EMV : Les Etats-Unis adoptent la carte à puce dès 2015

Si vous avez suivi l’actualité américaine des moyens de paiement, il ne vous a sans doute pas échappé que les États-Unis vont enfin adopter le standard EMV, soit dit en passant, 10 ans après les autres pays dits développés, un comble pour le pays qui l’a vu naître.

L’objectif annoncé est de lutter contre la fraude à la carte bancaire en sécurisant les moyens de paiement et les transactions en instaurant le chip-and-pin (insertion de la puce puis saisie d’un code confidentiel) novateur aux États-Unis.

Une fraude chronique importante

Aux États-Unis, considérant que le jeu n’en valait pas la chandelle (que le coût de la migration EMV était plus élevé que celui de la fraude), ils ont conservé la bonne vieille carte à piste au détriment d’évolutions liées à la sécurité. Aujourd’hui, le fossé s’est creusé avec le reste du monde qui a choisi d’ajouter une puce dans ses cartes (en suivant le standard EMV). Résultat, la fraude a été réduite ou au moins contenu partout où cette norme EMV a été adoptée (de nouveaux moyens de paiement tels que le e-commerce et le sans-contact ont depuis apporté d’autres types de fraude). En revanche, aux États-Unis, cette fraude a fortement augmenté, notamment via les contrefaçons de carte (possible avec une piste, très compliqué avec une puce).

En 2013, selon une étude du site Web d’informations « The Business Insider Intelligence », les États-Unis supportent la moitié du montant total de la fraude dans le monde. Il y a plusieurs raisons à cela :

  • le fort volume de transaction ;
  • la faible sécurisation des cartes (pas de puce, pas d’EMV) facilitant les contrefaçons de carte ;
  • la faible sécurisation requise par les terminaux de paiement entraînant un phénomène d’aspiration, voire de centralisation, de la fraude sur le territoire américain (utilisation aux États-Unis de cartes étrangères contrefaites car moins de contrôles qu’ailleurs dans le monde) ;
  • une forte augmentation du nombre de vols de données porteur chez les commerçants.

Attardons-nous quelques instants sur ce dernier point qui a permis la prise de conscience collective qu’un changement était nécessaire.

En début d’année 2014, plusieurs affaires de « data breach » (fuites de données) ont fait la une des médias américains et même internationaux. Des scandales liés au piratage des données clients ont eu lieu chez de grands commerçants américains (retailers), la cause ? Un vol de plusieurs centaines de millions de numéros de cartes, noms-prénoms et autres informations liées à leurs clients. Les chiffres sont éloquents :

  • Target Corporation : 110 millions ;
  • Neiman Marcus : 1 million ;
  • Michaels Stores, Inc. : 3 millions.

Les grands réseaux passent à l’action…

Pour être tout à fait précis, les grands réseaux que sont Visa, MasterCard, American Express et Discover n’ont pas attendu ces récentes fuites de données pour prendre le taureau par les cornes.

En effet, dès 2011, ils ont imposé, chacun de leur côté et sur leur propre périmètre, un modèle dit « chip-and-pin » destiné à sécuriser les transactions et à protéger les consommateurs, les commerçants et les banques. Ce modèle s’appuie entièrement sur le standard international EMV qui fait ses preuves dans le monde depuis plusieurs années.

« Adoption of EMV at the point of sale is the strongest defense against counterfeit cards. »

David Robertson, éditeur au « The Nilson Report ».

Les réseaux ont ainsi défini les grandes étapes du déploiement EMV au travers d’un calendrier de mise à niveau publié à destination de l’ensemble des acteurs du marché. La dernière grande étape est le transfert de responsabilité de la fraude (différentes dates suivant le type de fraude). C’est ce que l’on appelle le « liability shift ».

Prenons le cas d’un commerçant américain dont le TPE n’est pas conforme à EMV et qui subit une fraude avec une carte à puce contrefaite. Jusqu’à présent, cette fraude est transparente pour le commerçant car le montant est supporté par la banque du porteur légitime. A partir du 1er octobre 2015, la réglementation évolue et un transfert de responsabilité s’effectue vers le couple acquéreur/commerçant (mise en place du fameux « liability shift »). Ainsi, la banque émetteur pourra légitimement contester cette opération. La banque acquéreur ou le commerçant supporteront le montant de la fraude s’ils ne peuvent apporter la preuve qu’un contrôle de présence de la puce a été effectuée préalablement à la transaction. Unique alternative : équiper le commerçant d’un TPE EMV Compliant.

Le premier transfert de responsabilité est fixé au 1er octobre 2015 pour les cartes contrefaites (sur les 4 réseaux susmentionnés) et pour les cartes perdues ou volées (sur les réseaux MasterCard et Discover). Les dates s’échelonnent ensuite jusqu’à octobre 2017.

… appuyé par les autorités politiques

Le 17 octobre dernier, le président Barack Obama a officialisé le passage à la puce en signant un « executive order » (décret présidentiel) pour améliorer la sécurité des transactions réalisées par les consommateurs.

Le 20 octobre, lors du Consumer Financial Protection Bureau (CFPB) à Washington D.C., le président Obama a accentué la pression en annonçant que la migration était indispensable et devait commencer dès le début de l’année 2015.

« First, starting next year, we’re going to begin making sure that credit cards and credit-card readers issued by the United States government come equipped with two new layers of protection: a microchip in the card that’s harder for thieves to clone than a magnetic strip, and a pin number you enter into the reader just as you do with an ATM. We know this technology works. When Britain switched to a chip-and-pin system, they cut fraud in stores by 70 percent. Seventy percent. »

Président Barack Obama.

Une mise en œuvre coûteuse

Afin de se conformer à la norme EMV, les banques et commerçants américains doivent, a minima, s’assurer que tous les automates bancaires (GAB ou ATM en anglais), toutes les cartes (crédit et débit) et tous les terminaux de paiements (TPE ou POS en anglais) ont été mis à jour et sont conformes (« EMV compliant »). L’état du parc aux États-Unis est estimé à 360 000 GAB, 1,1 milliard de cartes et 15 millions de TPE.

D’après une étude du cabinet Javelin Strategy & Research, l’effort financier est très important, le coût est estimé à plus de 8,5 milliards de dollars dont près de 7 milliards uniquement pour le remplacement des TPE. Selon cette étude, les coûts unitaires sont d’environ 1 dollar pour une carte, de 400 à 500 dollars pour un TPE et de 1500 dollars pour un GAB.

Ceci fait les beaux jours des fabricants d’automates, de terminaux de paiement et de cartes bancaires (Gemalto, Oberthur Technologies et Giesecke & Devrient) qui voient leur marché exploser. Pour faire face à cette montée en charge, Oberthur Technologies s’est, par exemple, doté de 4 nouveaux centres de production en Amérique du Nord (3 aux États-Unis et 1 au Canada).

Les acteurs profitent également pour mettre en place la dernière génération de terminaux, répondant aux derniers standards de sécurité et compatibles avec les moyens de paiement sans contact (MasterCard PayPass, Visa payWave, Google Wallet, Apple Pay, etc.).

EMV, une norme déjà mondialement adoptée

Pour faire court, EMV (Europay, MasterCard, Visa) est un standard international pour les cartes à puce, apportant un niveau de sécurité élevé. La première version a été publiée en 1995. La France, avec le Royaume-Uni, a été l’un des premiers pays à procéder à son déploiement dès 2005 (en remplacement de la norme B4B0′, déjà une carte à puce).

Le consortium EMVCo publie chaque trimestre les chiffres (volume et pourcentage) de déploiement et d’adoption dans le monde (réparti en 5 grandes zones). Selon les derniers chiffres publiés (Q4 2013), l’Europe Zone 1 (Union Européenne, Suisse, Turquie) possède le taux d’adoption le plus élevé (81.6 % de cartes EMV, 99.9 % de terminaux EMV, 96.3 % de transactions EMV). Il reste encore beaucoup de chemin à parcourir aux États-Unis (0.03 % de transactions EMV).

0 Replies to “EMV : Les Etats-Unis adoptent la carte à puce dès 2015”

  1. Bonjour Jérémy,
    J’observe une incohérence dans l’exemple que vous prenez pour expliquer le liability shift.
    Aujourd’hui le commerçant américain qui subit une fraude avec une carte contrefaite n’est pas « remboursé par sa banque ». C’est la banque du porteur légitime de la carte qui supporte le montant de l’opération fraudée.
    Avec le transfert de responsabilité, la banque émettrice va être en mesure de rejeter la transaction contestée par le porteur légitime de la carte, si la transaction ne restitue pas la preuve du contrôle de la présence de la puce. La banque acquéreur serait alors conduite à débiter le commerçant du montant de la transaction fraudée. C’est pour cette raison que les points de vente doivent devenir EMV compliant.
    Bien cordialement,

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*