Pourquoi Banque Populaire est la première banque des entreprises ?
Je me posais des questions sur le partage de la valeur pour mes salariés.
Elodie, ma conseillère Banque Populaire, m'a proposé une solution d'épargne salariale sur mesure,
rapide à mettre en place et que je peux piloter en ligne.
C'était simple et surtout ça a fait des heureux.
Accompagner nos clients sur tous les territoires avec des solutions adaptées à leurs besoins,
c'est ça, être la première banque des entreprises, Banque Populaire, la réussite est en voulue.
Étude Quantar PMEP et Mie de 1023, 14 Banque Populaire, 1ère Banque des PM.
Je te retrouve autour de cette table avec une nouvelle personne tout simplement.
C'est un j'y parait que tu viens de dormir.
Oui, oui, je me réveille, j'ai un peu froid, je vais prendre mon petit déjeuner.
Bah alors...
Ecoute, moi tu m'as dit que t'avais fait une petite nuit blanche sur ton travail à Charnet tout simplement.
Et ça c'est beau.
J'ai tendance à faire ça, je travaille toutes les nuits.
J'ai une vie assez décalée genre...
Je suis en Californien, je me couche le matin, il fait jour.
L'après-midi, j'ai profite du beau temps.
Le matin, je dors.
Je dirais 14 heures à peu près.
Et puis toute la nuit, je travaille.
C'est bien parce que je suis très concentré, je n'ai pas de distraction, je me dis pas, il fait beau dehors, je peux faire tout ça, etc.
Et les meilleurs moments de la journée, au soleil dehors, c'est génial.
J'adore cette vie quoi.
Tout le monde me dit qu'il est décalé, il est social.
Donc là, c'est ce qu'il doit.
Pour toi, il est midi là, à peu près.
Bien tout, je vais aller au travail.
En rentrant, hop là.
Incroyable.
Donc je vous l'ai dit pour ceux qui ne le connaissent pas, qui sont peut-être un peu plus jeunes, on va pas se mentir.
Tu t'appelles Serge Ampiche et...
J'ai pris un coup de vieux.
Ah non mais moi je suis né en 1999.
Donc là, les faits dont on va parler sont à peu près dans ces eaux-là.
Donc nécessairement, mais c'est positif.
C'est-à-dire qu'il y a plein de gens qui vont découvrir un truc de dingue.
Ah c'est souvent Cold Case.
C'est ça.
Je te présente déjà Germain et Ronnie.
Enchanté.
Salut.
Tu as peut-être déjà vu si vous avez des questions, évidemment.
N'hésitez surtout pas.
Et on va essayer de retracer dans les grandes lignes, et on va pouvoir parler de plein d'autres choses évidemment,
et retracer une histoire en particulier qui t'est arrivé.
Je vous l'ai dit, on reçoit aujourd'hui dans l'émission donc l'électronicien.
Parce que tu es électronicien.
Oui, un vrai électronicien.
Un vrai de vrai électronicien.
Serge Ampiche qui est à l'origine d'une des histoires les plus folles de hacking en France.
Oufissime.
Voilà. Petit teasing. On peut résumer par tu as trouvé une faille dans le système des cartes bancaires
qui t'a mené notamment à avoir une peine de prison.
J'ai dit que des trucs vrais.
D'accord.
Pas un être condamné.
Voilà, mais c'est différent.
Exactement.
C'est différent.
Non mais c'était pour là, je voulais juste faire ma phrase de l'émission.
La fin de l'émission parce qu'elle est quand même incroyable.
C'est évidemment plus complexe, on va pouvoir revenir sur ça en détail.
Donc, petite mise en contexte, tu me dis si je me trompe.
On est dans les années 95 environ.
Donc toi, tu as une trentaine d'années, tu travailles dans les salles de marché.
Est-ce que c'est bien ça ?
Oui.
Et c'est là que toi, tu aimes bien bidouiller.
Donc, démonter des choses pour les comprendre.
Et tu vas démonter un terminal de paiement.
Et qu'est-ce que tu as donné l'idée ? Qu'est-ce que tu fais concrètement ?
D'abord, je vais quitter plein de choses.
Et puis des années, j'adore ça.
J'adore cette culture qui est à l'époque assez différente de celle de l'horloge,
qui n'avait rien de social.
Mais on passe toujours des bons moments et on essaie de passer quelque chose.
Quand on j'attaque à tout, les machines à café, les tickets de métro.
Et j'adorais cette technique, ce savoir-faire qu'il y a derrière.
C'est une vraie seconde culture.
Et puis on se creuse la tête.
Donc ça, c'était bien.
Alors là, j'avais l'occasion de j'adore les choses très minutieuses, la concentration.
Je pouvais... C'est ce qui dure longtemps aussi.
Mais je vais dire, j'aime bien aussi refaire de l'électronique.
J'apprécieais de continuer ça.
Ensuite, il y a un aspect...
Pourquoi j'ai attaqué la carte bancaire ?
Parce que c'était quand même un objet central dans nos vies.
Et que si j'y arrivais, c'était quand même conséquent.
Mais aussi, c'était un truc de plus en plus géré par l'État.
C'est-à-dire de gens qui n'ont rien, d'ingénieurs.
Et qui en général prennent des tas de décisions pour des raisons de partenariat, des raisons économiques.
Enfin voilà, je voyais ça à partout.
Donc il y avait de bonnes chances que ça soit pour le système assez ancien comme ça.
On déduit tellement de choses sans même toucher, sans même expérimenter.
Rien que de regarder l'environnement, on tire plein de choses.
C'était un vieux truc, ça ne pouvait pas chauffer.
Il n'y a pas de raison que ça évolue.
Toutes ces gens qui n'y connaissent rien font probablement pas de maintenance.
Et c'était le cas.
C'était l'une des grandes faiblesses.
C'est le puce daté déjà à l'époque de Facile Disque 15 ans.
C'est un modèle CP-8.
Tout y était, tout y était, ce qui m'a beaucoup intéressé.
Alors ça c'est vraiment peut-être anecdotique.
Mais pour moi, ça jouait.
C'est que le terminal de paiement était assez gros.
Pas miniaturisé comme aujourd'hui, il fait qu'il soit gros.
Il y avait de bonnes chances que nous ayons à l'intérieur des boîtiers deep plastic, des boîtiers d'IP.
C'est-à-dire en 10e de pouces, donc j'ai pour accroché mon analyse horologique dedans.
C'est plus simple pour travailler, j'imagine, d'avoir un peu d'espace.
C'est l'espace, mais aussi le fait qu'on voit passer les bus, les bus d'adresse, etc.
Aujourd'hui, quand tout est fondu dans un soft, un composant qui consigne tout,
il faut débuguer avec les possibilités de débugage qui sont prévus.
C'est compliqué.
Mais à l'époque, ça m'intéressait de pouvoir faire tout ça.
Là, vous aviez accès à vraiment chaque étape de la transaction ou du système.
Ce n'est pas très compliqué.
Ce sont des octets en 1200 bouts qui passent.
Donc, ça, c'est vite réglé.

Mais par contre, oui, j'ai passé des mois avec un analyseur logique sur le processeur.
Je voyais les cycles Fetch, je voyais les bus de données, les bus d'adresse, etc.
Et alors là, j'ai vous donné une anecdote technique.
C'est comment ? Parce que c'est terminé quand vous les achetez.
On vente libre, mais il vous faut une carte commerçante.
En tout cas, à l'époque, c'était comme ça pour l'activer.
Et là, le problème que j'avais, c'est que j'avais 2 méga de mémoire de RAM et tout.
Le programme se trouvait dedans.
Jamais raconté, c'est une primeur.
Allez !
Et le programme se trouvait dans cette RAM.
Et si vous touchez le moindre truc avec l'Ocioscope, ça se déprogrammait.
Là, c'est la rage.
Il ne sert plus à rien.
Donc, il faut faire très attention.
Comment je vais sortir ce qu'il y a dans cette RAM ?
Parce que le 2 problèmes qui avaient, c'est facile.
Je l'a sorti, je l'avais dans un lecteur et je l'avais.
Mais ce n'était pas dedans tout ce qui traité de la carte.
En tout cas, en très grande majorité.
Parce que pour expliquer, c'est de la mémoire qui est persistante.
Alors que la RAM, c'est beaucoup plus compliqué, c'est ça ?
Voilà, la RAM, elle était programmée.
Et puis, je n'ai pas accès, je ne peux pas la sortir si je la sors, elle est perdue.
Alors, il fallait que je la sorte.
Et ça, ça m'embêtait, je ne pouvais pas travailler.
Alors, j'ai fait...
C'est là, les petites astuces, quoi, j'ai pris une carte à piste quelconque.
Et je l'ai passée parce qu'il y avait aussi un lecteur des cartes à piste.
Evidemment, il me dit erreur.
Bon, j'avais ouvert le boîtier, je prends l'Ocioscope,
je le mets sur le bit d'adresse du poids fort, du processeur.
Au moment où je passe la carte,
elle est à courbe, on excateur.
Analogique, le Ocioscope, un pensée à l'époque, elle reste en haut, en bas.
Mais je sais que le bus d'adresse, il n'a pas trop possible, on pouvait s'en douter.
C'est une petite routine quelque part,
une petite fonction qui doit lire la piste.
J'essaye sur le...
Je croise les hoes, là, je repasse la piste sur le bus d'adresse d'après.
J'ai réussi à en passer 8.
Sur 16 bits, ça veut dire qu'il ne reste plus que 256 octets,
où se trouve cette fonction.
Allez, c'est évident que ça s'est dans le 2 promes.
Allez, je vais regarder dans le 2 promes, j'avais écrit mon désembleur,
je passe dessus et je suis tout de suite dans cette fonction-là.
Ensuite, il y avait un petit bus...
5 en 1.
... dans la documentation.
On perd du monde dans le chat.
Accrochez-vous, courage.
En gros, c'est... Vous avez vraiment chaque étape...
C'est comme si aujourd'hui, j'essaie de faire l'analogie,
on allait ligne par ligne dans le code, vérifier est-ce que le code fait ça.
Sauf que là, on est vraiment sur du dur,
et du coup, vous vérifiez sur les oscillations dans les octets,
c'est vraiment... Vous avez une machine qui vous fait...
... haut, bas, haut, bas.
Et vous vous dites, ok, là je touche sur le bout de l'algae.
Ça m'aide, ça m'aide, ça m'aide.
Ça va voir où se trouvait le bras.
C'est ça.
Donc ensuite, je sors le 2 promes, je vais modifier cette fonction
dans le 2 promes qui va utiliser, parce qu'en fait,
il y a 2 pinoches sur le processeur qui contenait un port série.
J'ai vérifié à l'aussi, qui ne s'en servent jamais.
Je le reprogramme en port série, c'est pas de là.
Et j'ai comme ça vidé avec un double checksum,
tout le contenu de la RAM dans mon PC,
qui a aussi un programme et qui l'a sorti.
Ok.
Et du coup, c'est le genre de grand moment que personne ne sait.
Ouais, c'est en gros, vous avez le code sur du truc, quoi.
On a pas le code sur du truc, mais toute la logique,
Ouais, toute la logique qu'il y a d'un.
Les techniciens m'auront compris.
C'est ça, exactement.
Non mais c'est ça qui est intéressant, c'est de sentir le...
Qu'est-ce qui se passe ?
C'est la réelle, quoi.
C'est ça, exactement.
Que le moment de jubilation d'avoir détourné le système, quoi.
Je crois que je le dis dans mon livre.
Un moment là, j'ai trouvé une phrase où il y a marqué les petits poissons dans l'eau,
ce noua, enfin, on trouve des choses bizarres,
parce que évidemment, on va dumper tout de suite,
pour rader un petit peu ce qu'on a trouvé, ça.
Et donc, c'est après que je vais trouver tout doucement,
en passant la carte et en déclenchant un analyseur logique,
bien configuré,
où est-ce que ça se passe ?
Après, je peux assez facilement trouver où est-ce qu'on l'allume,
où est-ce que...
Enfin, où est-ce que tout ce que je voudrais, quoi.
Et après, j'ai essayé d'extraire toute la partie
qui chère la partie sécurisation de la carte,
ce qui l'authentifie,
ce qui n'est pas du tout différent du Code Secrets, hein.
Le Code Secrets vous dit est-ce que c'est bien vous qui l'utilisez,
c'est que Joseph Asseline l'utilisait,
l'authentification dit je suis une vraie carte.
Et par un peu comme un...
En ayant changé ça, après, c'est comme si je fais un faux billet
disons de 210 euros,
indubitablement considéré comme vrai, quoi.
On voyait la capacité de créer une carte de toute pièce.
Vrai carte, ouais.
En terminant, puisque j'ai mis des numéros de carte bancaire
qui étaient 0, 1, 2, 3, 4, 5, 6, 7, 8, 9,
ça passait.
Ça, il faut le faire, ça pouvait.
C'est-à-dire que j'étais en capacité de générer une carte
qui avait ce numéro-là,
et tu l'as passé dans un système et c'était valide, quoi.
Valider.
Oui, oui, c'est comme ça que j'avais acheté à l'époque
une dizaine de tickets de métro, oui,
avec des numéros comme ça complètement fantaisistes
pour montrer qu'effectivement tout était fichu, quoi.
Attends, juste que je m'en fâche bien,
l'argent, du coup, il venait d'où dans ces cartes-là ?
Voilà, il n'y a pas vraiment d'argent,
puisqu'en fait le terminal,
considère que c'est une recarte,
il va sortir la facturette,
et lui, il envoie un ordre de débit quelque part.
La question est plus,
où va cet ordre de débit
d'aller quelque part sur un ordinateur
qui s'abat ?
Ok, il y a un moment, en fait,
toi tu payes, tout est validé,
tu récupères le truc,
mais trois jours plus tard,
il y a un ordre qui dit
« Ah non, mais là, cette transaction...
Oui, il n'y a pas d'argent, mais...
Je peux le débiter à personne, quoi.
Voilà, d'accord.
C'est fou.
Donc c'était pas une carte
qui permettait de retirer de l'argent, par exemple ?
Ça c'est un problème un peu différent,
c'est à dire que les distributeurs de billets
fonctionnaient encore à l'époque,
avec principalement avec le PIST.
C'est une question historique,
c'est à dire que l'intérêt de la carte à PIS,
c'est qu'à l'époque, les réseaux,
il n'y a pas encore d'internet,
les réseaux, du manière générale,
écoutez, vraiment, très cher,
les conditions spécialisées, etc.
Donc l'intérêt de la carte à PIS,
c'était économique.
On ne plus besoin de ça.
Alors que les terminaux
de distributeurs de billets,
bon, eux, ils étaient connectés.
Donc ils vérifient de manière autrement, quoi.
Mais, pardon.
En fait, ce que vous avez fait,
c'est quelque chose qui était assez pré-curseur,
à l'époque, c'est vous partez du principe
que l'autorisation et l'identification de la carte,
c'est à dire, bon, je suis une carte
et je suis autorisé parce que j'ai mis le code,
vous partez du principe,
tout se passe dans ma carte.
Et du coup, le système,
et le terminal,
lui, il va vérifier ce que vous lui donnez
et vous partez du principe,
lui, il vérifie juste si ce que j'ai forgé est vrai,
mais il vérifie pas si la transaction,
elle part d'ailleurs,
ou quelque chose comme ça.
Et du coup, ça aujourd'hui,
ça paraît tellement logique
quand on programme de faire ça,
mais à l'époque,
c'était hyper pré-curseur d'avoir cette logique.
Je ne sais pas comment vous êtes arrivé
à vous poser cette question.
Je vous ai toujours de l'observation extérieure.
J'ai bien vu que le terminal
n'était pas forcément relié au moment de la transaction.
Donc toute l'information s'y trouvait.
Oui.
Et donc, ça fait que vous pouviez créer
comme des yes cards à l'infini.
Au moins, je pouvais travailler
avec toutes les données.
C'est terrifiant.
Très concrètement,
on a expliqué,
vous avez trouvé ça,
vous allez voir le consortium.
J'ai oublié son nom.
C'est un nom très compliqué.
Mais le consortium,
le GIE-CB, voilà.
Le groupement des...
Association des banques.
Voilà, qui gère les cards banques en France.
Avec avocats et huissiers.
Un avocat, puis un conseiller en propriété industrielle,
disons ce que fait l'ingénieur de base
pour s'entourer un tout petit peu.
Qu'est-ce que vous leur dites à ces gens
où vous avez littéralement montré
que l'entireté de leur système était faible ?
Alors,
le problème que j'avais, d'abord,
c'est quand même si j'avais voulu
une soucoupe volante.
Personne ne me croyait.
Ça, c'est assez dur.
Il y a des gens qui voulaient bien me croire.
J'avais trouvé quelque chose,
mais ça n'était pas trop quoi.
On ne comprenait rien.
Voilà, pour eux, personne ne me croyait.
D'où la difficulté de discuter avec eux ?
Eux-mêmes, on ne sait pas des techniciens,
du tout, plutôt des juristes,
des anciens policiers,
de ce que j'en ai entendu.
Ils exploitent la carte à puces.
Ce n'est pas eux qui la maintiennent
ou qui la mettent au point,
comme par hasard.
Au début, les discussions ne sont pas très simples.
C'est pour ça que j'ai, au bout d'un moment,
allé retirer,
fait une démonstration,
parce que là, je savais que
ça allait les intriguer,
ils allaient passer à quelqu'un d'autre,
et au bout d'un moment,
il y a quelqu'un qui s'y connaît,
qui va quand même regarder,
qui va lui s'inquiéter vraiment.
Voilà, j'ai fait comme ça.
Et là, ça ne se passe pas forcément comme prévu.
Salut ! Si vous appréciez Endorscorp,
vous pouvez nous aider de ouf !
En mettant 5 étoiles sur Apple Podcast,
en mettant une idée d'invité
que vous aimeriez qu'on reçoive,
ça permet de faire remonter Endorscorp.
Voilà, telle une fusée.
Et...
Alors là, je vais vous étonner,
un matin, je prends ma voiture,
je vais à mon travail,
il a dit, tiens, il y a une place de livre,
ça n'arrive jamais.
Parce que je pense, je le rie à chaque fois
que j'ai le voie, une place de livre.
Donc je me garde et je me fais arrêter,
mais alors par une flopée de gens.
Au début, j'ai cru qu'ils voulaient
vouler ma voiture, j'avais pas tout compris.
Mais je vois qu'il y était tellement nombreux,
là, j'ai vu que c'était crédible,
donc là, il m'arrête assez violent,
les premières minutes.
Et donc c'était...
Et il faut comprendre
que j'ai éprouvé de soulagement.
Parce que vivre, quand personne vous croit,
c'est dur.
Donc là...
Voilà, là, il y a quelqu'un qui m'a crevé.
J'étais pas fou.
Mais qui vous envoyait un garde-à-mètre, c'est ça ?
Ça, c'était assez présent.
Oui, j'ai joué une quarantaine.
Je m'en fouillais pendant ma maison,
pendant plus de douze heures.
Même un post-it,
le moindre post-it était photographié.
Alors, il y avait 64 fils
sur le terminal de paiement qu'ils ont trouvé.
Ils voulaient faire une photo,
on le avait un fil de refaire une photo.
Ils ont fait des...
Ils mesuraient la taille des portes,
des fenêtres...
Il y a des choses assez particulières.
Enfin, ils ont passé un temps fou.
Mais quand même, pour se restituer
le contexte,
on est fin 90,
quelque chose comme ça.
On est dans un monde où
les pires hattages,
c'était quelque chose d'extrêmement rare
et d'extrêmement peu médiatisé.
Et du coup, vous,
vous arrivez
de manière éthique
à essayer de dire, là, on a un problème.
Et...
L'accueil est froid.
L'accueil est super froid.
Les gens ne vous croient pas.
Mais aujourd'hui, en fait, on est goûts de cette histoire,
on se dit, c'est hallucinant
pourquoi personne l'a cru, mais on était à une époque
où ça n'arrivait jamais ces trucs comme ça.
Je pense aussi que l'objectif était trop gros.
Aucun professionnel
n'aurait tenté
ce que j'ai fait.
Il considérait tout ce que ça, de toute façon,
c'est pas la peine d'essayer.
Il y a tellement de gros spécialistes
qui avaient travaillé là-dessus
que c'était hors de question de le faire.
Donc c'était tellement inattendu
et aussi tellement gros en application que...
Voilà.
Et alors, vous vous attendez
à être reçu comme ça
par les flics ?
C'est quoi la réaction à ce moment-là ?
Bon, alors déjà,
j'ai ressenti ça intérieurement
d'avoir un soulagement
Je pensais que
sur tout,
j'avais...
De manière, j'avais pas risque croqué
tout le tout
en endroit. Après tout, qu'est-ce que j'avais fait ?
J'avais trouvé quelque chose
et j'avais pris contact.
J'avais pas le sentiment
d'avoir commis des actes terriblement répréhensibles
donc j'étais pas extrêmement inquiet
Il y en a qui sautent la barrière
et tout c'était une preuve
avec un témoin etc...
Le ticket de métro, j'ai mis dans un sac
que je leur ai donné.
J'ai rien volé.
Donc là aussi,
qu'est-ce que vous voulez trop qu'on me dise ?
Je pensais pas que j'allais
en prison pendant des années.
J'ai vu la juge après
qui a même été très menaçante.
Son problème, c'était que je ne devais pas communiquer.
Ça, elle ne vous laissait surtout pas.
Et c'était leur problème.
Il fallait tout faire
absolument.
Donc là, on m'a quand même bien menacé
à ce moment-là.
Pendant un an,
j'ai laissé couler, on n'a rien dit.
Un an quand même, c'est assez long à l'époque
à vivre.
Si vous aviez dit quelque chose,
ce serait pas c'est quoi ?
T'es vraiment dramatique.
Je suis sûr que j'allais en prison
mais ils m'ont bien menacé de ça.
Il y a eu des répercussions
après sur le GIOCB,
justement,
Oui, après il y a eu le...
On était un petit peu avant l'an 2000,
donc ils ont prétexté le bug de l'an 2000.
Ils ne prétendent pas.
Toutes les cartes
et tous les terminaux ont été changés.
Ils ont changé
tout le parc ?
Toutes les cartes, de toute façon, elles changaient, je crois, tous les deux ans déjà.
Donc là, le cycle a fait le tour.
Je sais pas si il a moins accéléré un peu, mais tout a été changé.
Oui, donc c'était pas un truc
logiciel qui pouvait
mettre à jour comme ça, c'était pire que fin.
Peut-être les terminaux
ont pouvaient en partie
les abgréder, je pense.
J'ai observé qu'ils ont tous été changés.
C'est délicieux.
Moi, ce que je trouve
fascinant, c'est d'avoir
fait l'un des plus gros piratages
en France, voire peut-être
en Europe et...
Qu'il n'y a plus rien pour se déroger.
Oblxtifement, si on se met d'un point de vue d'un cyber-rimnel qui aurait trouvé ça,
vous pensez qu'il aurait pu
en tirer profit ?
Genre...
Je pense qu'il faut pour tirer beaucoup
ce profit, il faut un peu d'organisation,
il faut faire beaucoup de transactions.
Après, c'est un problème
d'exploitation que moi, je maîtrise pas.
Est-ce que...
Vous choisissez un chemin
qui n'était pas lucratif, mais qui était
le chemin de l'éthique justement
et ça vous a coûté cher.
C'était un 3G d'ingénieur normal.
Vous trouvez quelque chose, vous tentez de le monétiser
ou au moins de discuter, de voir un petit peu
ce qu'il se passe.
Est-ce que vous savez s'il y avait de la détection à l'époque
de dire...
Imaginons, quelqu'un de malveillant avait trouvé
cette faille, il aurait retiré
l'équivalent d'aujourd'hui 1000€,
est-ce que quelqu'un aurait été en mesure
à votre connaissance de détecter cette transaction
et après de retracer un acteur malveillant ?
Parce que vous, vous l'avez fait, vous avez révélé
quelque chose et du coup
tout le monde a vous appréhendé du doigt, mais
est-ce qu'ils sont déjà posés à question
si cette personne n'était pas là pour nous...
pour trouver cette faille, est-ce qu'on l'aurait
un jour détecté ?
Je pense que si c'est massif,
il a fraudé massif forcément
pour le reste, on n'a pas d'informations
sur comment ils font, j'ai des informations
de temps en temps sur le fait que
c'était le début de ces cartes-là,
je sais par exemple que
les mesures des achats,
chaque achat, il y a quelque chose qui s'inscrit
dans la carte, il y a une trace
et bon, il fallait
dimensionner
ça, et en fait ils ont pris le nombre
d'achats moyens des gens
qui suffisent, à la moitié des gens
à bout d'un moment, leurs cartes elles marchent plus
il y a eu de quelques erreurs comme ça
qui ont été faites, donc c'était une époque
de tato de ment encore,
où tout n'était pas forcément bien,
mais je n'ai pas d'informations de l'intérieur
j'ai tout fait
j'ai trouvé, j'ai même pas
de documentation technique
je l'ai pas précisé, mais
il y a eu un jugement
il y a eu 18 mois
de prison avec sursis, c'est ça
je ne me trompe pas, dis-moi pardon
il faut quelque chose comme ça
et un autre truc c'est que
je suis curieux de savoir
quelles ont été leurs justifications
mais tu t'es fait l'essentiasse par moment là de l'entreprise dans laquelle t'étais
qu'est-ce qu'ils nous disent
ils m'ont dit
je suis convoqué par le DRH
qui m'a raconté mais en n'importe quoi
une perte de confiance
voilà, quelque chose comme ça
je me rappelle de cette phrase là
il se faisait toute sa pyramide intellectuelle
tout était faux
c'est ce que je lui ai dit à la fin
non
voilà, alors c'était ridicule
il y a un gars qui m'a emmené à la porte en bas
pour lui me mettre à la porte avec un air
comme si j'allais mourir
il y a vraiment des gens ici, crois, quoi
complexe
et puis voilà, ils m'ont mis
j'étais en vacances mais quand je suis rentré le premier jour
ils m'ont viré
après plus de dix ans chez eux quand même
les salauds
ça fait du bruit cette histoire
surtout dans la sphère sécurité chez les chercheurs
il y en a beaucoup qui ont vu quand même
une signe que
eh ben
c'était pas un métier tranquille
de trouver des failles
ça rend les gens nerveux
t'as senti toi
cet impact qu'il y a eu
après dans le monde ciber
je sais pas, si à l'époque
il y avait vraiment un monde ciber
qui était comme aujourd'hui
on essayait de développer, et malheureusement de le normer
qui à l'époque recherchait beaucoup ça
il y avait des gens qui le faisaient
on s'était à le métier, des gens qui travaillaient
justement dans les cartes à puces etc
ouais j'ai pas trop de retour sur ce qu'ils ont pu
penser, j'en ai un petit peu aujourd'hui
parce qu'aujourd'hui j'ai quelques contacts
mais est-ce qu'ils ont été nerveux ou pas à l'époque
je pense que ça fait partie de l'histoire
de l'Héreo
il y a une partie de l'histoire qui manque
pendant un an vous ne pouvez pas en parler
mais après
l'histoire s'est fait connaître
vous avez écrit un livre, tout ça comme on est arrivé
de, on n'en parle pas pendant un an
il y a une médiatisation du sujet
c'est une discussion que j'ai eu avec mon avocat
à l'époque, parce qu'en fait j'avais un grand avocat
ce qui s'est passé c'est que
lorsque les policiers m'ont arrêté
il y a une chose que j'ai vu qui dont il parlait beaucoup
et qui a bien à l'air très important pour eux
c'est que mon avocat
avec lequel j'étais à voir le groupement de bancaire, lui il a tombé
il y a apparemment un avocat
qui se fait perquisitionner, ou arrêter etc
c'est quelque chose de rare ici mais de grave
du coup
c'est
un avocat de la profession qui vient
défendre un autre avocat et moi
il n'y a pas n'importe qui qui est venu, j'ai eu cette chance là
François Cornet de Saint-Cyr
donc j'allais le voir, lui il a un certain
recul sur tout ça et au bout d'un an il m'a dit
bon là vous allez au procès, vous allez avoir
des ennuis, il va être temps maintenant
de vous défendre un peu, prenant du recul
sur le plan judiciaire
on n'arrivera pas
sur le plan administratif
donc là maintenant on va communiquer
et c'est comme ça que ça va commencer
alors quand vous
vous allez voir des joints et vous avez assez peu de chance
je sais que j'ai vu les jontés et fins qui m'ont pas cru
peu de chance que ça prenne
ce qui a pris c'est que
les premières émissions ont été attaquées
par le groupement des cartes bancaires
François
les cartes zéro
les émissions n'ont pas pu paraître
ça c'est dans la profession
quand on arrive à interdire des émissions
ou des sujets
ça légitimise le fait que vous avez réussi
à trouver une faille
il n'y a pas de vrai derrière
et ensuite ils ont commencé
je sais que le ton a beaucoup monté
parce que le groupement disait que j'avais rien
rien trouvé
mais il ne voulait surtout pas en parler
c'était pas crédible
ils prenaient le chou apparemment avec plusieurs journalistes
qui ont vraiment compris qu'il s'est passé quelque chose
vous voyez c'est pas moi
c'est pas mon action
c'est pas tellement ça
c'est leur position qui était pas claire
qui devenait intonable
c'est un fait de société qui me dépasse
et c'est ça qui a explosé
moi j'étais juste le gars qui passe
qui appuie sur le bouton
c'est fou, c'est dingue
Franchement
c'est comme tu disais
c'est des histoires même à l'échelle
de la France
mais en général
c'est rare de trouver des failles qui ont des impacts aussi
large
mais en fait c'est surtout un truc qu'on s'en rend pas compte
c'est parce que vous
et d'autres personnes ont fait ce genre d'actions
qu'aujourd'hui moi et toute la communauté
de la Chœur Éthique
on arrive à pouvoir faire notre trait
aujourd'hui c'est parce que
c'était tellement rare encore une fois
ça a amené un débat
à l'échelle nationale
j'ai vu les interviews
sur TF1, sur France 2
j'ai un peu regardé
et en fait aujourd'hui
le gouvernement
il dit au chercheur
allez-y, trouvez des failles
et vous l'envoyez à l'ANSI
et du coup maintenant il y a même une loi
du numérique qui dit
si la personne est bienveillante elle a le droit de pirater
du coup je sais pas
comment vous ressentez la chose aujourd'hui
est-ce que vous avez vu un changement
est-ce que vous réalisez
l'impact que ça fait
quoi
alors après moi il y a une loi
clientéliste je trouve
qui est sortie
qui vous interdit quelque chose que je trouve absolument
freu qui vous interdit quand vous achetez
un objet de l'ouvrir en vous-même
vous êtes censé ne plus ouvrir votre
propre téléphone c'est scandaleux
c'est vraiment des gens
qui n'y connaissent rien comme d'habitude qui ont encore pris
ce genre de choses je cite toujours
une serrure chez vous
si vous n'avez pas le droit de l'ouvrir la serrure
mais pourquoi le problème c'est la clé qui se trouve dedans
vous vous en doutez bien
si vous ne put plus personne à le droit d'ouvrir la serrure
leur niveau de sécurité va baisser
et puis évidemment les voleurs
eux vont les ouvrir quand même comme d'habitude
donc c'est une mauvaise chose
évidemment c'est un peu en contradiction
à ce qui se passe aujourd'hui
où on prend un hacking généralisé
c'est à dire que c'est pas tellement d'aller dans les failles
mais ça consiste d'avoir le droit de modifier
ces appareils
parce qu'après tout on les achète quand même
à l'origine donc il n'y a pas de
les vendeurs ne sont pas les aides
ça j'aime bien mais c'est pas
de la sécurité
donc c'est plus large mais c'est ça l'idée
c'est où je dis c'est plus large
aujourd'hui il y a une communauté
de gens
qui ont trouvé une motivation pour aller chercher
des choses etc
c'est la première chose que je vois
une énorme popularité
chez les jeunes
qui se rentrent dedans
à l'époque il y avait un peu
mais aujourd'hui avec les réseaux etc
il y a ça donc une très grande force dedans
et il y a aussi
une grande maturité
sur beaucoup de choses spécialisées
aujourd'hui pour protéger
attaquer etc et encore perdre
toute une série de normes qui sont arrivées
c'est en gros une
institutionnalisation
j'y ajoute stupide
sur la chose
ça répond un peu
ça répond à la question mais totalement
est-ce qu'il y a un truc
est-ce qu'il y a un truc potentiellement
enfin tu referais tout pareil
la présision du tribunal
m'a posé la même question
les juillards répandus
ça dépend de la décision du tribunal
à l'époque elle n'avait pas encore été prise
est-ce que je referais tout pareil
les conditions initiales
initiales étant les mêmes
bien sûr
pourquoi aurais-je pris alors
si je savais ce qui allait m'arriver après
j'ai eu une belle vie
c'est beau
est-ce qu'il y a des choses positives
dans votre vie justement qui se sont découlées
vis à vis de ce que vous avez fait
vis de ce parcours
c'est sympa de discuter avec vous
non mais je veux dire est-ce que ça a déclenché
vous avez dit que vous avez écrit un livre
c'est pour lancer sur deux pistes justement
c'est des choses super bien
j'ai vu plein de choses différentes
c'est une véritable
expérience de vie
c'est une aventure humaine
plein de gens qui vous reconnaissent
alors vous voulez simplement
parce que vous êtes... jamais j'ai pensé
jamais j'ai souhaité être connu un jour
c'est quelque chose de...
j'aurais jamais imaginé
donc j'étais pas prêt
donc j'ai découvert tout ça
comme ça mais j'ai découvert qu'est-ce que c'est
qu'un studio télé, qu'est-ce que c'est
comment se marchent les journalistes, comment marche la police
comment on sait une guerre d'avus
comment on sait quand on écrit un livre
comment on sait dans les milieux de l'édition
comment les gens se parlent, comment...
et puis j'ai aussi un retour de contact
de toutes les périodes de ma vie
les gens avec qui j'étais un enfant
j'étais au lycée, les gens j'étais de partout
on retrouve des gens qui me recontactent
c'est une vraie aventure humaine
une originale
inattendue
c'est peut-être ça, il y a des gens qui doivent rêver
pour des raisons peut-être artistiques
d'avoir de l'audience
moi je vous rends aucune raison
donc j'ai aucun enjeu
je ne m'y accrochais pas du tout
donc c'est parce que j'ai appelé une aventure
au sens où c'est inattendu
donc oui finalement
c'était pas mal
et puis après professionnellement
bon bah
c'est un café
qu'on fait
comment dire
le groupement des banques
l'état tout ça
je me suis retrouvé avec un boulot à l'autre bout du monde
un boulot intéressant donc bah ouais j'ai vu d'autres pays
ça sent pas aussi
bon tout est bien fini bien on est respirés quand même
parce que... et je me suis pensé
qu'on n'a pas vu tout à l'heure peut-être que
tu as entendu mais on a
compilé certains outils
pour les faire découvrir
à le docteur Dossman
certains outils de Wacky
on a oublié de parler de celui là
et j'ai même pas fait exprès mais c'est un plus ou moins rapport
c'est une carte qui permet de détecter
les skimmers
voilà donc je
je l'ai pas encore essayé
j'ai pas de skimmer à disposition mais alors pour expliquer
j'ai dit une bêtise
mais un skimmer c'est un appareil
qui va être intégré par-dessus des bornes
de typiquement de retraite billets
pour exfiltrer
des données d'une carte tout simplement
c'est ça ?
je fais du bêtise
c'est une technique qui s'appelle le carding
de faire être comme ça
oui du coup tu mets un appareil
et tu check mais par contre je me demande comment ça te check
eh ben tu sais quoi on va
essayer donc
théoriquement cette carte tu l'insères
dans un terminal de paiement
c'est censé détecter justement
si il y a une lecture qui a été effectuée
en gros si t'as une double lecture
c'est une que a priori
il y a un skimmer entre temps
donc un petit appareil pirate
qui essaie de te voler
c'est bien foutu
franchement
si les gens tapent skimmer
sur google ils verront que t'en as
très très très bien fait
il y en a qui reprennent toute la borne
entière et la cal
ils refont toute la façade
mais au millimètre près
toute la façade toute la rue ils refont
ça c'est pas grave
ça n'est vraiment
il y a un atm, il y a un héros photo
mais juste qu'à mettre des
rayures dessus pour que ça fasse ager
et du coup
en fait ça se voit pas
à part si quelqu'un décide de gigoter le truc et de l'enlever
et là on voit en fait on a 2 quoi
et du coup ça c'est intéressant comme truc
carrément carrément carrément
mais d'ailleurs on a toujours rêvé de faire une vidéo sur un de ces appareils
enfin sur un skimmer justement
mais évidemment c'est dur à retrouver
c'est ça le problème
c'est que j'ai mes lits qui sont saisis
donc si vous avez un...
comment formuler cette roquette
sans ager
on va arrêter de formuler cette roquette
bon si vous êtes une société de sécurité
par exemple et vous postez des images de matériel comme ça
on est chaud de faire des essais
tu continue à t'intéresser
à la sécurité
des cartes ou t'es passé sur autre chose
je suis pas mal
passé sur autre chose
ouais je dirais
c'est pas que j'ai pas des idées
sur ce qu'on pourrait faire aujourd'hui
il y en a encore un certain nombre de choses
mais enfin
c'est pas le cas de la délinquance astuciuse
les petites astuces là pour
finalement voler les credentials
des gens bon c'est pas
ça ne voulent pas très haut techniquement
ouais c'est pas révolutionnaire
moi j'adore ce qui est minutieux
qui me dure des mois la concentration
je dis toujours il y a des gens qui font du sud-aucu
ça les calme
plus c'est dur
plus on est concentrés
c'est un vrai plaisir
je dirais presque que c'est ma morphine à moi
de me concentrer dessus et en fait
ou du faire un truc inutile
je me concentre
je désassemble
j'y passe des heures
c'est un plaisir mais sans fin
je suis à
pas envie de dire tourner
quand est-ce que l'émission se finit vraiment
tu m'as dit que tu faisais un peu de robotique
en ce moment
je fais de la robotique
en ce moment un projet perso
ouais
je ne le dis pas trop parce qu'il y aurait plein de brevet
à poser mais je fais de l'imprimante 3D
etc
trop bien
est-ce que vous vous intéressez encore la sécurité en général
je ne sais pas vérifier la sécurité
de certains systèmes
où vous êtes vraiment partis sur un champ
plutôt de développement
et de vraiment se dire
je veux créer ça
je vais passer 5 mois dessus
je l'ai dit tout à l'heure
la carte bancaire
se craque en grande partie uniquement
par l'observation
ça c'est quelque chose qui reste présent
on peut voir
on peut voir
de partout
oui
j'observe tout le temps et donc forcément
il y a plein de choses que je remarque
sur comment pouvoir passer ici ou là
ce qui est potentiellement attaquable
ce qui ne l'est pas
un conseil
pour les jeunes hackers
tiens
que t'entends il y en a qui viennent me voir
ils veulent un conseil
je vais donner à tous comme ça
c'est euh
je connais un gars qui a fait un nouveau système Linux
il y a passé je sais pas 10 000 heures
c'est un truc nébuleux
c'est un travail de dingue
c'est fantastique mais c'est nébuleux
personne le sait
ça intéresse personne
faites un truc
original
que personne n'a jamais fait
pas forcément difficile mais original
et là tout le monde parlera de vous
ce qu'ils ont un truc à dire parce que c'est nouveau
voilà
choisissez votre cible
une grande partie du travail est là
merci le pour ça
c'est un très bon conseil
pour tous les jeunes en l'acidère
qui sont nombreux et qui nous suivent