C'est surtout la partie sur le DPROM qu'il a dû bypasser pour tweaker la RAM DX 128 avant de hacker le fil 128 sur le DMARK généré par le CPU ID du flux X4428 sans trigger le safety net du chromosome X du boitier que j'ai pas très bien compris.
Je me rappelle très bien de la période où c'est arrivé. Je suis vraiment content de voir qu'il s'en est plutôt bien sorti. L'injustice de son cas m'avait exaspéré à l'époque. J'étais vraiment inquiet pour lui.
Tout à fait, je me suis dit à l'époque qu'il avait eu affaire à des cadres incompétents qui avaient rapidement veillé à ce que leur responsabilité ne soit pas engagée. Classique.
Oui je me rappelle aussi, j'étais en train de conduire et j'ai entendu à la radio aux informations un truc tellement illogique : Serge Humpich, présenté comme un paranoïaque (et un autre terme dont je ne me rappelle plus) qui aurait piraté des cartes bleues et se serait présenté de lui-même pour le prouver. Je me souviens d'avoir passé une journée où j'ai été assez désabusé, j'en ai parlé à quelques personnes sans qu'il n'y ait aucune réaction.
Je m'en souviens quand c'était passé à la tv. En gros au informations il temoignait qu'il allait être jugé suite à sa trouvaille et qu'il n'avait rien volé, juste balancé l'info.
@@TurLuTuTuTuLasDansLeQun lanceur d’alerte condamné ? Il serait donc le premier … c’est déjà arrivé plus récemment Assange, Snowden, l’informaticien de la HSBC, tous des lanceurs d’alertes qui ont étés ou sont encore poursuivis par la justice
J'adore les mecs qui raconte des anecdotes que personnes ne comprends tellement elles sont technique 😂 Moi je réclame, j'exige, une émission spéciale rien que pour expliquer son anecdote. 😉
L'affaire avait été médiatisée - à l'époque, tout bidouilleur connaissait l'affaire Humpich. On en discutait au café avec les collègues, on était dégoûtés. L'erreur de M.Humpich est d'avoir voulu la jouer "white hat" et d'avoir voulu contribuer à améliorer la sécurité des paiements à l'époque... La perception du hacking a beaucoup évolué depuis (quoique, même aujourd'hui, je ne suis pas convaincu que ce soit très bien perçu dans la monde bancaire). Je ne suis pas un auditeur habituel de la chaine, mais quand j'ai vu le titre de la vidéo, j'ai immédiatement su que c'était de M.Humpich que vous alliez parler - une personne dont je n'avait jamais plus entendu parler. Je suis heureux que cette personne ne regrette rien de sa vie.
Il y en a encore, cette semaine je me suis fait avoir pour 241€, c'est peut-être pas beaucoup pour vous mais pour moi, c'est la moitié de ma retraite, alors a72 ans vivre cela c'est dur !
@@pauladessart-corthouts9738 Par quel mécanisme PRECIS as-tu été défait de cette somme ? parce que moi, mes 4 banques, si je suis pas l'auteur de la dépense, je suis remboursé dans la journée. Enfin techniquement, j'ai jamais été volé d'argent sur ma CB; mais 3 fois mes banques m'ont contacté pour me proposer d'annuler une opération douteuse. J'ai jamais non plus été piraté contre mon gré (j'héberge plusieurs virus que j'ai téléchargé en connaissance de cause). Pourtant, je suis attaqué en permanence (une dizaine d'attaque par seconde depuis 2004). En fait, la semaine dernière j'ai même été remboursé d'une opération légitime. J'ai jamais compris pourquoi. J'ai payé un truc, et 8j après, j'ai été remboursé par ma banque. J'ai quand même contacté le commerçant pour leur proposer un second paiement si ils découvrent un trou dans la caisse. Et non, 241€ c'est rien. J'ai voulu porter plainte pour TENTATIVE d'escroquerie sur mes comptes bancaires, et le policier m'a répondu "tentative, donc, ils ont rien pris ? parce que nous sous 1500€ on bouge pas, et sous 800€ c'est même pas la peine de penser à venir nous voir". J'avais pourtant des coordonnées, classé sans suite. Donc si t'as pas perdu 1500€, t'as rien perdu.
La perception à changé, mais dans le fond, non. Si ça va trop loin : punition. Ce qui est incompris, car très technique = peur. Et en plus quand ça touche l'argent....
En 1978, avec un pote d'origine portugaise on avait remarqué que les monnayeurs reconnaissaient la pièce d'1 escudo (environ 3 centimes) comme une pièce de 10 Francs. On avait essayé par hasard car les 2 pièces se ressemblaient (taille, poids, couleur... vérifiez sur google). On récupérait alors des pièces d'1 escudo dans la communauté portugaise qui rentrait de vacances pour jouer au flipper 😂J'ai testé dans un distributeur SNCF, il m'avait rendu 8,50 F en achetant un ticket à 1,50F avec une pièce d'1 escudo, valant donc 3 centimes !
@@rizzentuto9218 En fait, il y avait moins d'adrénaline à jouer sans payer... il y aurait certainement eu moyen de gratter un peu d'oseille mais notre trip c'était de poser une pièce de 2 francs dans le cendrier du baby-foot pour reprendre le gagnant après le lycée, jouer au billard français et le perdant payait l'addition.
Il a un flow et un charisme incroyable cet homme je trouve. Et au delà de ça c'est un vrai génie, il a en quelques sortes ouvert les yeux au monde sur la vulnérabilité de tous systèmes.. c'est fou
Doucement les raccourcis. Quand on commence à fouiller dans une carte bancaire et à la modifier, on sait qu'on rentre dans l'illégal. Et pas qu'un peu. Peu importe les motivations, la loi c'est la loi.
Super intéressant cet épisode, merci pour l'avoir invité. Pour ceux qui se demandent, il ne pouvait retirer que de petites sommes à la fois. En effet, il y a 3 phases dans le paiement, les 2 premières étaient hackable, la 3ème ne l'était pas. Sauf que cette 3ème étape, c'est lorsque le boitié fait des vérifications auprès de la banque. C'est long (10 secondes), et donc c'est fait uniquement pour minimum plusieurs centaines d'euros, ou si la carte est fichée (trop de découvert par exemple). Il faut aussi savoir qu'ils ont encore pris quelques années avant de corriger cette faille, et que dans les années qui ont suivies, ce fut à nouveau hacké, puis corrigé, puis hacké... Mais maintenant ça semble solide :)
c'est là qu'il a mal joué. Il a hacké le niveau de sécurité le plus faible de la carte bleue et a crié à l'exploit (technique) et au scandale, alors qu'il était parfaitement assumé et connu des banques que ce niveau de sécurité n'était pas optimal. Il y avait bien des niveaux de sécurité supérieurs (reposant sur des échanges avec la banque, et qui n'ont jamais été hacké... et pour cause... c'est hyper solide comme principe de sécurité), et la décision de ne les activer que pour les plus grosses transactions se justifiait par les couts et le temps que cela prenait à l'époque. La sécurité est toujours une histoire de ratio bénéfices/risques ou couts/risques, pas juste de technologie. "je n'ai pas de documentation technique".... oui, et ça c'est une évidence quand on l'entend et qu'on sait ce qu'il a fait! Par contre, je suis effectivement atterré par la façon dont l'affaire et Serge en particulier ont été "traités"....plutôt de lui expliquer qu'il n'avait pas inventé l'eau chaude, arguments techniques à l'appui, on l’arrête, et plutôt que lui expliquer pourquoi il était important d’arrêter le cirque médiatique, on fait pression, on lui fait un procès, et on met face à lui des interlocuteurs qui techniquement s'y connaissent encore moins que lui...bref, on remet de l'huile sur le feu et on lui donne envie, pour le coup à juste titre d'alerter la France entière (juste l'inverse de ce qu'il fallait faire)... n'importe quoi.
@@Flangad « Il a [...] crié à à l'exploit (technique) et au scandale » Source ? (spoiler : il n'y en a pas car tu inventes). « il était parfaitement assumé et connu des banques que ce niveau de sécurité n'était pas optimal » Parfaitement assumé, ce n'est pas du tout le souvenir que j'en ai. De plus, un truc assumé ne fait pas une descente de police y compris chez l'avocat. « ll n'avait pas inventé l'eau chaude » Il a juste fallut changer tous les TPE de France, mentir aux clients pour leur faire changer de TPE (ça n'a pas fonctionné pour certains, genre une grosse chaîne de supermarchés qui a dit qu'ils ne changeraient pas, qu'ils expliqueraient à leurs clients que la CB est dangereuse... sauf si le GIE Carte Bleue payait le nouveau matériel et l'installation et le temps perdu, etc. Le GIE a baissé son pantalon plein de caca et a payé. C'est la légende. La réalité est... je ne sais pas). Résumé : tu racontes de la merde.
@@LeCheneDeTele. quand je dis "parfaitement assumé", c'est dans la conception et la mise en place du système. Comme je le dis dans mon message, toute la communication qui a suivi cette affaire a été lamentable... là je suis d'accord, ils n'ont plus rien assumé! Pour expliquer plus en détails: ce n'était pas un scoop à l'époque que les petites transactions étaient vulnérables et ça ne posait aucun souci tant que l'info ne circulait pas (ou pas trop)... il était en effet relativement facile à l'époque de faire une copie d'une vraie carte, exigeant le code secret de notre choix, et qui puisse fonctionner pour toutes les transactions où les "étages supérieurs de sécurité" n'étaient pas activés (les petites transactions). Ce fait était parfaitement documenté, connu.... c'était une conséquence quasi évidentes des spécifications techniques de la carte bleue. c'est pour ça que je dis que c'était assumé. Et encore une fois, les étages de sécurité supérieurs étaient bien là et inviolables lorsque que c'était jugé nécessaire. La seule chose en plus qu'a fait Serge comparé à la "copie de carte" que j'évoque, c'est d'avoir cassé une clé, ce qui lui permettait de faire un peu mieux qu'une copie d'une carte : il pouvait créer une carte de toute pièce, basée sur un porteur fictif, et donc rattachée à aucun compte en banque... et pour ça, il a effectivement cassé une clé secrète qui lorsque la carte a été conçue pouvait être largement assez sécurisée et ne l'était visiblement plus assez au moment de l'affaire. Mais le fait que cette clé ait été découverte ou pas ne change pas grand chose à la sécurité globale du système. Autrement dit: il y avait déjà à l'époque tout ce qu'il fallait, techniquement, dans le système carte bleue pour sécuriser les transactions. Il avait juste été décidé de ne pas mettre en œuvre systématiquement tous les mécanismes de sécurité disponibles (les réserver aux gros montants) tout simplement parce que ça aurait couté trop cher comparé cout estimé de la fraude rendu possible par cette relative vulnérabilité (il fallait quand même un certain niveau pour jouer à ça). Serge n'a pas appris grand chose au GIE quand il est allé les voir en leur disant "attention, j'ai découvert une faille dans le système CB, regardez, j'ai réussi à le hacker". Les faiblesses qu'il a présentées étaient parfaitement connues du GIE, elles étaient partie intégrante d'une stratégie de sécurité globale parfaitement assumée, et c'est probablement pour ça qu'il n'a pas été pris au sérieux. Sauf que à partir du moment où l'information circule à grande échelle et qu'on a plus affaire à un petit hacker qui fait juste son bricolage dans on coin mais à quelqu'un qui communique sur le sujet, évidement, le principe du "petit risque, petite sécurité, gros risque, grosse sécurité" ne tient plus, car "ptit risque multiplé par un nombre de fraudes potentielles qui explose, ça devient un gros risque...et c'est ça qui a rendu le GIE très ronchon et obligé à mettre à jour l’ensemble du système (ce qui a probablement couté une fortune). mais il ne faut pas perdre de vue qu'à l'époque internet était loin d'être ce qu'il est aujourd'hui et justement les infos circulaient infiniment moins facilement qu'aujourd'hui. La sécurité informatique, ça repose sur des mécanismes techniques, mais pas seulement... ça repose aussi sur de la confidentialité de l'info et c'est surtout le fait que des infos qui jusqu'à présent n'étaient présentes que dans des documents "à diffusion restreinte".... (mais pas Top Secret non plus, la preuve, j'y ai eu accès en toute légalité alors que j'étais encore étudiant) soient diffusées dans les medias qui a énervé les banques...et engendré leur réaction déplorable (qui n'a d'ailleurs fait qu’aggraver les choses car c'est à partir de là que tout le monde s'est mis à en parler).
@@Flangad J'ai quand même l'impression que seule une petite fraction des électroniciens/ingénieurs auraient été capables de faire ce qu'il a fait. En ce sens, c'est tout de même un exploit technique. Ce qu'il a fait, ça permettait de faire beaucoup plus que ce que font les gens qui font du "skimming", avec moins de risque (car pas besoin d'aller bidouiller un distributeur de billets, d'y installer un transmetteur relié à une ligne de téléphone, etc). Donc si c'était réalisable par n'importe quel ingénieur lambda, pourquoi ça n'a pas été fait massivement, comme l'est le skimming aujourd'hui ?
@@brinckau ce qui est remarquable (mais pas un exploit pour autant) c'est d'avoir réussi à faire ce qu'il a fait sans avoir l’accès aux docs techniques.... ça c'est clair. Je ne dis pas que Serge est mauvais techniquement, mais il a clairement mis la main et fait un bout de rétro-ingénierie dans quelque chose qui le dépasse sous bien des aspects, aussi bien techniques que de stratégie globale de sécurité et que communication (ce qui est tout à fait normal vu le niveau d'infos auquel il avait accès).
Serge Humpich est une légende ! Merci de l'avoir invité pour l'avoir fait découvrir aux plus jeunes.... Il a clairement montré à ses dépends le double discours des autorités de l'époque qui préféraient punir plutôt que de récompenser le lanceur d'alerte... Maintenant il serait aller à l'ANSSI avec un tel truc il aurait plus probablement eut un chèque et un contrat qui va avec 🥳
Ça continue toujours. J ai un droit légal de consulter le code source de MonMaster. Mais le ministère semble se raidir à l idée de l exécution de l ordonance. Faire corriger Parcoursup et ça avait repris de plus belle. Peut être que je devrait le vendre aux Russes en donnant l argent à l Ukraine pour déclencher une prise de conscience avec la cyberattaque qui en résulterait. Ça éviterait que ce ne soit Daesch avec la volonté de provoquer une vague de suicide.
Je me souviens de cette affaire à ses dèbuts et le choc que ça m’a procuré car vous étiez de parfaite bonne volonté à l’égard du giecb. Je suis heureux d’apprendre de vos nouvelles télévisuellement.
Oui enfin c'est plutôt l'intelligence de se dire j'ai pas envie de finir ma vie en prison plutôt que de la gentillesse hein xD Tous les gens qui bossent dans un secteur critique pourraient causer de sacré dégâts. C'est juste être fier de son travail, être un peu curieux, et pas envie d'emmerder le monde ^^ Enfin perso pour bosser dans le système et réseau parfois pour de grosses entreprises c'est mon attitude.
@@faro2468 Je sais pas s'il est vraiment hautain. D'autres commentaires disent qu'il est humble... En tout cas, il est forcément super doué. Il peut être fier de lui.
Bonjour, je tiens à vous remercier pour cette interview ! J’en avais entendu parlé dans les années 90 et je pensais que cette personne avait disparu ou pire ! Bravo à ce monsieur !!!
un peu dommage que les gens qui se veulent informaticiens aujourd'hui captent pas quand on parle de hardware basique, de ram, d'oscilloscope, de cycle, de bus... c'est quand même un peu la base de savoir ce qui fait tourner son programme, au dela de juste "ligne de code, classe et fonction" y'a pas une vraie compréhension de ce qui se passe quand un programme tourne, ni des composants de bases.... Même si à la limite vous voulez pas toucher à l'électronique, apprenez au moins l'architecture de processeur, ca fera de vous de meilleurs programmeurs :)
J'ai fait des soudures sur port ISA et port // et pourtant j'ai pas compris la différence entre south bridge et north bridge, ni le fonctionnement détaillé du prefetcher. J'ai abandonné en cours de route. Les machines modernes sont devenues trop complexes pour que quiconque puisse encore en avoir une compréhension globale. Si des machines comme NEXT ou Alpha pouvaient être conçues, hard et soft, par moins de 50 personnes, aujourd'hui faut une cohorte de plus de 10000 personnes juste pour coder le noyau linux, et des intelligences artificielles pour optimiser le routage d'un processeur (j ai lâché au pentium 4, n ayant jamais entendu parlé de pentium 5, il semblerait qu'ils aient changé de nomenclature ).
@@Ibrahim-pf1il pour ça il suffit de dominos. Avec des boîtes d allumette tu peux fabriquer une IA qui apprend de ses erreurs ... Voir la chaîne stand up math
Si vous voulez en savoir plus, il y a un super passage dans la série " Halt and Catch Fire " où on peut voir comment à l'époque ils avaient récupérer le code binaire du bios d'IBM de la même façon que ce Mr. pour programmer leurs propres bios. Merci pour cette interview vraiment super intéressante.
1990-1995 l'époque des yescards, des cartes à puce pour téléphoner gratos, de la génération de numéros de CB avec la clef de Luhn, des cartes pour canal+ et les décodeurs canalsat, des copieurs de jeux super nintendo, megadrive et neogeo. C'était une bonne époque, on s'ennuyait pas à la fac avec tout ça! je ne suis pas certain que c'est ce monsieur qui a fuité toutes les infos, car à la fac un de mes profs était un de 3 inventeurs de la carte à puce qui travaillé pour le giecb et il avait la langue bien... pendue et on faisait pas mal de test. Le hack éthique c'est mignon aujourd'hui mais c'était bien plus drôle à l'époque ! ;)
Pour répondre plus précisément à la question de Nozman sur l'origine des fonds pour la fausse transaction. C'est la banque (Acquéreur) qui a du payer la transaction avec ses fonds propre à son client (Accepteur)(RATP dans l'exemple des tickets de metro) par obligation contractuelle. Elle même ne pouvait se faire rembourser puisque la carte étant fausse et ne présentant même pas un BIN correcte, elle ne peut se retourner vers une autre banque potentiellement émettrice de la carte.
ahhh ce mec est une légende mais par pitié le couper pas au pire vous faite une autre vidéo pour expliquer les concepts !! sinon pour ceux qui veulent capter chaque concept qui ne peut s'apprendre que par la pratique il y a toujours la chaine très connu de ben eater .. et merci pour l'itw
Tout a fait, les vidéos de Ben Eater sont incroyables de précision et de pédagogie pour comprendre les vieilles architectures d'ordinateurs 8 bits! Il serait d'ailleurs de bon ton de faire référence a la source lorsque underscore utilise ses images pendant l'explication technique...
@@thomhpl oui complétement d'accord avec ton mesage, maintenant sur un point permet moi de partager ma vision des chose ce ne sont pas du tout des vielles architectures(du sens ou elle se retrouve dans les modernes) de mon point de vue d'hobbyiste. Elle on un double avantage elle sont accessible si on les prend par le bon bout et permette si on pratique d'assembler un ordinateur fonctionnel. Qu'est ce que l'ALU, un bus de donné un decodeur comment on compare une valeur (qu'on retrouve en haut niveau ) comment l'ordinateur mémorise on retrouve matériellement ce qu'on va retrouvé en haut niveau du coup tous ce qui est retro est une mine d'or. La grosse différence avec les vielles archi c'est qu'on a pas le concept de carte graphique on pilote un écran crt, et la ben c'est vrai que c'est pas une partie que je maitrise comme la communication avec des périphérique .. en tout cas la bonne journée au passionné de techno
@@Pos44Dami c'est tout a fait juste, l'architecture de base est la même, mais les systèmes modernes ont bien plus de complexité ajoutée et sont bien plus intégrés. Impossible aujourd'hui d'observer directement un bus de données tant la vitesse de la RAM est haute, les processeurs ont des mémoires cache a plusieurs niveaux, la plupart des données transitent via PCI vers les périphériques. Le coeur du CPU est le même, mais tout autour a changé ;)
Je m'en souviens, les yes card se sont mises à circuler partout. La vérification était local tpe/carte crédit. Et ça fonctionnait, mais si il y'avait une demande d'autorisation car le montant était trop important la transaction était alors invalidé. Les commerçants font un appel en fin de journée pour transférer les fonds à leur banque.
Quelle chance d'avoir pu recevoir ce génie ! Un electronicien, un vrai un dur :) un hacker, un précurseur. Je me souviens du scandale que ça avait fait, tous les fan de sécurité de l'époque suivaient l'affaire. Ça a fait jurisprudence.
Je me rappelle de cette affaire oui. J'avais aussi été outré. Le mec trouve une faille, previens les personnes concernées pour qu'il l'a corrige mais au lieu d'être félicité et remercier, il est condamné par la justice. Et là tu te dis l'honneteté ne paye pas toujours.
Surtout que s'il a trouvé une faille, combien avant s'en sont peut-être servi de façon malhonnête ?? Je me rappelle aussi l'affaire ("Pirates Mag'" à l'époque) et comme vous j'avais été choqué. Moralité, si vous trouvez une faille, exploitez-la et vous finirez peut-être en taule, ou prévenez la banque, et vous finirez sûrement en taule...
Hypothèse: Il n'était pas le premier à l'avoir découvert mais c'était le seul honnête pendant que d'autres s'en sont mis pleins les poches illégalement
Étonnant qu’il n’ait pas expliqué la raison pour laquelle sa « yes card » a fonctionné pour l’achat de quelques tickets de métro mais n’aurait pas fonctionné pour un achat de 1000€ (comme demandé par le type à la casquette) : à moins de 100fr de l’époque il n’y avait pas d’interrogation du central pour obtenir une autorisation.
De nos jours les pirates crckent toulours les cartes bancaires a paiement sans contact qui ne demandent pas d'autorisation jusqu'a une vingtaine d'euros pour la plupart,non? Pas grand chose n'a change de ce cote-la.
Avoir un malfaiteur dans des rang fait toujours mauvais effet. Y a encore ce jour des tas de boîte ou il est impossible d être embauché si t'as pas un casier vierge (conducteur de bus par exemple , pour citer un truc pas obvious )
Qui se rappelle de ce reportage de M6 des années 2000 où on voyait un reportage sur le hack de carte bleu. On voyait un gars flouté retirer des paquet de clopes au comptoir du bar tabac avec une carte vitale ? Le mec avait bien payé avec une carte vitale.
Au delà de l'énorme perf technique, je crois que ce monsieur a aussi mis en lumière certaines absurdités de nos croyances sécuritaires (c'est bien écris hein). En tt cas bravo à lui.
Pour ceux qui se posent la question, la faille découverte par ce monsieur n'existe plus. C'était sur la norme B0' française qui n'existe plus et a été remplacé par la norme EMV (internationnale et d'origine américaine Master/Visa) depuis 2005.
Je m’en souviens comme si c’était hier après la lecture d’un article sur Le Point en 99 (numéro spécial Japon) et j’avais été consterné déjà à l’époque pour ce qui était une terrible injustice : il aide à améliorer un système, et au lieu d’être remercié il se fait arrêter !!!
Je connaissais un mec qui faisait des yescard au début des années 90. Il avait été voir le GIE qui s'en battait les K de la sécurité des utilisateurs. Tout ce qu'ils voulaient c'est que ça ne se sache pas. Quand Humpich est allé, à son tour, les voir, ils savaient. Humpich s'est fait avoir en voulant prouver ses dires. Il l'a payé très cher.
Je bossais dans les cartes à puce a une époque, les constructeurs de carte s'étaient trompés dans l'envoi du manuel, il m'avait filé un document ultra sensible J'en ai jamais rien fait, j'ai renvoyé le manuel. On m'a averti que faux monnayeur, même électronique valait 20 ans de taule. Sinon ,je me rappel de la médiatisation de cette histoire.
J'imagine surtout l'ingénieur qui a développé le système au Groupement des Cartes Bancaires qui a dû dire à son chef de projet "Mais on ne vérifie pas que la transaction s'est bien faite ? Si quelqu'un s'amuse à générer une fausse transaction on aura des problèmes, non ?" et l'autre qui répond "T'inquiète, ça n'arrivera jamais."
A l'époque les transactions passaient par le réseau téléphonique. Les terminaux envoyaient leurs transactions de la journée le soir à minuit pour ne pas saturer les lignes. C'est vraiment un autre monde, on a oublié aujourd'hui avec internet qui est omniprésent et qui a connu une croissance gigantesque en quelques années.
La fonction existait déjà cependant le fait est qu'il n'y a pas du tout de vérifications à distance en-dessous d'une certaine somme, ça reste vrai aujourd'hui même avec des TPE plus modernes et à l'heure d'Internet.
C'était protégé par cryptographie, c'était pas juste une question de oui ou de non. Humpich et sa communauté ont cracké la clef RSA512 qui le protégeait.
Je croyais que le seul « vrai » électronicien de france etait Stephane Marty 😱😱😱😱 Même si tu perd du monde fallait le laisser finir, la réflexion était intéressante
5:45 en 1995 les terminaux de paiement n'envoyez aux banques les ordres de paiement que la nuit tombée pour ne pas saturer les lignes téléphoniques donc on pouvait avec des fausses cartes donner des faux numéros de compte qui n'était analysé que des heures après l'ordre de paiement: Yes card
c'est comme sur l'autoroute. si a chaque fois les terminaux doivent attendre le retour de l'autorisation de la banque c'est des files d'atente de plusieurs kilomètres en perspectives....
Il aurait pu être milliardaire et se barrer du pays mais il à décidé d'aider les banques mdr qui lui ont mal rendu. Une histoire ou rien est normal mdr
Très bonne vidéo. Cependant le chien ne descend pas du loup, ils ont peut être un ancêtre commun mais pas plus. Il faut en finir avec cette croyance qui a été démontrée comme étant erronée.
Pour ceux qui kiffent ce genre de hack, il faut absolument aller voir la conf du gars qui a cracké son décodeur satellite à base de désoudage de puce à l'acide pour lire l'état des transistors au microscope et reproduction du bug par une séquence d'alimentation de fou.Dommage que TH-cam ne prenne pas les liens...
À la décharge des banques à l'époque, internet n'était peut être pas assez démocratisé pour mettre en place l'autorisation systématique qu'appliquent presque tous·tes les banques/TPE aujourd'hui. Avec la couverture actuelle en réseaux mobiles on peut faire fonctionner un TPE avec autorisation systématique presque partout.
Admirable et effrayant !!! Mais chapeau a vs tous..👍 PS.O!! l'honnêteté n'est pas Tjours payeuse..C fou.. J'ai trop ri quand il a dit... Personne ne me croyait....C fou.......
Je me souvient de se dimanche après-midi ou je tombe sur se reportage et je voie se monsieur piraté un cb et la passé à des journalistes qui prene un péage avec . J aurai fait tellement plus avec cet fameuse carte vital transformé en cb c fou !
Bonjour. Cela etait possible car les paiements ne s'effectaient pas en ligne, mais simplemement en vérifiiant que la carte présentée était une carte de paiement. Aujourd'hui cela ne serait plus possible car pour valider votre achat/paiement, le terminal de paiement (POS) interroge votre banque et lui demande l'autorisation à l'operation. La carte fictive produite n'étant reliée à aucun compte, le piaement serait refusé
Serge Humpich, ça faisait longtemps, ça me rappelle l'époque des Pirate'Mag ! L'idée qu'on s'en faisait à l'époque c'est que SH était génial, mais il avait un égo sur-dimensionné. C'est cet ego qu'il l'a mis dedans.
À l'époque les connexions étaient lentes et on avaient la possibilité de lancer une télécollecte en fin de journée. Toutes les transactions (vraies ou forgées) étaient stockées dans le terminal de paiement pendant la journée de travail (même les cartes volées étaient sync le soir, ou le matin... ) et envoyées au centre bancaire le soir... Je me souviens bien de cette histoire. Un as de la rétro ingéniérie ce gars. Un vrai hacker.
Sa me fait penser directement au film Terminator 2 lorsque John Connor et son pote sortent leur systéme pour hacker un distributeur . Vraiment passionnant l’interview.
En gros, à l'époque il y avait peu d'internet et peu de cartes de crédit. Et pas de cartes prépayés. La plupart des machines verifiaient seulement si c'était un numéro de carte "plausible". Une bande magnétique NE PEUT PAS être sécurisée du fait qu'il n'y a pas d'interaction mais de la simple lecture / écriture de données. On pouvait copier une carte de crédit avec un simple lecteur de cassette audio. Entre 1995 et 2005 même la moitié des sites Web ne verifiaient les cartes en ligne en contactant les serveurs de visa / mastercard mais simplement en vérifiant la plausibilité du numéro de carte pour valider les transactions. C'était le far west sur internet, tout le monde était hackeur à l'opposé de que prétend le jeune dans la vidéo
@@nothing2believe La télécarte était aussi une carte de paiement basée sur la même technologie développée par Gemplus (Gemalto, et actuellement Thalès Digital Identity and Security), plus spécifiquement de paiement de communications téléphoniques, donc ton premier commentaire est faux et ta réponse est totalement conne en plus d'être hautaine. En outre la carte bancaire, contrairement à une carte Sofinco ou Cofinoga, est principalement une carte de débit, pas de crédit. La prochaine fois, essaie au moins de formuler un commentaire moins bancal.
@@chucku00 okay, va payer avec ta super carte de paiement dans un magasin alors ! Et arrête de troller ici... Tes commentaires sont aussi inutiles que lourds
Je me souviens très bien avoir suivi ses mésaventures et son poc avec achat de tickets de metro. Je me suis toujours demandé ce qu’il était devenu après avoir été poursuivi. Merci !!!!!!
C’est la Yes Card! Sacrée époque,j peux vous dire que son Hacking a fait des heureux et heureuse,frénésie de shopping,etc…Je le souviens plus du prix auquel les gars la vendaient mais c’était pas loin d’un un peu moins qu’un smic en franc, genre 3500 franc…
Dans les années 90 c'était très facile de téléphoner gratuitement en cabine téléphonique depuis l'arrivée des cartes.. Le téléphone retirait des points alors que la carte n'était plus installée.
Il y a paiement offline (par exemple au péage) asynchrone et online synchrone (en boutique) où la transaction est validée par l'émetteur de la carte (pas tout à fait vrai mais il faut simplifier) via le réseau de paiement Visa/Mastercard/CB. Il a réussi une transaction valide offline (peut-être en générant un ARQC, autorisation de paiement valide si ça existait à l'époque). Il y a une régularisation des paiements offline en batch où les transactions sont réellement effectuées entre la banque du client et du marchand. S'il a utilisé un numéro de carte non-valide, ça se voit, S'il a utilisé un numéro de carte valide, je suppose que quelqu'un finira par se plaindre.
Il y’a des sociétés qui payent pour trouver des failles mais pas pour monsieur apparement, à mon avis c’est très bien ce qu’il a fait si on veut évoluer les choses
Mon fils est pareils... Dans le sens ou il demonte tout, avec une grande maîtrise dans ce qu'il entreprend.... En ayant toujours ei le contrôle de ce qu'il faisait jusqu'à présent (bases informatiques poussées).
Il est costaud lui. Entre l'archéologue et le Mike Horn de l'électronique, A 8:30 ... Ah ouais. Le gars, y se fait arrêter.... et du coup, il est content . "Ah bah, finalement. Là, on me croit." lol Chaud quand même.
Wouahhhh!!!! La yes card!!! Mon héro!! Tu m'avais (presque) donné l'envie d'en faire une à l'époque :)) et décoder le code ligne par ligne me rappelle quand je craquais les jeux pc, desassambler jusqu'à trouver l'instruction qui teste le code du jeu et inverser la condition.... I had a dream...
Allez direct à 5:11 si vous arrivez pas à suivre la technique ! 😅
pic16f84
C'est surtout la partie sur le DPROM qu'il a dû bypasser pour tweaker la RAM DX 128 avant de hacker le fil 128 sur le DMARK généré par le CPU ID du flux X4428 sans trigger le safety net du chromosome X du boitier que j'ai pas très bien compris.
Au contraire, c'est vachement intéressant!
Trop tard, mais si j'avais vue ton commentaire avant, j aurais clic
Nouveaux locaux?
Super travail de rétro-ingénierie ! Je suis d'autant plus admiratif de l'intégrité dont Serge a fait preuve dans sa vie !
Il s'appelle serge
Ouais le pauvre Serge il aurait pu se gaver mais a préféré faire de la leche pour au final se taper une G.A.V.
Il aurait dû s'appeler momo, non ?
Je me rappelle très bien de la période où c'est arrivé. Je suis vraiment content de voir qu'il s'en est plutôt bien sorti. L'injustice de son cas m'avait exaspéré à l'époque. J'étais vraiment inquiet pour lui.
Tout à fait, je me suis dit à l'époque qu'il avait eu affaire à des cadres incompétents qui avaient rapidement veillé à ce que leur responsabilité ne soit pas engagée. Classique.
Oui je me rappelle aussi, j'étais en train de conduire et j'ai entendu à la radio aux informations un truc tellement illogique : Serge Humpich, présenté comme un paranoïaque (et un autre terme dont je ne me rappelle plus) qui aurait piraté des cartes bleues et se serait présenté de lui-même pour le prouver.
Je me souviens d'avoir passé une journée où j'ai été assez désabusé, j'en ai parlé à quelques personnes sans qu'il n'y ait aucune réaction.
Je m'en souviens quand c'était passé à la tv.
En gros au informations il temoignait qu'il allait être jugé suite à sa trouvaille et qu'il n'avait rien volé, juste balancé l'info.
@@TurLuTuTuTuLasDansLeQun lanceur d’alerte condamné ? Il serait donc le premier … c’est déjà arrivé plus récemment Assange, Snowden, l’informaticien de la HSBC, tous des lanceurs d’alertes qui ont étés ou sont encore poursuivis par la justice
J'adore les mecs qui raconte des anecdotes que personnes ne comprends tellement elles sont technique 😂
Moi je réclame, j'exige, une émission spéciale rien que pour expliquer son anecdote. 😉
Va voir deus ex silicium.
Perso j'ai à peu près compris
@@Benoit-Pierre Je connais le loustic et, en effet, il est bien du même bois. Passionnant mais il faut s'accrocher pour suivre.
fr.wikipedia.org/wiki/YesCard
J'ai compris ce dont il parlais sans même être très technique. Il faut juste s'intéresser au software et au hardware légèrement
L'affaire avait été médiatisée - à l'époque, tout bidouilleur connaissait l'affaire Humpich. On en discutait au café avec les collègues, on était dégoûtés. L'erreur de M.Humpich est d'avoir voulu la jouer "white hat" et d'avoir voulu contribuer à améliorer la sécurité des paiements à l'époque... La perception du hacking a beaucoup évolué depuis (quoique, même aujourd'hui, je ne suis pas convaincu que ce soit très bien perçu dans la monde bancaire).
Je ne suis pas un auditeur habituel de la chaine, mais quand j'ai vu le titre de la vidéo, j'ai immédiatement su que c'était de M.Humpich que vous alliez parler - une personne dont je n'avait jamais plus entendu parler. Je suis heureux que cette personne ne regrette rien de sa vie.
Pareil :)
Y a eu la même 10 ans plus tard avec moneo craqué par un prof de math
Il y en a encore, cette semaine je me suis fait avoir pour 241€, c'est peut-être pas beaucoup pour vous mais pour moi, c'est la moitié de ma retraite, alors a72 ans vivre cela c'est dur !
@@pauladessart-corthouts9738 Par quel mécanisme PRECIS as-tu été défait de cette somme ? parce que moi, mes 4 banques, si je suis pas l'auteur de la dépense, je suis remboursé dans la journée.
Enfin techniquement, j'ai jamais été volé d'argent sur ma CB; mais 3 fois mes banques m'ont contacté pour me proposer d'annuler une opération douteuse.
J'ai jamais non plus été piraté contre mon gré (j'héberge plusieurs virus que j'ai téléchargé en connaissance de cause). Pourtant, je suis attaqué en permanence (une dizaine d'attaque par seconde depuis 2004).
En fait, la semaine dernière j'ai même été remboursé d'une opération légitime. J'ai jamais compris pourquoi. J'ai payé un truc, et 8j après, j'ai été remboursé par ma banque. J'ai quand même contacté le commerçant pour leur proposer un second paiement si ils découvrent un trou dans la caisse.
Et non, 241€ c'est rien.
J'ai voulu porter plainte pour TENTATIVE d'escroquerie sur mes comptes bancaires, et le policier m'a répondu "tentative, donc, ils ont rien pris ? parce que nous sous 1500€ on bouge pas, et sous 800€ c'est même pas la peine de penser à venir nous voir". J'avais pourtant des coordonnées, classé sans suite.
Donc si t'as pas perdu 1500€, t'as rien perdu.
La perception à changé, mais dans le fond, non. Si ça va trop loin : punition. Ce qui est incompris, car très technique = peur. Et en plus quand ça touche l'argent....
Ce mec est un génie (et assez humble avec ça) ce qu'il a subit c'est tout bonnement scandaleux, heureusement qu'il le prend avec philosophie ^^
Exactement 👍
un collabo
En 1978, avec un pote d'origine portugaise on avait remarqué que les monnayeurs reconnaissaient la pièce d'1 escudo (environ 3 centimes) comme une pièce de 10 Francs. On avait essayé par hasard car les 2 pièces se ressemblaient (taille, poids, couleur... vérifiez sur google).
On récupérait alors des pièces d'1 escudo dans la communauté portugaise qui rentrait de vacances pour jouer au flipper 😂J'ai testé dans un distributeur SNCF, il m'avait rendu 8,50 F en achetant un ticket à 1,50F avec une pièce d'1 escudo, valant donc 3 centimes !
Bravo😁
@@rizzentuto9218
En fait, il y avait moins d'adrénaline à jouer sans payer... il y aurait certainement eu moyen de gratter un peu d'oseille mais notre trip c'était de poser une pièce de 2 francs dans le cendrier du baby-foot pour reprendre le gagnant après le lycée, jouer au billard français et le perdant payait l'addition.
Et à cette époque les lires italiennes passaient aussi dans certaines machines, dont les cabines telephoniques, vive les poids et mesures lol !
Il a un flow et un charisme incroyable cet homme je trouve. Et au delà de ça c'est un vrai génie, il a en quelques sortes ouvert les yeux au monde sur la vulnérabilité de tous systèmes.. c'est fou
non ?
Toujours intéressant François Cluzet quand il parle d'électronique.
Ohlala toi t'es pas le couteau le plus aiguisé du tiroir, ni même le pingouin qui glisse le plus loin
😂 c’est tellement ça
MEEEEEERDEEEEEE
Putain merci je cherchais depuis 5 min !
Oh bien trouvé
Imagine trouver une faille et te faire enfermer pour avoir prévenu que des ingénieurs ont fait une boulette
*Prison avec sursis, donc pas vraiment prison par contre le simple fait qu'il y ait eu une condamnation est honteux
@@akiesa559 c'est ça qui me dégoûte, une condamnation c'est quand on a commis un crime, là il a juste montré une faille sans intention malveillante.
@@RetroGamersFaction je suis bien d'accord avec toi heureusement que les choses sont différentes maintenant...
Ça arrive plus souvent qu on croit
Doucement les raccourcis. Quand on commence à fouiller dans une carte bancaire et à la modifier, on sait qu'on rentre dans l'illégal. Et pas qu'un peu.
Peu importe les motivations, la loi c'est la loi.
Super intéressant cet épisode, merci pour l'avoir invité. Pour ceux qui se demandent, il ne pouvait retirer que de petites sommes à la fois. En effet, il y a 3 phases dans le paiement, les 2 premières étaient hackable, la 3ème ne l'était pas. Sauf que cette 3ème étape, c'est lorsque le boitié fait des vérifications auprès de la banque. C'est long (10 secondes), et donc c'est fait uniquement pour minimum plusieurs centaines d'euros, ou si la carte est fichée (trop de découvert par exemple).
Il faut aussi savoir qu'ils ont encore pris quelques années avant de corriger cette faille, et que dans les années qui ont suivies, ce fut à nouveau hacké, puis corrigé, puis hacké... Mais maintenant ça semble solide :)
c'est là qu'il a mal joué. Il a hacké le niveau de sécurité le plus faible de la carte bleue et a crié à l'exploit (technique) et au scandale, alors qu'il était parfaitement assumé et connu des banques que ce niveau de sécurité n'était pas optimal. Il y avait bien des niveaux de sécurité supérieurs (reposant sur des échanges avec la banque, et qui n'ont jamais été hacké... et pour cause... c'est hyper solide comme principe de sécurité), et la décision de ne les activer que pour les plus grosses transactions se justifiait par les couts et le temps que cela prenait à l'époque. La sécurité est toujours une histoire de ratio bénéfices/risques ou couts/risques, pas juste de technologie. "je n'ai pas de documentation technique".... oui, et ça c'est une évidence quand on l'entend et qu'on sait ce qu'il a fait! Par contre, je suis effectivement atterré par la façon dont l'affaire et Serge en particulier ont été "traités"....plutôt de lui expliquer qu'il n'avait pas inventé l'eau chaude, arguments techniques à l'appui, on l’arrête, et plutôt que lui expliquer pourquoi il était important d’arrêter le cirque médiatique, on fait pression, on lui fait un procès, et on met face à lui des interlocuteurs qui techniquement s'y connaissent encore moins que lui...bref, on remet de l'huile sur le feu et on lui donne envie, pour le coup à juste titre d'alerter la France entière (juste l'inverse de ce qu'il fallait faire)... n'importe quoi.
@@Flangad
« Il a [...] crié à à l'exploit (technique) et au scandale » Source ? (spoiler : il n'y en a pas car tu inventes).
« il était parfaitement assumé et connu des banques que ce niveau de sécurité n'était pas optimal » Parfaitement assumé, ce n'est pas du tout le souvenir que j'en ai. De plus, un truc assumé ne fait pas une descente de police y compris chez l'avocat.
« ll n'avait pas inventé l'eau chaude » Il a juste fallut changer tous les TPE de France, mentir aux clients pour leur faire changer de TPE (ça n'a pas fonctionné pour certains, genre une grosse chaîne de supermarchés qui a dit qu'ils ne changeraient pas, qu'ils expliqueraient à leurs clients que la CB est dangereuse... sauf si le GIE Carte Bleue payait le nouveau matériel et l'installation et le temps perdu, etc. Le GIE a baissé son pantalon plein de caca et a payé. C'est la légende. La réalité est... je ne sais pas).
Résumé : tu racontes de la merde.
@@LeCheneDeTele. quand je dis "parfaitement assumé", c'est dans la conception et la mise en place du système. Comme je le dis dans mon message, toute la communication qui a suivi cette affaire a été lamentable... là je suis d'accord, ils n'ont plus rien assumé!
Pour expliquer plus en détails: ce n'était pas un scoop à l'époque que les petites transactions étaient vulnérables et ça ne posait aucun souci tant que l'info ne circulait pas (ou pas trop)... il était en effet relativement facile à l'époque de faire une copie d'une vraie carte, exigeant le code secret de notre choix, et qui puisse fonctionner pour toutes les transactions où les "étages supérieurs de sécurité" n'étaient pas activés (les petites transactions). Ce fait était parfaitement documenté, connu.... c'était une conséquence quasi évidentes des spécifications techniques de la carte bleue. c'est pour ça que je dis que c'était assumé. Et encore une fois, les étages de sécurité supérieurs étaient bien là et inviolables lorsque que c'était jugé nécessaire. La seule chose en plus qu'a fait Serge comparé à la "copie de carte" que j'évoque, c'est d'avoir cassé une clé, ce qui lui permettait de faire un peu mieux qu'une copie d'une carte : il pouvait créer une carte de toute pièce, basée sur un porteur fictif, et donc rattachée à aucun compte en banque... et pour ça, il a effectivement cassé une clé secrète qui lorsque la carte a été conçue pouvait être largement assez sécurisée et ne l'était visiblement plus assez au moment de l'affaire. Mais le fait que cette clé ait été découverte ou pas ne change pas grand chose à la sécurité globale du système.
Autrement dit: il y avait déjà à l'époque tout ce qu'il fallait, techniquement, dans le système carte bleue pour sécuriser les transactions. Il avait juste été décidé de ne pas mettre en œuvre systématiquement tous les mécanismes de sécurité disponibles (les réserver aux gros montants) tout simplement parce que ça aurait couté trop cher comparé cout estimé de la fraude rendu possible par cette relative vulnérabilité (il fallait quand même un certain niveau pour jouer à ça). Serge n'a pas appris grand chose au GIE quand il est allé les voir en leur disant "attention, j'ai découvert une faille dans le système CB, regardez, j'ai réussi à le hacker". Les faiblesses qu'il a présentées étaient parfaitement connues du GIE, elles étaient partie intégrante d'une stratégie de sécurité globale parfaitement assumée, et c'est probablement pour ça qu'il n'a pas été pris au sérieux.
Sauf que à partir du moment où l'information circule à grande échelle et qu'on a plus affaire à un petit hacker qui fait juste son bricolage dans on coin mais à quelqu'un qui communique sur le sujet, évidement, le principe du "petit risque, petite sécurité, gros risque, grosse sécurité" ne tient plus, car "ptit risque multiplé par un nombre de fraudes potentielles qui explose, ça devient un gros risque...et c'est ça qui a rendu le GIE très ronchon et obligé à mettre à jour l’ensemble du système (ce qui a probablement couté une fortune). mais il ne faut pas perdre de vue qu'à l'époque internet était loin d'être ce qu'il est aujourd'hui et justement les infos circulaient infiniment moins facilement qu'aujourd'hui.
La sécurité informatique, ça repose sur des mécanismes techniques, mais pas seulement... ça repose aussi sur de la confidentialité de l'info et c'est surtout le fait que des infos qui jusqu'à présent n'étaient présentes que dans des documents "à diffusion restreinte".... (mais pas Top Secret non plus, la preuve, j'y ai eu accès en toute légalité alors que j'étais encore étudiant) soient diffusées dans les medias qui a énervé les banques...et engendré leur réaction déplorable (qui n'a d'ailleurs fait qu’aggraver les choses car c'est à partir de là que tout le monde s'est mis à en parler).
@@Flangad J'ai quand même l'impression que seule une petite fraction des électroniciens/ingénieurs auraient été capables de faire ce qu'il a fait. En ce sens, c'est tout de même un exploit technique.
Ce qu'il a fait, ça permettait de faire beaucoup plus que ce que font les gens qui font du "skimming", avec moins de risque (car pas besoin d'aller bidouiller un distributeur de billets, d'y installer un transmetteur relié à une ligne de téléphone, etc). Donc si c'était réalisable par n'importe quel ingénieur lambda, pourquoi ça n'a pas été fait massivement, comme l'est le skimming aujourd'hui ?
@@brinckau ce qui est remarquable (mais pas un exploit pour autant) c'est d'avoir réussi à faire ce qu'il a fait sans avoir l’accès aux docs techniques.... ça c'est clair. Je ne dis pas que Serge est mauvais techniquement, mais il a clairement mis la main et fait un bout de rétro-ingénierie dans quelque chose qui le dépasse sous bien des aspects, aussi bien techniques que de stratégie globale de sécurité et que communication (ce qui est tout à fait normal vu le niveau d'infos auquel il avait accès).
Serge Humpich est une légende ! Merci de l'avoir invité pour l'avoir fait découvrir aux plus jeunes.... Il a clairement montré à ses dépends le double discours des autorités de l'époque qui préféraient punir plutôt que de récompenser le lanceur d'alerte... Maintenant il serait aller à l'ANSSI avec un tel truc il aurait plus probablement eut un chèque et un contrat qui va avec 🥳
Ça continue toujours. J ai un droit légal de consulter le code source de MonMaster. Mais le ministère semble se raidir à l idée de l exécution de l ordonance. Faire corriger Parcoursup et ça avait repris de plus belle.
Peut être que je devrait le vendre aux Russes en donnant l argent à l Ukraine pour déclencher une prise de conscience avec la cyberattaque qui en résulterait.
Ça éviterait que ce ne soit Daesch avec la volonté de provoquer une vague de suicide.
Je me souviens de cette affaire à ses dèbuts et le choc que ça m’a procuré car vous étiez de parfaite bonne volonté à l’égard du giecb. Je suis heureux d’apprendre de vos nouvelles télévisuellement.
Super intéressant, c'est pas la première fois que vous ramenez un type qui a une histoire dingue et plein de choses a raconter.
J'ai l'impression que les plus grands esprits sont les gens les plus gentils ! Il aurait pu faire de sacré dégâts
Ce sont les gens qui réfléchissent avant de parler...
Oui enfin c'est plutôt l'intelligence de se dire j'ai pas envie de finir ma vie en prison plutôt que de la gentillesse hein xD Tous les gens qui bossent dans un secteur critique pourraient causer de sacré dégâts. C'est juste être fier de son travail, être un peu curieux, et pas envie d'emmerder le monde ^^ Enfin perso pour bosser dans le système et réseau parfois pour de grosses entreprises c'est mon attitude.
ptin il parle comme un mec des simpsons
😂😂😂😂😂😂😂
Grave et hyper hautain, à croire qu'il est le premier chirurgien à avoir réussi une transplantation cardiaque !
@@faro2468 Je sais pas s'il est vraiment hautain. D'autres commentaires disent qu'il est humble... En tout cas, il est forcément super doué. Il peut être fier de lui.
Il n'est pas hautain il parle un français correct mélangé a des termes informatiques.
😂😂😂😂😂😂
Bonjour, je tiens à vous remercier pour cette interview ! J’en avais entendu parlé dans les années 90 et je pensais que cette personne avait disparu ou pire ! Bravo à ce monsieur !!!
un peu dommage que les gens qui se veulent informaticiens aujourd'hui captent pas quand on parle de hardware basique, de ram, d'oscilloscope, de cycle, de bus... c'est quand même un peu la base de savoir ce qui fait tourner son programme, au dela de juste "ligne de code, classe et fonction" y'a pas une vraie compréhension de ce qui se passe quand un programme tourne, ni des composants de bases....
Même si à la limite vous voulez pas toucher à l'électronique, apprenez au moins l'architecture de processeur, ca fera de vous de meilleurs programmeurs :)
J'ai fait des soudures sur port ISA et port // et pourtant j'ai pas compris la différence entre south bridge et north bridge, ni le fonctionnement détaillé du prefetcher.
J'ai abandonné en cours de route.
Les machines modernes sont devenues trop complexes pour que quiconque puisse encore en avoir une compréhension globale.
Si des machines comme NEXT ou Alpha pouvaient être conçues, hard et soft, par moins de 50 personnes, aujourd'hui faut une cohorte de plus de 10000 personnes juste pour coder le noyau linux, et des intelligences artificielles pour optimiser le routage d'un processeur (j ai lâché au pentium 4, n ayant jamais entendu parlé de pentium 5, il semblerait qu'ils aient changé de nomenclature ).
Vraie à 100%. Au moins comprendre les composants qui font les portes logiques.
@@Ibrahim-pf1il pour ça il suffit de dominos.
Avec des boîtes d allumette tu peux fabriquer une IA qui apprend de ses erreurs ...
Voir la chaîne stand up math
@@Benoit-Pierre Est ce que tu pourrais me passer le lien de la vidéo, je suis curieux de voir sa ?
@@Ibrahim-pf1il j arrive pas a poster mes messages sont censuré
Un génie fou, incompris ! magnifique, le meilleur intervenant à ce jour !
Eh bah j'ai parlé de lui pour mon grand oral ! C'est trop cool de le retrouver ici :)
Si vous voulez en savoir plus, il y a un super passage dans la série " Halt and Catch Fire " où on peut voir comment à l'époque ils avaient récupérer le code binaire du bios d'IBM de la même façon que ce Mr. pour programmer leurs propres bios.
Merci pour cette interview vraiment super intéressante.
1990-1995 l'époque des yescards, des cartes à puce pour téléphoner gratos, de la génération de numéros de CB avec la clef de Luhn, des cartes pour canal+ et les décodeurs canalsat, des copieurs de jeux super nintendo, megadrive et neogeo. C'était une bonne époque, on s'ennuyait pas à la fac avec tout ça! je ne suis pas certain que c'est ce monsieur qui a fuité toutes les infos, car à la fac un de mes profs était un de 3 inventeurs de la carte à puce qui travaillé pour le giecb et il avait la langue bien... pendue et on faisait pas mal de test. Le hack éthique c'est mignon aujourd'hui mais c'était bien plus drôle à l'époque ! ;)
On a tous reconnus François Cluzet, gg à lui ! Cet invité est incroyable. Et merci pour l'émission
Pour répondre plus précisément à la question de Nozman sur l'origine des fonds pour la fausse transaction. C'est la banque (Acquéreur) qui a du payer la transaction avec ses fonds propre à son client (Accepteur)(RATP dans l'exemple des tickets de metro) par obligation contractuelle. Elle même ne pouvait se faire rembourser puisque la carte étant fausse et ne présentant même pas un BIN correcte, elle ne peut se retourner vers une autre banque potentiellement émettrice de la carte.
ahhh ce mec est une légende mais par pitié le couper pas au pire vous faite une autre vidéo pour expliquer les concepts !! sinon pour ceux qui veulent capter chaque concept qui ne peut s'apprendre que par la pratique il y a toujours la chaine très connu de ben eater .. et merci pour l'itw
Ben eater !!!
Tout a fait, les vidéos de Ben Eater sont incroyables de précision et de pédagogie pour comprendre les vieilles architectures d'ordinateurs 8 bits! Il serait d'ailleurs de bon ton de faire référence a la source lorsque underscore utilise ses images pendant l'explication technique...
@@thomhpl oui complétement d'accord avec ton mesage, maintenant sur un point permet moi de partager ma vision des chose ce ne sont pas du tout des vielles architectures(du sens ou elle se retrouve dans les modernes) de mon point de vue d'hobbyiste. Elle on un double avantage elle sont accessible si on les prend par le bon bout et permette si on pratique d'assembler un ordinateur fonctionnel.
Qu'est ce que l'ALU, un bus de donné un decodeur comment on compare une valeur (qu'on retrouve en haut niveau ) comment l'ordinateur mémorise on retrouve matériellement ce qu'on va retrouvé en haut niveau du coup tous ce qui est retro est une mine d'or.
La grosse différence avec les vielles archi c'est qu'on a pas le concept de carte graphique on pilote un écran crt, et la ben c'est vrai que c'est pas une partie que je maitrise comme la communication avec des périphérique ..
en tout cas la bonne journée au passionné de techno
@@Pos44Dami c'est tout a fait juste, l'architecture de base est la même, mais les systèmes modernes ont bien plus de complexité ajoutée et sont bien plus intégrés. Impossible aujourd'hui d'observer directement un bus de données tant la vitesse de la RAM est haute, les processeurs ont des mémoires cache a plusieurs niveaux, la plupart des données transitent via PCI vers les périphériques. Le coeur du CPU est le même, mais tout autour a changé ;)
Je m'en souviens, les yes card se sont mises à circuler partout.
La vérification était local tpe/carte crédit.
Et ça fonctionnait, mais si il y'avait une demande d'autorisation car le montant était trop important la transaction était alors invalidé.
Les commerçants font un appel en fin de journée pour transférer les fonds à leur banque.
Quelle chance d'avoir pu recevoir ce génie ! Un electronicien, un vrai un dur :) un hacker, un précurseur. Je me souviens du scandale que ça avait fait, tous les fan de sécurité de l'époque suivaient l'affaire. Ça a fait jurisprudence.
Je me rappelle de cette affaire oui. J'avais aussi été outré. Le mec trouve une faille, previens les personnes concernées pour qu'il l'a corrige mais au lieu d'être félicité et remercier, il est condamné par la justice.
Et là tu te dis l'honneteté ne paye pas toujours.
Cela ne vous rappelle pas certains lanceurs d'alerte 😉 ?
Surtout que s'il a trouvé une faille, combien avant s'en sont peut-être servi de façon malhonnête ?? Je me rappelle aussi l'affaire ("Pirates Mag'" à l'époque) et comme vous j'avais été choqué. Moralité, si vous trouvez une faille, exploitez-la et vous finirez peut-être en taule, ou prévenez la banque, et vous finirez sûrement en taule...
Aujourd'hui tu trouve une faille comme ça tu nique tout et tu te tais. L'honnêteté n'a jamais payé
La Plus-value de roni aka lupin sur votre émission est incroyable
Hypothèse: Il n'était pas le premier à l'avoir découvert mais c'était le seul honnête pendant que d'autres s'en sont mis pleins les poches illégalement
100% c'est ça et la médiatisation qui a suivi semble être juste un avertissement pour ceux qui l'ont exploité potentiellement à côté
Je connaissais un peu son histoire (38 ans d'informatique derrière moi). Génial !
Mais... quand c'est bien, c'est toujours trop court.
Merci 😉👍
Étonnant qu’il n’ait pas expliqué la raison pour laquelle sa « yes card » a fonctionné pour l’achat de quelques tickets de métro mais n’aurait pas fonctionné pour un achat de 1000€ (comme demandé par le type à la casquette) : à moins de 100fr de l’époque il n’y avait pas d’interrogation du central pour obtenir une autorisation.
De nos jours les pirates crckent toulours les cartes bancaires a paiement sans contact qui ne demandent pas d'autorisation jusqu'a une vingtaine d'euros pour la plupart,non? Pas grand chose n'a change de ce cote-la.
L'humanité n'est pas perdue des jeunes qui tiennent une chaîne youtube si intéressantesm🙏🏼🙏🏼🙏🏼🙏🏼 je découvre et franchement très professionnel.
Personne se dit que quelqu’un avait peut-être déjà trouvé la faille mais peut-être juste que cette dernière ne s’est jamais fait prendre
un employé comme ça c'est de l'or quel gâchis de le virer !
Avoir un malfaiteur dans des rang fait toujours mauvais effet. Y a encore ce jour des tas de boîte ou il est impossible d être embauché si t'as pas un casier vierge (conducteur de bus par exemple , pour citer un truc pas obvious )
Qui se rappelle de ce reportage de M6 des années 2000 où on voyait un reportage sur le hack de carte bleu. On voyait un gars flouté retirer des paquet de clopes au comptoir du bar tabac avec une carte vitale ? Le mec avait bien payé avec une carte vitale.
Ça me dit quelque chose: il est passé au péage avec un numéro de carte 123456789..
4:51 on aperçoit une image de ce reportage (mec en blouse blanche)
Au delà de l'énorme perf technique, je crois que ce monsieur a aussi mis en lumière certaines absurdités de nos croyances sécuritaires (c'est bien écris hein). En tt cas bravo à lui.
Pour ceux qui se posent la question, la faille découverte par ce monsieur n'existe plus. C'était sur la norme B0' française qui n'existe plus et a été remplacé par la norme EMV (internationnale et d'origine américaine Master/Visa) depuis 2005.
Je m’en souviens comme si c’était hier après la lecture d’un article sur Le Point en 99 (numéro spécial Japon) et j’avais été consterné déjà à l’époque pour ce qui était une terrible injustice : il aide à améliorer un système, et au lieu d’être remercié il se fait arrêter !!!
Je connaissais un mec qui faisait des yescard au début des années 90. Il avait été voir le GIE qui s'en battait les K de la sécurité des utilisateurs. Tout ce qu'ils voulaient c'est que ça ne se sache pas. Quand Humpich est allé, à son tour, les voir, ils savaient. Humpich s'est fait avoir en voulant prouver ses dires. Il l'a payé très cher.
Ce passage était un enfer à écouter en podcast, il est tellement endormant le monsieur 😂
Sa voix et son intonation sont abominables 😄
Je cherchais vos commentaires ahah, vraiment pas possible à regarder 😮💨🤣
On dirait la voix d'un prof de math ou de physique chimie haha
Genre 8:16 c'est limite de l'irrespect là 😂
Merci !
j'aime bien son air "oui...boh..pff, j'ai cracké le systeme bancaire de l'époque quoi..'fin bon.."
Je bossais dans les cartes à puce a une époque, les constructeurs de carte s'étaient trompés dans l'envoi du manuel, il m'avait filé un document ultra sensible
J'en ai jamais rien fait, j'ai renvoyé le manuel. On m'a averti que faux monnayeur, même électronique valait 20 ans de taule. Sinon ,je me rappel de la médiatisation de cette histoire.
J'imagine surtout l'ingénieur qui a développé le système au Groupement des Cartes Bancaires qui a dû dire à son chef de projet "Mais on ne vérifie pas que la transaction s'est bien faite ? Si quelqu'un s'amuse à générer une fausse transaction on aura des problèmes, non ?" et l'autre qui répond "T'inquiète, ça n'arrivera jamais."
Clairement un choix de conception pour faciliter le déploiement...
A l'époque les transactions passaient par le réseau téléphonique. Les terminaux envoyaient leurs transactions de la journée le soir à minuit pour ne pas saturer les lignes. C'est vraiment un autre monde, on a oublié aujourd'hui avec internet qui est omniprésent et qui a connu une croissance gigantesque en quelques années.
La fonction existait déjà cependant le fait est qu'il n'y a pas du tout de vérifications à distance en-dessous d'une certaine somme, ça reste vrai aujourd'hui même avec des TPE plus modernes et à l'heure d'Internet.
C'était protégé par cryptographie, c'était pas juste une question de oui ou de non. Humpich et sa communauté ont cracké la clef RSA512 qui le protégeait.
J'adore les électroniciens qui causent techniques! Les gars vous parlez carrément une autre langue :-)
A cette époque le facturette lors du retrait affichait le numéro de carte bleue... beaucoup de choses ont changées depuis
Oui, tout change, mais... les yescards existent toujours ;)
Je croyais que le seul « vrai » électronicien de france etait Stephane Marty 😱😱😱😱
Même si tu perd du monde fallait le laisser finir, la réflexion était intéressante
Merci super vidéo , la partie technique est très intéressant voire stimulante !
Je me souviens très bien de lui et de son histoire (oui, je suis un vieux), il est passé à ça se discute
5:45 en 1995 les terminaux de paiement n'envoyez aux banques les ordres de paiement que la nuit tombée pour ne pas saturer les lignes téléphoniques donc on pouvait avec des fausses cartes donner des faux numéros de compte qui n'était analysé que des heures après l'ordre de paiement: Yes card
Je déteste ce style d’élocution, mais l’expérience est génial. Merci d’avoir trouvé une histoire pareille 👍👍👍👍👍👍👍
Serge Humpich a écrit un livre paru en 2001, "Le Cerveau Bleu", chez XO Éditions, où il raconte toute son aventure : passionnant récit...
c'est comme sur l'autoroute. si a chaque fois les terminaux doivent attendre le retour de l'autorisation de la banque c'est des files d'atente de plusieurs kilomètres en perspectives....
Il aurait pu être milliardaire et se barrer du pays mais il à décidé d'aider les banques mdr qui lui ont mal rendu. Une histoire ou rien est normal mdr
Ce genre de personnes sont des genies de l'ombre. C'est grace a eux tt la technologie d'aujourdhui
J'avais suivi cette histoire dans le magazine "Le virus informatique" à l'époque.
serge a presque la même voix que françois cluzet, un biopic avec cluzet serait parfait !
Le sosie vocal de François Cluzet ! « M'enfin, je suis le parrain de ton fils ! »
Incroyable émission, plus de 22 ans après la censure
Très bonne vidéo. Cependant le chien ne descend pas du loup, ils ont peut être un ancêtre commun mais pas plus. Il faut en finir avec cette croyance qui a été démontrée comme étant erronée.
Une très belle émission, avec quelque chose d'émouvant et de positif. Merci. 🙏
Les gars vous êtes TOP !!! Et votre invité est excellent !!! Du coup je m'abonne à votre chaine 👍👍👍.
Pour ceux qui kiffent ce genre de hack, il faut absolument aller voir la conf du gars qui a cracké son décodeur satellite à base de désoudage de puce à l'acide pour lire l'état des transistors au microscope et reproduction du bug par une séquence d'alimentation de fou.Dommage que TH-cam ne prenne pas les liens...
À la décharge des banques à l'époque, internet n'était peut être pas assez démocratisé pour mettre en place l'autorisation systématique qu'appliquent presque tous·tes les banques/TPE aujourd'hui. Avec la couverture actuelle en réseaux mobiles on peut faire fonctionner un TPE avec autorisation systématique presque partout.
Admirable et effrayant !!!
Mais chapeau a vs tous..👍
PS.O!! l'honnêteté n'est pas Tjours payeuse..C fou.. J'ai trop ri quand il a dit... Personne ne me croyait....C fou.......
Compris les jeunes...trouvez un truc original...L IA A PEUT-ÊTRE DU SOUCIS A SE FAIRE...👍
Je me souvient de se dimanche après-midi ou je tombe sur se reportage et je voie se monsieur piraté un cb et la passé à des journalistes qui prene un péage avec . J aurai fait tellement plus avec cet fameuse carte vital transformé en cb c fou !
10:12
Pour moi cette intervention mérite vraiment d'être mise en avant. Car c'est criant d'un problème majeur sur notre société
Bonjour. Cela etait possible car les paiements ne s'effectaient pas en ligne, mais simplemement en vérifiiant que la carte présentée était une carte de paiement. Aujourd'hui cela ne serait plus possible car pour valider votre achat/paiement, le terminal de paiement (POS) interroge votre banque et lui demande l'autorisation à l'operation. La carte fictive produite n'étant reliée à aucun compte, le piaement serait refusé
plus je comprends rien , plus sa me fascine !!🤣🤣
Essaye deus ex silicium
J'ai l'impression d'entendre Mr Mackey (South Park), ca me stresse 😂
Il a la même voix que Francois Cluzet, c'est abusé ! A part ça, il est incroyable bien sûr :)
Serge Humpich, ça faisait longtemps, ça me rappelle l'époque des Pirate'Mag ! L'idée qu'on s'en faisait à l'époque c'est que SH était génial, mais il avait un égo sur-dimensionné. C'est cet ego qu'il l'a mis dedans.
Top ces explications pointues et détaillées !!
J'ai lu son bouquin, à l'époque c'était incroyable, il a été traité comme un terroriste alors qu'il avait prévenu le groupement de carte bancaire.
À l'époque les connexions étaient lentes et on avaient la possibilité de lancer une télécollecte en fin de journée. Toutes les transactions (vraies ou forgées) étaient stockées dans le terminal de paiement pendant la journée de travail (même les cartes volées étaient sync le soir, ou le matin... ) et envoyées au centre bancaire le soir... Je me souviens bien de cette histoire. Un as de la rétro ingéniérie ce gars. Un vrai hacker.
Sa me fait penser directement au film Terminator 2 lorsque John Connor et son pote sortent leur systéme pour hacker un distributeur . Vraiment passionnant l’interview.
Un Atari Portfolio doté d'un modem, l'équivalent mobile du hacker de "Wargames".
Exzellent j adore ecoute des histoire de fait reel surtout une comme Celle la en plus il a ca maniere de parle serieux c interessant
L'affaire avait été bien décrite dans le magazine Pirates Mag.
respect, dommage que tu a pas penssé a refroidir la ram vous auriez gagne tellement de temps
l'inventeur des yes card du debut des années 2000 Merci chef
J'ai fait mon tout premier stage avec lui chez CLE ! Il n'a pas changé, la même éloquence, la même gentillesse, la même passion.
En gros, à l'époque il y avait peu d'internet et peu de cartes de crédit. Et pas de cartes prépayés. La plupart des machines verifiaient seulement si c'était un numéro de carte "plausible".
Une bande magnétique NE PEUT PAS être sécurisée du fait qu'il n'y a pas d'interaction mais de la simple lecture / écriture de données. On pouvait copier une carte de crédit avec un simple lecteur de cassette audio.
Entre 1995 et 2005 même la moitié des sites Web ne verifiaient les cartes en ligne en contactant les serveurs de visa / mastercard mais simplement en vérifiant la plausibilité du numéro de carte pour valider les transactions. C'était le far west sur internet, tout le monde était hackeur à l'opposé de que prétend le jeune dans la vidéo
Exact il y avait des générateurs de carte ça généré des numéros valides sur internet. Il y avait aussi les yes card c était top aussi
Il existait déjà des cartes prépayées : les télécartes pour cabines téléphoniques.
La vidéo parle de cartes de paiements et donc mon commentaire de même... Il existait aussi des legos et des billes à cette époque...
@@nothing2believe La télécarte était aussi une carte de paiement basée sur la même technologie développée par Gemplus (Gemalto, et actuellement Thalès Digital Identity and Security), plus spécifiquement de paiement de communications téléphoniques, donc ton premier commentaire est faux et ta réponse est totalement conne en plus d'être hautaine.
En outre la carte bancaire, contrairement à une carte Sofinco ou Cofinoga, est principalement une carte de débit, pas de crédit.
La prochaine fois, essaie au moins de formuler un commentaire moins bancal.
@@chucku00 okay, va payer avec ta super carte de paiement dans un magasin alors ! Et arrête de troller ici... Tes commentaires sont aussi inutiles que lourds
J ai travaillé sur cette faille dans mon projet en fin de classe prepa c est ouf de voir ce gars quand on sait son histoire 😮
Je me souviens très bien avoir suivi ses mésaventures et son poc avec achat de tickets de metro. Je me suis toujours demandé ce qu’il était devenu après avoir été poursuivi. Merci !!!!!!
renvoyé de son job de l'époque et considéré comme un "malfrat" en France, il s'est expatrié aux Etats-Unis où sa valeur technique a été reconnue.
C’est la Yes Card! Sacrée époque,j peux vous dire que son Hacking a fait des heureux et heureuse,frénésie de shopping,etc…Je le souviens plus du prix auquel les gars la vendaient mais c’était pas loin d’un un peu moins qu’un smic en franc, genre 3500 franc…
Ça me rappelle mes cours en 1e année: bus, eeprom, etc. Je suis déjà perdu 😂😂
J'ai absolument rien compris 😆
Mais je kiffe l'intelligence du gars et son génie.
je me rappelle avoir lu son livre a l'epoque, incroyable histoire
Dans les années 90 c'était très facile de téléphoner gratuitement en cabine téléphonique depuis l'arrivée des cartes..
Le téléphone retirait des points alors que la carte n'était plus installée.
Il y a paiement offline (par exemple au péage) asynchrone et online synchrone (en boutique) où la transaction est validée par l'émetteur de la carte (pas tout à fait vrai mais il faut simplifier) via le réseau de paiement Visa/Mastercard/CB.
Il a réussi une transaction valide offline (peut-être en générant un ARQC, autorisation de paiement valide si ça existait à l'époque).
Il y a une régularisation des paiements offline en batch où les transactions sont réellement effectuées entre la banque du client et du marchand. S'il a utilisé un numéro de carte non-valide, ça se voit, S'il a utilisé un numéro de carte valide, je suppose que quelqu'un finira par se plaindre.
Je me rappelle ce gars, il s'est fait arrêter parce qu'"il a démontré la faille des CB. Malgré qu'il a dit que c'était à des fins de démonstration
Le gars cause comme Giscard c'est incroyable
"on aime péter des trucs" 😂😂🤣🤣 génial !
Oh je suis content d'avoir des nouvelles de Serge Humich. J'avais suivi sa malheureuse histoire des YES cards.
Il y’a des sociétés qui payent pour trouver des failles mais pas pour monsieur apparement, à mon avis c’est très bien ce qu’il a fait si on veut évoluer les choses
Excellent sa manière de parler, on sent bien que le mec est pas commun^^
Mon fils est pareils... Dans le sens ou il demonte tout, avec une grande maîtrise dans ce qu'il entreprend.... En ayant toujours ei le contrôle de ce qu'il faisait jusqu'à présent (bases informatiques poussées).
Il est costaud lui. Entre l'archéologue et le Mike Horn de l'électronique,
A 8:30 ... Ah ouais. Le gars, y se fait arrêter.... et du coup, il est content . "Ah bah, finalement. Là, on me croit." lol Chaud quand même.
Excellente chaine, continuez ! Quel Monsieur ! Bravo !
Wouahhhh!!!! La yes card!!! Mon héro!! Tu m'avais (presque) donné l'envie d'en faire une à l'époque :)) et décoder le code ligne par ligne me rappelle quand je craquais les jeux pc, desassambler jusqu'à trouver l'instruction qui teste le code du jeu et inverser la condition.... I had a dream...