Cartes Bancaires » CB » : plus de sécurité pour plus de services
Le système » CB » créé en 1984 par la communauté des banques opérant en France pour promouvoir l’usage des cartes de paiement et de retrait a rapidement dû faire face à des problèmes de fraude, dont les conséquences étaient aussi bien économiques – les pertes induites – que commerciales – la confiance dans le produit. En retenant la technologie de la carte à puce pour répondre à ce défi, les Banques » CB » ont fait un choix porteur d’avenir : les cartes à puce – par leur caractère évolutif – permettent de répondre de façon durable aux besoins de sécurité technique et juridique ; elles se généralisent au plan mondial ; enfin elles ouvrent la porte à un enrichissement sans précédent de l’offre commerciale autour de ce qui n’était au départ qu’un moyen de paiement.
La carte de paiement à puce : un facteur de sécurité technique, juridique et donc économique
Émettrices de cartes de débit à piste magnétique au lancement du système Cartes Bancaires » CB « , les Banques » CB » ont dû faire face à la fin des années quatre-vingt à une forte augmentation du nombre de cartes à piste contrefaites.
Système » CB » en chiffres
Avec plus de 55 millions de cartes en circulation, 1 million de commerces et 51 000 distributeurs automatiques de billets, le nombre d’opérations réalisées annuellement par le système Cartes Bancaires » CB » excède les 7 milliards.
Les paiements par carte – plus de 280 milliards d’euros par an – représentent ainsi un quart de la dépense des ménages français.
Le système » CB » est le plus important d’Europe avec un volume de transactions de l’ordre de 25 % du total européen des paiements par carte, ou de 35 % dans la zone euro.
Avec un taux de fraude de l’ordre de 0,3 % en constante progression, les Banques » CB « , face à la menace sur l’équilibre économique du système, décidaient d’inverser durablement la tendance en faisant le choix de la technologie des cartes à microcircuit, le programme » carte à puce » était lancé. Quelques années plus tard, au début des années quatre-vingt-dix, les résultats étaient à la hauteur des enjeux : le taux de fraude constaté sur le système » CB » était divisé par 10, il est aujourd’hui stabilisé aux environs de 0,03 %. Hors de France, divers facteurs ont retardé la prise en compte des enjeux de la fraude. Mais désormais les réseaux Visa et MasterCard ont fixé dans de nombreuses régions des règles qui conduisent de nombreuses banques en Europe, Asie du Sud-Est et Amérique latine à faire migrer leurs cartes au standard » puce » EMV.
L’évolutivité, atout majeur de la carte à puce
Le dimensionnement des algorithmes cryptographiques dans les cartes bancaires répond à un double besoin : les clés doivent être assez longues pour rester à l’abri des attaques basées sur les données produites, et assez courtes pour tenir compte des limitations des puces en mémoire et en vitesse de calcul. À ce jour, les clés RSA embarquées ont une longueur de 960 à 1 152 bits, ce qui est faible devant la longueur typique sur un PC (2 048 bits), mais encore bien supérieur aux records actuels de factorisation des entiers (de l’ordre de 700 bits ; la factorisation d’une clé publique RSA permettrait la divulgation de la clé privée).
Le standard international EMV
EMV (Europay MasterCard Visa) désigne le nouveau standard international de sécurité des cartes de paiement (cartes à puce) qui tire son nom des organismes fondateurs :
– Europay International,
– MasterCard International,
– Visa International,
rejoints, depuis, par le japonais JCB International, au sein d’EMVCo. EMVCo LLC, créée en 1999, gère, maintient et développe les spécifications de cartes à circuit intégré EMV ? dont la première version est parue en 1996. Le premier rôle de cette organisation est d’assurer la maintenance de normes qui assurent l’interopérabilité et l’acceptation des cartes à circuit intégré utilisées sur les systèmes de paiement, à une échelle mondiale.
Fin 2007, on comptabilise au niveau mondial plus de 700 millions de cartes EMV dont plus de 50 % émises dans les pays de l’Union européenne.
Les algorithmes doivent également être renforcés pour résister aux combinaisons d’attaques logiques et physiques auxquelles les puces sont soumises, telles que la recherche de corrélations entre les secrets contenus dans les puces (clés, codes confidentiels) et les paramètres physiques les plus variés, ou les perturbations et injections de fautes pendant les calculs cryptographiques. Seule l’évaluation sécuritaire d’une puce, qui teste toutes les attaques connues au niveau de résistance le plus élevé, permet d’acquérir la confiance nécessaire pour la diffuser auprès des porteurs.
La caractéristique essentielle du paiement par carte bancaire est la garantie de paiement
Le Groupement des Cartes Bancaires » CB » a choisi d’avoir recours à une méthode d’évaluation basée sur un standard international de sécurité » Les critères communs « . Ce processus d’évaluation s’appuie sur des laboratoires indépendants, totalement extérieurs au Groupement, dûment accrédités par la Direction centrale de la sécurité des systèmes d’information (DCSSI), sous l’égide du Secrétariat général de la Défense nationale, dans le cadre du schéma français d’évaluation et de certification. Le Groupement des Cartes Bancaires » CB » a été un des tout premiers acteurs ayant activement contribué à l’émergence du schéma national d’évaluation et de certification au sein duquel se mettent maintenant en place de puissantes synergies avec d’autres types de cartes (carte nationale d’identité, carte santé…) dans le cadre d’une méthode internationalement reconnue ; c’est là un élément central de la confiance dans le moyen de paiement.
Droit et technique
Plus de cinquante mille distributeurs de billets.
Ils sont intimement liés depuis l’essor des Nouvelles technologies de l’information et de la communication (NTIC). Elles ont entraîné des réformes majeures dans le domaine juridique notamment dans celui du droit de la preuve. Le droit de la preuve numérique est né en France avec la carte bancaire à puce. Dès 1986, la Cour de cassation a reconnu une valeur juridique à l’écrit électronique. Le code à quatre chiffres ou code PIN (Personal Identification Number) est assimilé à une signature, le porteur a validé l’ordre de paiement qu’il a donné dès qu’il a frappé son code confidentiel. Un acte juridique est ainsi créé. La signature électronique de l’ordre de paiement est calculée dans le microcircuit de la carte grâce à un algorithme cryptographique et une clé unique propre à chaque carte. Cette opération ne peut être effectuée qu’avec la saisie du code confidentiel. En cas de contestation de l’ordre de paiement par carte, il est possible d’apporter une preuve que cette signature électronique émane bien de cette carte. Le droit des nouvelles technologies a également généré des craintes de la société, ainsi un droit entièrement nouveau a été organisé : le droit de savoir et contrôler les données personnelles organisé et reconnu par la loi Informatique et Libertés du 6 janvier 1978 modifiée par la loi du 3 août 2004. Il est par ailleurs important de rappeler que, du point de vue du commerçant, la caractéristique essentielle du paiement par carte » CB » est la garantie de paiement.
Le futur : évolutions technologiques, innovations commerciales et ouverture internationale
Jusqu’à une période récente, les instruments de paiement n’étaient pas considérés comme des outils marketing par leurs utilisateurs ou émetteurs. L’attention était portée sur la reconnaissance, la sécurité, la permanence des échanges. Les évolutions n’avaient donc pour objectif que de répondre à des attentes purement fonctionnelles et économiques. Désormais, les banques ont bien compris l’intérêt d’innover et s’appuient sur la carte, et la richesse des innovations technologiques qui l’accompagnent, pour répondre aux attentes et besoins des utilisateurs.
Un accès immédiat à des biens ou services grâce aux automates de vente ou location
Outre un instrument de paiement, la carte est, pour les acteurs de la distribution, un outil permettant d’affiner leur marketing par une meilleure connaissance des clients, de leur proposer des offres plus ciblées, et de gagner en productivité au niveau des encaissements. La technologie » sans contact « , les cartes multiapplications et le cobranding (comarquage des cartes avec une marque commerciale) contribuent à ces objectifs et permettent d’accroître la valeur ajoutée de la carte pour les enseignes et les consommateurs. Grâce à la superposition de technologies, la carte, matérialisée ou non, peut techniquement accueillir aujourd’hui d’autres fonctions, comme, par exemple, des programmes de fidélisation et répondre ainsi favorablement à l’évolution du comportement des consommateurs. Ceux-ci sont de plus en plus sensibles à la personnalisation, que ce soit pour leurs sonneries de téléphone, leurs fonds d’écran, leurs profils utilisateurs sur le Web… La carte bancaire s’inscrit dans cette tendance et répond aujourd’hui à ce besoin par une plus grande diversité de visuels, se rapprochant ainsi des styles de vie des porteurs. Pour répondre à l’instantanéité de l’acte d’achat, les cartes bancaires pourront bientôt être délivrées en quelques minutes sur le point de vente.
Cumuler des points de fidélité
L’ouverture du cobranding, depuis octobre 2007, permet aux banques de faire figurer sur la carte CB leurs partenariats avec des commerçants ou associations. Le consommateur, en utilisant sa carte » CB « , peut cumuler des points de fidélité, des réductions ou des avantages auprès d’enseignes ou d’associations (sportives, par exemple) partenaires de sa banque ; ou, si ses affinités sont plutôt d’ordre caritatif ou environnemental, reverser à une association par l’intermédiaire de sa carte une partie du montant de ses achats. Les cartes prépayées, dont l’exemple le plus connu est la carte cadeau lancée en 2006, sont un autre exemple de différenciation pour les banques. Le support carte en tant que tel n’est pas non plus en reste en termes d’innovation. Les industriels disposent déjà d’effets de textures, couleurs ou matières qui permettent aux banques de mieux distinguer leurs gammes de cartes » CB « . Demain, les cartes à écran interactif créeront sans doute de nouvelles possibilités d’enrichissement du support carte et des usages. La carte bancaire suscite également l’intérêt marketing d’acteurs non bancaires, grâce à ses possibilités de simplification de l’acte d’achat. La carte à puce est seule à pouvoir offrir un accès immédiat et spontané vingt-quatre heures sur vingt-quatre à des biens ou services grâce aux automates de vente ou location. Le » phénomène » Velib” à Paris en est un exemple récent. La carte permet aux banques d’exercer leur créativité et de segmenter leurs offres pour mieux cibler les besoins et attentes de leurs clients. La carte bancaire allie ainsi les fonctions de moyen de paiement sécurisé à fort potentiel de séduction, et de support de différenciation dans le contexte de la concurrence entre établissements de crédit et instruments de paiement.
Un espace unique pour la zone euro
Le système » CB » a vocation à créer le cadre permettant ces évolutions. Structurellement ouvert à l’international, il doit s’organiser pour gérer les risques inhérents à l’acceptation des cartes dans des environnements significativement différents et contrastés, notamment dans le monde du commerce électronique et dans les nombreux pays n’ayant pas encore migré vers la technologie de la puce. C’est en particulier le cas au niveau européen où le système » CB » participe activement à la création et la mise en place du SEPA (Single Euro Payment Area : futur espace unique de paiement pour la zone euro).
1. C’est ce qui s’est produit sur le système » CB » au début des années 2000 avec l’apparition des » Yescards » : les fraudeurs récupéraient les données d’authentification statiques de cartes volées et les dupliquaient sur de fausses cartes bancaires émulées. Ce type de fraude est aujourd’hui totalement impossible grâce à la nouvelle génération des cartes » CB » qui met en oeuvre un mécanisme d’authentification dynamique.