillances des systèmes de protection mis au point par le GIE Cartes bancaires, ne pouvant, dans l’intérêt bien compris de chacun, être tenue secrète, [le prévenu] prendra immédiatement l’attache d’un avocat, s’adjoindra les compétences de conseils en propriété industrielle afin de garantir les droits qu’il pouvait en attendre, après négociations, dans un cadre contractuel »
Le jugement
Dans son jugement du 25 février 2000, le tribunal correctionnel de Paris a dit les poursuites fondées :
-
Répondant au premier moyen de défense, le tribunal a dit l’infraction matériellement établie en se basant sur des motifs factuels.
-
Plus intéressant est le raisonnement concernant l’imputabilité morale de l’infraction. Pour le juge elle ne fait auucn doute :
Attendu que cette démarche, pour scientifique qu’elle fût au regard de la méthode utilisée, inclut la connaissance de la violation de la norme, Serge Humpich, qui s’est attaché précisément à forcer les dispositifs de sécurité mis en place, n’ayant pu à aucun moment ignorer au cours de ses an-nées de recherches, elles-mêmes annoncées dans ses correspondances précitées remontant à l’année 1993, qu’il accédait dans le STAD du GIE Cartes bancaires contre le gré du maître du système ; que, partant, l’élément moral est suffisamment établi ;
Attendu qu’il en est de même en ce qui concerne l’infraction de maintien frauduleux dans le système de traitement automatisé de données ; que cette infraction réside plus spécifiquement dans la recherche pour isoler et identi-fier l’algorithme de cryptage ; que le caractère frauduleux de ce maintien est sans conteste établi dès lors que Serge Humpich a consacré ses efforts à décrypter une donnée cryptée par le maître du système ;
Le tribunal condamne donc le prévenu à une peine sévère de 10 mois de prison. Néanmoins, eu égard à l’absence de profit si ce n’est dans un cadre contractuel finalement avorté, le juge accorde un sursis total.
L’affaire est en appel.
Quelques remarques
L’affaire fait grand bruit en France : la communauté scientifique a pris fait et cause pour Serge Humpich. Les informaticiens sont outrés et crient au complot entre le pouvoir judiciaire et les grosses banques. Un vrai débat de société s’est engagé : l’infraction est-elle établie lorsque le but poursuivi n’est pas frauduleux ? Serge Humpich est-il un inventeur ? Le GIE a-t-il déposé plainte uniquement pour accéder via la procédure au savoir-faire de l’inventeur sans devoir le payer ? Y a-t-il une différence entre Serge Humpich et les « testeurs », ces techniciens qui testent sans relâche tout ce qui se trouve dans le commerce pour trouver les failles des produits et les améliorer. Lorsque l’objet du test est une œuvre protégée, le fait de l’analyser implique-t-il une infraction (de contrefaçon par exemple) ?
Il est vrai que le prévenu a l’air sympathique : il a travaillé des années pour percer ce secret, ne s’est pas enrichi, a choisi la voie officielle et semble animé de bonnes intentions. C’est ainsi qu’il a préféré la voie du transfert de savoir-faire plutôt que le dépôt de brevet, qui l’aurait obligé à dévoiler la technique utilisée et aurait permis à n’im-porte quel mafieux de s’en emparer.
Sur le plan du droit le tribunal a sans doute raison : Serge Humpich connaissait le caractère illégal de sa démarche, motif pour lequel il s’est d’ailleurs entouré au départ du plus grand secret. Sur le plan moral, Serge Humpich a sans doute tout autant raison de clamer ses intentions innocentes. Mais l’intention innocente exonère-t-elle de toute responsabilité si les moyens mis en oeuvre incluent des actes dont on sait qu’ils constituent une infraction ? Finalement, la solution dépend de la sensibilité de chacun et le juge d’appel devra également faire son opinion que nous attendons avec impatience.
Ce qui est certain, c’est qu’il est temps d’organiser un débat public sur la « criminalité informatique » et ses nouvelles facettes. En Belgique, un projet de loi a été déposé mais il ne risque pas d’être d’application demain, le Conseil d’Etat ayant dit tout le mal qu’il pense de ce texte (voir notre actualité du 6 décembre 1999).
Ce débat ne peut pas avoir lieu sans l’étendre à la notion de complicité dans l’univers des réseaux : tout est aujourd’hui interconnecté, de sorte que chacun est complice potentiel de ce que fait son voisin. Le débat sur la responsabilité des fournisseurs d’accès et d’hébergement le démontre chaque semaine.
Pour paraphraser un grand politicien, il est presque trop tard … il est donc grand temps.
Plus d’information sur l’affaire Humpich sur le site de son comité de soutien .
Le jugement est disponible sur Legalis