Cartes Bancaires » CB » : plus de sécurité pour plus de services

Dossier : Carte à pucesMagazine N°637 Septembre 2008
Par Jean-Marc BORNET

Le sys­tème » CB » créé en 1984 par la com­mu­nau­té des banques opé­rant en France pour pro­mou­voir l’u­sage des cartes de paie­ment et de retrait a rapi­de­ment dû faire face à des pro­blèmes de fraude, dont les consé­quences étaient aus­si bien éco­no­miques – les pertes induites – que com­mer­ciales – la confiance dans le pro­duit. En rete­nant la tech­no­lo­gie de la carte à puce pour répondre à ce défi, les Banques » CB » ont fait un choix por­teur d’a­ve­nir : les cartes à puce – par leur carac­tère évo­lu­tif – per­mettent de répondre de façon durable aux besoins de sécu­ri­té tech­nique et juri­dique ; elles se géné­ra­lisent au plan mon­dial ; enfin elles ouvrent la porte à un enri­chis­se­ment sans pré­cé­dent de l’offre com­mer­ciale autour de ce qui n’é­tait au départ qu’un moyen de paiement.

La carte de paiement à puce : un facteur de sécurité technique, juridique et donc économique

Émet­trices de cartes de débit à piste magné­tique au lan­ce­ment du sys­tème Cartes Ban­caires » CB « , les Banques » CB » ont dû faire face à la fin des années quatre-vingt à une forte aug­men­ta­tion du nombre de cartes à piste contrefaites.

Sys­tème » CB » en chiffres
Avec plus de 55 mil­lions de cartes en cir­cu­la­tion, 1 mil­lion de com­merces et 51 000 dis­tri­bu­teurs auto­ma­tiques de billets, le nombre d’o­pé­ra­tions réa­li­sées annuel­le­ment par le sys­tème Cartes Ban­caires » CB » excède les 7 milliards.
Les paie­ments par carte – plus de 280 mil­liards d’eu­ros par an – repré­sentent ain­si un quart de la dépense des ménages français.
Le sys­tème » CB » est le plus impor­tant d’Eu­rope avec un volume de tran­sac­tions de l’ordre de 25 % du total euro­péen des paie­ments par carte, ou de 35 % dans la zone euro.

Avec un taux de fraude de l’ordre de 0,3 % en constante pro­gres­sion, les Banques » CB « , face à la menace sur l’é­qui­libre éco­no­mique du sys­tème, déci­daient d’in­ver­ser dura­ble­ment la ten­dance en fai­sant le choix de la tech­no­lo­gie des cartes à micro­cir­cuit, le pro­gramme » carte à puce » était lan­cé. Quelques années plus tard, au début des années quatre-vingt-dix, les résul­tats étaient à la hau­teur des enjeux : le taux de fraude consta­té sur le sys­tème » CB » était divi­sé par 10, il est aujourd’­hui sta­bi­li­sé aux envi­rons de 0,03 %. Hors de France, divers fac­teurs ont retar­dé la prise en compte des enjeux de la fraude. Mais désor­mais les réseaux Visa et Mas­ter­Card ont fixé dans de nom­breuses régions des règles qui conduisent de nom­breuses banques en Europe, Asie du Sud-Est et Amé­rique latine à faire migrer leurs cartes au stan­dard » puce » EMV.

L’évolutivité, atout majeur de la carte à puce

Le dimen­sion­ne­ment des algo­rithmes cryp­to­gra­phiques dans les cartes ban­caires répond à un double besoin : les clés doivent être assez longues pour res­ter à l’a­bri des attaques basées sur les don­nées pro­duites, et assez courtes pour tenir compte des limi­ta­tions des puces en mémoire et en vitesse de cal­cul. À ce jour, les clés RSA embar­quées ont une lon­gueur de 960 à 1 152 bits, ce qui est faible devant la lon­gueur typique sur un PC (2 048 bits), mais encore bien supé­rieur aux records actuels de fac­to­ri­sa­tion des entiers (de l’ordre de 700 bits ; la fac­to­ri­sa­tion d’une clé publique RSA per­met­trait la divul­ga­tion de la clé privée).

Le stan­dard inter­na­tio­nal EMV
EMV (Euro­pay Mas­ter­Card Visa) désigne le nou­veau stan­dard inter­na­tio­nal de sécu­ri­té des cartes de paie­ment (cartes à puce) qui tire son nom des orga­nismes fondateurs :
– Euro­pay International,
– Mas­ter­Card International,
– Visa International,
rejoints, depuis, par le japo­nais JCB Inter­na­tio­nal, au sein d’EMV­Co. EMV­Co LLC, créée en 1999, gère, main­tient et déve­loppe les spé­ci­fi­ca­tions de cartes à cir­cuit inté­gré EMV ? dont la pre­mière ver­sion est parue en 1996. Le pre­mier rôle de cette orga­ni­sa­tion est d’as­su­rer la main­te­nance de normes qui assurent l’in­te­ro­pé­ra­bi­li­té et l’ac­cep­ta­tion des cartes à cir­cuit inté­gré uti­li­sées sur les sys­tèmes de paie­ment, à une échelle mondiale.
Fin 2007, on comp­ta­bi­lise au niveau mon­dial plus de 700 mil­lions de cartes EMV dont plus de 50 % émises dans les pays de l’U­nion européenne.

Les algo­rithmes doivent éga­le­ment être ren­for­cés pour résis­ter aux com­bi­nai­sons d’at­taques logiques et phy­siques aux­quelles les puces sont sou­mises, telles que la recherche de cor­ré­la­tions entre les secrets conte­nus dans les puces (clés, codes confi­den­tiels) et les para­mètres phy­siques les plus variés, ou les per­tur­ba­tions et injec­tions de fautes pen­dant les cal­culs cryp­to­gra­phiques. Seule l’é­va­lua­tion sécu­ri­taire d’une puce, qui teste toutes les attaques connues au niveau de résis­tance le plus éle­vé, per­met d’ac­qué­rir la confiance néces­saire pour la dif­fu­ser auprès des porteurs.

La carac­té­ris­tique essen­tielle du paie­ment par carte ban­caire est la garan­tie de paiement

Le Grou­pe­ment des Cartes Ban­caires » CB » a choi­si d’a­voir recours à une méthode d’é­va­lua­tion basée sur un stan­dard inter­na­tio­nal de sécu­ri­té » Les cri­tères com­muns « . Ce pro­ces­sus d’é­va­lua­tion s’ap­puie sur des labo­ra­toires indé­pen­dants, tota­le­ment exté­rieurs au Grou­pe­ment, dûment accré­di­tés par la Direc­tion cen­trale de la sécu­ri­té des sys­tèmes d’in­for­ma­tion (DCSSI), sous l’é­gide du Secré­ta­riat géné­ral de la Défense natio­nale, dans le cadre du sché­ma fran­çais d’é­va­lua­tion et de cer­ti­fi­ca­tion. Le Grou­pe­ment des Cartes Ban­caires » CB » a été un des tout pre­miers acteurs ayant acti­ve­ment contri­bué à l’é­mer­gence du sché­ma natio­nal d’é­va­lua­tion et de cer­ti­fi­ca­tion au sein duquel se mettent main­te­nant en place de puis­santes syner­gies avec d’autres types de cartes (carte natio­nale d’i­den­ti­té, carte san­té…) dans le cadre d’une méthode inter­na­tio­na­le­ment recon­nue ; c’est là un élé­ment cen­tral de la confiance dans le moyen de paiement.

Droit et technique


Plus de cin­quante mille dis­tri­bu­teurs de billets.

Ils sont inti­me­ment liés depuis l’es­sor des Nou­velles tech­no­lo­gies de l’in­for­ma­tion et de la com­mu­ni­ca­tion (NTIC). Elles ont entraî­né des réformes majeures dans le domaine juri­dique notam­ment dans celui du droit de la preuve. Le droit de la preuve numé­rique est né en France avec la carte ban­caire à puce. Dès 1986, la Cour de cas­sa­tion a recon­nu une valeur juri­dique à l’é­crit élec­tro­nique. Le code à quatre chiffres ou code PIN (Per­so­nal Iden­ti­fi­ca­tion Num­ber) est assi­mi­lé à une signa­ture, le por­teur a vali­dé l’ordre de paie­ment qu’il a don­né dès qu’il a frap­pé son code confi­den­tiel. Un acte juri­dique est ain­si créé. La signa­ture élec­tro­nique de l’ordre de paie­ment est cal­cu­lée dans le micro­cir­cuit de la carte grâce à un algo­rithme cryp­to­gra­phique et une clé unique propre à chaque carte. Cette opé­ra­tion ne peut être effec­tuée qu’a­vec la sai­sie du code confi­den­tiel. En cas de contes­ta­tion de l’ordre de paie­ment par carte, il est pos­sible d’ap­por­ter une preuve que cette signa­ture élec­tro­nique émane bien de cette carte. Le droit des nou­velles tech­no­lo­gies a éga­le­ment géné­ré des craintes de la socié­té, ain­si un droit entiè­re­ment nou­veau a été orga­ni­sé : le droit de savoir et contrô­ler les don­nées per­son­nelles orga­ni­sé et recon­nu par la loi Infor­ma­tique et Liber­tés du 6 jan­vier 1978 modi­fiée par la loi du 3 août 2004. Il est par ailleurs impor­tant de rap­pe­ler que, du point de vue du com­mer­çant, la carac­té­ris­tique essen­tielle du paie­ment par carte » CB » est la garan­tie de paiement.

La ciné­ma­tique d’une tran­sac­tion EMVLors­qu’un client règle un achat avec sa carte ban­caire, le com­mer­çant n’é­change pas son bien contre de l’argent, mais contre une pro­messe de paie­ment déli­vrée par la carte sous forme élec­tro­nique, ce qui impose de sécu­ri­ser les termes de la tran­sac­tion. En particulier :

- la carte doit être entre les mains de son por­teur légitime ;

- il doit s’a­gir d’une carte authen­tique remise par la banque à son porteur ;

- les don­nées de la tran­sac­tion (date, mon­tant, iden­ti­fiant de la carte…) doivent être cer­ti­fiées pour évi­ter toute mani­pu­la­tion ou contes­ta­tion ultérieure.

Une tran­sac­tion de paie­ment de proxi­mi­té EMV se déroule de la manière suivante :

Phase 0 : La carte trans­met au ter­mi­nal de paie­ment ses don­nées publiques, c’est-à-dire en accès libre : numé­ro de carte, date de fin de vali­di­té, don­née sta­tique d’au­then­ti­fi­ca­tion ou cer­ti­fi­cat de clé publique » carte « .

Phase 1 : L’au­then­ti­fi­ca­tion de la carte est faite par le ter­mi­nal du com­mer­çant, qui véri­fie que la carte détient des don­nées d’i­den­ti­fi­ca­tion signées par la banque du por­teur. Ce méca­nisme est basé sur une cryp­to­gra­phie de type » asy­mé­trique » (biclé RSA), ayant pour par­ti­cu­la­ri­té que la clé qui véri­fie peut être ren­due publique sans com­pro­mettre la sécu­ri­té de la clé qui signe. Encore faut-il que les don­nées à véri­fier soient dif­fé­rentes à chaque fois, sinon elles pour­raient être réuti­li­sées pour fabri­quer des fausses cartes1. Dans ce but, les don­nées signées par la banque incluent elles-mêmes une biclé RSA unique par carte. À chaque ses­sion d’au­then­ti­fi­ca­tion, le ter­mi­nal génère un aléa que la carte signe avec sa clé pri­vée, ce qu’il véri­fie avec la clé publique cor­res­pon­dante : il a ain­si une preuve non réuti­li­sable (car basée sur l’a­léa) de l’au­then­ti­ci­té de la carte.

Phase 2 : Le ter­mi­nal demande ensuite à la carte d’au­then­ti­fier le por­teur : il pré­sente à la carte le code confi­den­tiel que le por­teur a frap­pé au cla­vier. La carte le com­pare avec son second secret, la vraie valeur du code confi­den­tiel, et répond au ter­mi­nal par oui ou non. La carte n’au­to­rise que trois essais et mémo­rise les essais négatifs.

Phase 3 : Le ter­mi­nal demande à la carte de signer la tran­sac­tion (iden­ti­fiant du com­mer­çant, date et heure de la tran­sac­tion, mon­tant de la tran­sac­tion…) avec son troi­sième secret. Si la tran­sac­tion donne lieu à une demande d’au­to­ri­sa­tion, en règle géné­rale pour une tran­sac­tion d’un mon­tant supé­rieur ou égal à 100 euros, l’é­met­teur (le ser­veur de l’é­met­teur) véri­fie cette signa­ture en temps réel. La sécu­ri­té repose alors sur une cryp­to­gra­phie de type » symé­trique » (clé Triple DES de 128 bits) où une même clé secrète sert à signer et à véri­fier les mes­sages échan­gés entre la carte et le ser­veur de la banque. La clé uti­li­sée par la carte varie à chaque tran­sac­tion ; le ser­veur est capable de recons­ti­tuer cette clé à par­tir de ses clés maî­tresses et des don­nées four­nies par la carte.

Enfin, lorsque les acteurs sont authen­ti­fiés et ont approu­vé les termes de la tran­sac­tion, la carte émet un cer­ti­fi­cat de tran­sac­tion qui reprend ces termes et les pro­tège par une signa­ture numé­rique. Pour des rai­sons pra­tiques, cette signa­ture est réa­li­sée par une clé symé­trique, selon le même prin­cipe que l’au­then­ti­fi­ca­tion en ligne. Le cer­ti­fi­cat de tran­sac­tion est impri­mé sur les tickets de caisse afin que tous les acteurs en aient une copie.

Le futur : évolutions technologiques, innovations commerciales et ouverture internationale

Jus­qu’à une période récente, les ins­tru­ments de paie­ment n’é­taient pas consi­dé­rés comme des outils mar­ke­ting par leurs uti­li­sa­teurs ou émet­teurs. L’at­ten­tion était por­tée sur la recon­nais­sance, la sécu­ri­té, la per­ma­nence des échanges. Les évo­lu­tions n’a­vaient donc pour objec­tif que de répondre à des attentes pure­ment fonc­tion­nelles et éco­no­miques. Désor­mais, les banques ont bien com­pris l’in­té­rêt d’in­no­ver et s’ap­puient sur la carte, et la richesse des inno­va­tions tech­no­lo­giques qui l’ac­com­pagnent, pour répondre aux attentes et besoins des utilisateurs.

Un accès immé­diat à des biens ou ser­vices grâce aux auto­mates de vente ou location

Outre un ins­tru­ment de paie­ment, la carte est, pour les acteurs de la dis­tri­bu­tion, un outil per­met­tant d’af­fi­ner leur mar­ke­ting par une meilleure connais­sance des clients, de leur pro­po­ser des offres plus ciblées, et de gagner en pro­duc­ti­vi­té au niveau des encais­se­ments. La tech­no­lo­gie » sans contact « , les cartes mul­tiap­pli­ca­tions et le cobran­ding (comar­quage des cartes avec une marque com­mer­ciale) contri­buent à ces objec­tifs et per­mettent d’ac­croître la valeur ajou­tée de la carte pour les enseignes et les consom­ma­teurs. Grâce à la super­po­si­tion de tech­no­lo­gies, la carte, maté­ria­li­sée ou non, peut tech­ni­que­ment accueillir aujourd’­hui d’autres fonc­tions, comme, par exemple, des pro­grammes de fidé­li­sa­tion et répondre ain­si favo­ra­ble­ment à l’é­vo­lu­tion du com­por­te­ment des consom­ma­teurs. Ceux-ci sont de plus en plus sen­sibles à la per­son­na­li­sa­tion, que ce soit pour leurs son­ne­ries de télé­phone, leurs fonds d’é­cran, leurs pro­fils uti­li­sa­teurs sur le Web… La carte ban­caire s’ins­crit dans cette ten­dance et répond aujourd’­hui à ce besoin par une plus grande diver­si­té de visuels, se rap­pro­chant ain­si des styles de vie des por­teurs. Pour répondre à l’ins­tan­ta­néi­té de l’acte d’a­chat, les cartes ban­caires pour­ront bien­tôt être déli­vrées en quelques minutes sur le point de vente.

Cumuler des points de fidélité

L’ou­ver­ture du cobran­ding, depuis octobre 2007, per­met aux banques de faire figu­rer sur la carte CB leurs par­te­na­riats avec des com­mer­çants ou asso­cia­tions. Le consom­ma­teur, en uti­li­sant sa carte » CB « , peut cumu­ler des points de fidé­li­té, des réduc­tions ou des avan­tages auprès d’en­seignes ou d’as­so­cia­tions (spor­tives, par exemple) par­te­naires de sa banque ; ou, si ses affi­ni­tés sont plu­tôt d’ordre cari­ta­tif ou envi­ron­ne­men­tal, rever­ser à une asso­cia­tion par l’in­ter­mé­diaire de sa carte une par­tie du mon­tant de ses achats. Les cartes pré­payées, dont l’exemple le plus connu est la carte cadeau lan­cée en 2006, sont un autre exemple de dif­fé­ren­cia­tion pour les banques. Le sup­port carte en tant que tel n’est pas non plus en reste en termes d’in­no­va­tion. Les indus­triels dis­posent déjà d’ef­fets de tex­tures, cou­leurs ou matières qui per­mettent aux banques de mieux dis­tin­guer leurs gammes de cartes » CB « . Demain, les cartes à écran inter­ac­tif crée­ront sans doute de nou­velles pos­si­bi­li­tés d’en­ri­chis­se­ment du sup­port carte et des usages. La carte ban­caire sus­cite éga­le­ment l’in­té­rêt mar­ke­ting d’ac­teurs non ban­caires, grâce à ses pos­si­bi­li­tés de sim­pli­fi­ca­tion de l’acte d’a­chat. La carte à puce est seule à pou­voir offrir un accès immé­diat et spon­ta­né vingt-quatre heures sur vingt-quatre à des biens ou ser­vices grâce aux auto­mates de vente ou loca­tion. Le » phé­no­mène » Velib” à Paris en est un exemple récent. La carte per­met aux banques d’exer­cer leur créa­ti­vi­té et de seg­men­ter leurs offres pour mieux cibler les besoins et attentes de leurs clients. La carte ban­caire allie ain­si les fonc­tions de moyen de paie­ment sécu­ri­sé à fort poten­tiel de séduc­tion, et de sup­port de dif­fé­ren­cia­tion dans le contexte de la concur­rence entre éta­blis­se­ments de cré­dit et ins­tru­ments de paiement.

Un espace unique pour la zone euro

Le sys­tème » CB » a voca­tion à créer le cadre per­met­tant ces évo­lu­tions. Struc­tu­rel­le­ment ouvert à l’in­ter­na­tio­nal, il doit s’or­ga­ni­ser pour gérer les risques inhé­rents à l’ac­cep­ta­tion des cartes dans des envi­ron­ne­ments signi­fi­ca­ti­ve­ment dif­fé­rents et contras­tés, notam­ment dans le monde du com­merce élec­tro­nique et dans les nom­breux pays n’ayant pas encore migré vers la tech­no­lo­gie de la puce. C’est en par­ti­cu­lier le cas au niveau euro­péen où le sys­tème » CB » par­ti­cipe acti­ve­ment à la créa­tion et la mise en place du SEPA (Single Euro Pay­ment Area : futur espace unique de paie­ment pour la zone euro).

1. C’est ce qui s’est pro­duit sur le sys­tème » CB » au début des années 2000 avec l’ap­pa­ri­tion des » Yes­cards » : les frau­deurs récu­pé­raient les don­nées d’au­then­ti­fi­ca­tion sta­tiques de cartes volées et les dupli­quaient sur de fausses cartes ban­caires ému­lées. Ce type de fraude est aujourd’­hui tota­le­ment impos­sible grâce à la nou­velle géné­ra­tion des cartes » CB » qui met en oeuvre un méca­nisme d’au­then­ti­fi­ca­tion dynamique.

Poster un commentaire