prec BULL CP8 - DBU 2601 Certificateur suiv

img

Appareil : Certificateur bancaire
Date : 1986
Marque : BULL-CP8
Type : DBU 2601

Quasiment tout le monde à oublié mais le lancement de la carte à puce bancaire en France a été originellement pensé pour sécuriser les transactions par "fer à repasser" très répandues à l'époque, c'est à dire, vers 1986.

L'idée était simple : les paiements par cartes utilisant le "fer à repasser" (prise d'empreinte de la carte), faisaient l'objet de fraudes de la part des commerçants, qui "dupliquaient" les facturettes, falsifiaient les signatures des clients et se faisaient donc payer plusieurs fois. Pour empêcher cette fraude, l'idée a été de rendre unique chaque facturettes en faisant appel aux ressources de la cryptographie. Cette unicité était donc garantie par un calcul cryptographique réalisé par la carte du client dont le résultat, le certificat, était reporté sur la facturette. Chaque résultat de calcul étant garanti comme unique par conception et construction, le commerçant ne pouvait plus dupliquer les facturettes car s'il l'avait fait, la banque aurait pu constater qu'elle avait deux facturettes ou plus avec un même numéro de certificat.

Pour cela, il était nécessaire de disposer d'un équipement capable de dialoguer avec la carte du porteur pour lui faire calculer ce certificat. Le DBU 2601 est un de ces équipement que l'on appelait alors "certificateur". Un autre a été fabriqué ar la société CKD.

Comment cela marchait-il ? En premier lieu, le certificateur devait être initialisé par une carte à puce appartenant au commerçant. On l'appelait "carte commerçant" (Oui, je sais, ça fait bête. Aujourd'hui, je suppose qu'on aurait dit Smart-Card Merchant Unit ou SCMU. Ca fait plus "smart" et ça permet de justifier le salaire des "communicants" soi-disant "créatifs". Mais je m'égare).

Pour chaque transaction, le montant devait être saisi sur le clavier du certificateur. Le client devait alors entrer sa carte dans le certificateur et saisir son code sur ce même clavier. Si celui-ci (vérifié par la carte) était correct, alors, la carte calculait un certificat unique dont les données en entrée étaient (de mémoire) : le montant de la transaction, la date, l'identifiant commerçant, une valeur contenue dans la mémoire de la carte du porteur (qui évoluait à chaque calcul) et bien sur, une clé cryptographique diversifiée par rapport au PAN de la carte du porteur et mémorisée dans la zone secrète de la puce. Si vous voulez plus de précisions, consultez le cours disponible sur ce site.

Disons le tout de suite, ça n'a pas marché. Je crois me souvenir que 30000 certificateurs devaient être commandés chez les sociétés CKD pour une partie et Bull pour une autre. En pratique, très peu ont été commandés et CKD n'a pas résisté à cet échec.

L'appareil présenté ici a été soigneusement conservé par un collègue. Il ne savait plus à quoi il servait mais un autre collègue ayant vécu l'époque des débuts de la carte bancaire à puce m'a confirmé que l'appareil était bien un certificateur. Pour ma part, en 1986, je n'avais vu le certificateur Bull qu'en photo. Par contre, je m'étais amusé avec le CKD qui, soit dit en passant, était passablement bugué !

L'appareil est massif ! Il est très bien construit, avec des plastiques de qualité. Il est composé :

Le certificateur peut être désolidarisé de son embase. Il fonctionne alors sur batterie (9V, CdNi). Son autonomie doit être assez faible dans ce mode mais est suffisante pour permettre de réaliser l'opération de paiement. Une fois terminée, le certificateur doit être remis sur son embase pour assurer la charge de la batterie. La liaison électrique entre l'embase et le certificateur se fait via un Jack 6,35mm.

img

Un petit coup d'oeil sur les étiquettes nous permet de constater que ces deux éléments sont fabriqués en France.

img
img
Plaques signalétiques située sous les appareils

L'intérieur fleure bon l'électronique des années 1980. La fabrication est très propre et fait très profesionnelle. Malgré cela, le coût de fabrication était largement inférieur à celui d'un terminal de paiement électronique (TPE) ce qui justifiait la fourniture de certificateurs dans les petits commerces plutôt que de TPE. Je crois me rappeler qu'un certificateur CKD était vendu aux alentours de 1000 ou 1500F (soit 150 à 200€).

img
img
img
Intérieur du DBU2601

mars 2015

prec sommaire suiv