La vérification du porteur

En monétique, la vérification du porteur de carte est l’étape qui consiste à s’assurer qu’il en est bien le titulaire. La méthode la plus connue est sans conteste le code personnel, aussi appelé code PIN. Mais en existe-il d’autres ? Cet article décrira toutes les méthodes de vérification existantes, ainsi que celles qui sont privilégiées selon le contexte et le type de carte, et finira par l’explication d’un cas concret.

Note : l’emploi du mot « titulaire » n’a pas été laissé au hasard. La carte est en effet propriété de la banque émetteur.

Selon que la transaction se déroule en mode piste (carte à piste ou carte à puce dans un terminal non EMV), ou en mode puce, les moyens de vérification du porteur diffèrent :

  • PIN chiffré on-line
  • PIN chiffré off-line
  • PIN non chiffré (en clair) off-line
  • signature
  • combinaison (signature + PIN off-line)
  • sans vérification

Transaction en mode piste (ISO)

Lorsque l’acquisition des données est réalisée à l’aide de la piste, l’identité du porteur peut être vérifiée via 2 méthodes :

PIN : chiffré on-line

Le porteur saisit son code confidentiel (PIN) sur un clavier appelé PIN-PAD. Ce dernier chiffre le PIN à l’aide d’une clé spécifique partagé avec la banque émetteur et l’envoie dans un champ de la demande d’autorisation adressée à celle-ci. Cette dernière vérifie que le PIN déchiffré est correct et indique le résultat dans la réponse.

Cas d’utilisation : lors d’un retrait sur un DAB / GAB avec une carte bancaire à piste seulement.

Signature

Le porteur signe simplement la facturette du commerçant. Lorsque cette vérification est requise,  la mention « signature » apparaît sur le ticket.

Cas d’utilisation : lors d’un paiement sur un TPE non EMV. Dans ce cas, le terminal lit les données de la piste magnétique.

Sans vérification

La transaction ne nécessite aucune vérification de l’identité du porteur.

Cas d’utilisation : lors d’un paiement à un péage d’autoroute.

Transaction en mode puce (EMV)

Lorsque l’acquisition des données est réalisée à l’aide de la puce, l’identité du porteur peut être vérifiée de plusieurs méthodes. Le choix de la méthode en EMV est réalisé selon :

  • les possibilités du point d’acceptation, exprimées via le champ « Terminal Capabilities »
    • Ce champ exprime les capacités du terminal comme par exemple son aptitude à lire les pistes magnétiques, les puces, etc. Son 2ème octet contient notamment les méthodes de vérification que le terminal gère (PIN, signature, etc.)
  • les méthodes de vérification du porteur souhaitées par l’émetteur, exprimées via le champ « CVM List » (Cardholder Verification Method List)
    • Ce champ contient, par ordre de préférence, la liste des méthodes à appliquer selon certaines conditions (montant supérieur à X euros, …)
Dialogue entre le point accepteur et la carte

Le terminal parcourt les méthodes de vérification du porteur en respectant l’ordre de préférence. Le terminal tente la première méthode de vérification dont les critères sont satisfaits et que le terminal supporte. En cas de contrôle positif, le résultat de la méthode est consigné dans le champ TSI (Transaction Status Information). Sinon, le point accepteur passe à la méthode si la méthode n’est pas « bloquante ». S’il s’agit de la dernière méthode, la vérification du porteur échoue et le résultat est enregistré dans le champ TVR (Terminal Verification Results).

Note : le terminal et la carte prendront en compte le résultat de vérification du porteur afin de décider de la suite à donner à l’autorisation (acceptée, on-line, refusée).

Méthodes de la CVM List

PIN : chiffré on-line, chiffré off-line, en clair off-line

Le porteur saisit son code confidentiel sur le clavier.

Chiffré on-line

Dans cette méthode, la vérification n’est pas effectuée à ce moment. L’algorithme considère en effet que le porteur est authentifié et poursuit le déroulement de la transaction. Ce comportement étrange s’explique par le fait que le traitement on-line de la demande d’autorisation intervient plus tard. Bien évidemment, la carte exigera très certainement dans ce cas un traitement on-line.

Le PIN est chiffré à l’aide d’une clé spécifique et est envoyé dans la demande d’autorisation adressée à l’émetteur. L’émetteur vérifiera qu’il est correct et indiquera le résultat dans la réponse. La plupart du temps, il déclinera l’autorisation en cas de mauvais PIN mais cela n’est pas systématique.

Cas d’utilisation : lors d’un retrait sur un DAB / GAB avec une carte à puce.

Note : cette vérification ne tient pas compte du nombre de tentatives de PIN restant. Ainsi, même s’il reste 0 essai, il est possible de vérifier le code confidentiel en l’envoyant on-line à l’émetteur.

Chiffré off-line

Le PIN-PAD chiffre le PIN à l’aide de la clé publique de la puce dédiée au chiffrement du PIN et l’envoie à la puce de la carte. Cette dernière déchiffre le PIN grâce à la clé privée associée afin de s’assurer qu’il est correct.

Cas d’utilisation : lors d’un paiement sur un TPE lorsque celui-ci reconnaît cette méthode.

Note : pour respecter les préceptes de la cryptographie, un PIN block (concaténation de plusieurs données dont le PIN et d’un nombre généré aléatoirement par la puce) sera constitué puis chiffré. C’est ce dernier qui est envoyé à la puce pour vérification. De plus, lorsque le nombre d’essais de PIN restant est nul, le terminal l’indique dans le champ TVR et passe éventuellement à la méthode suivante.

En clair off-line

Le PIN est envoyé directement à la puce de la carte. Cette dernière vérifie qu’il est correct.

Cas d’utilisation : lors d’un paiement sur un TPE

Note : Lorsque le nombre de tentatives de PIN restant est nul, le terminal l’indique dans le champ TVR et passe éventuellement à la méthode suivante.

Signature

Cf. le mode piste.

Cas d’utilisation : lorsque le terminal ne possède pas de fonctionnalité de vérification de PIN ou que le PIN-PAD est hors service. Ce cas arrive principalement à l’étranger.

PIN off-line (chiffré ou en clair) + signature

Il s’agit simplement d’une double vérification. Le porteur est invité à composer son code confidentiel, lequel est contrôlé par la puce (chiffré ou en clair) puis il lui est demandé de signer la facturette.

Cas d’utilisation : en France pour les transactions supérieures à 1500 euros. En effet, la loi impose une signature de la facturette au-delà de ce montant, et la banque privilégie la vérification du code confidentiel pour des raisons sécuritaires.

Note : cette méthode est pourtant rarement implémentée dans la liste CVM.

Sans vérification

Cf. le mode piste.

Cas d’utilisation : lors d’un paiement sans-contact (montant inférieur à 20 euros). Au-delà, une authentification est requise et le porteur doit insérer sa carte.

Schéma global

Algorithme CVM

Un cas pratique

En lisant les champs EMV de ma carte CB Visa, le champ CVM List de l’application Visa vaut : [00 00 00 00 00 00 00 00 02 01 01 03 02 03 1E 03 1F 00].

[00 00 00 00 00 00 00 00]

Les 8 premiers octets correspondent aux montants X1 et X2. Cela permet de déclencher une méthode si le montant de la transaction est supérieure ou inférieure à X1 ou X2. Ici, la présence de « 00 » signifient que X1 et X2 valent 0 euro. En bref, mon émetteur n’a pas jugé nécessaire d’exploiter cette possibilité.

Ensuite, viennent plusieurs octets par groupe de 2. Le premier de la paire correspond à la méthode de vérification du porteur, la seconde donne les conditions d’application de ladite méthode.

[02 01]

PIN chiffré on-line s’il est question de cash sans surveillance (par exemple sur un DAB / GAB). Cette méthode est bloquante. En cas d’échec, le point accepteur ne passera pas à la méthode suivante et considèrera la vérification comme un échec.

[01 03]

PIN en clair off-line si le point accepteur supporte cette méthode. Cette méthode est bloquante. En cas d’échec, le point accepteur ne passera pas à la méthode suivante et considèrera la vérification comme un échec.

[02 03]

PIN chiffré on-line si le point accepteur supporte cette méthode. Cette méthode est bloquante. En cas d’échec, le point accepteur ne passera pas à la méthode suivante et considèrera la vérification comme un échec.

[1E 03]

Signature si le point accepteur supporte cette méthode. Cette méthode est bloquante. En cas d’échec, le point accepteur ne passera pas à la méthode suivante et considèrera la vérification comme un échec.

[1F 00]

Sans vérification. Il s’agit de la dernière méthode et s’applique sans condition (« 00 »). Cette méthode est bloquante. En cas d’échec, le point accepteur ne passera pas à la méthode suivante. et considèrera la vérification comme un échec.

Et demain ?

Des cartes bancaires NFC de nouvelle génération devraient faire leur apparition dans un futur proche. Ces cartes embarqueront un lecteur d’empreinte permettant de vérifier l’identité du porteur rendant possible les paiements sans contacts d’un montant supérieur à 20 euros tout en l’authentifiant. Si cela va dans le sens de la simplification de l’expérience utilisateur, elle va à l’encontre des fondements de la sécurité. En effet, contrairement au code confidentiel, il est impossible de changer d’empreintes digitales. Cette dernière s’avère donc peut-être très pratique pour identifier un porteur, mais de là à l’utiliser dans le but d’authentifier un porteur, il n’y a qu’un pas que d’aucuns franchiront.

2 Replies to “La vérification du porteur”

  1. Je suis commercante, hier une personne a fait un paiement de 100€ par carte bancaire avec demande de signature du porteur, est-ce une carte volée ou pas, si c’est le cas serai-je tout de même crédité.
    Merci

  2. Bonjour,
    Je ne peux pas savoir si la carte est volée ou pas… C’est la banque qui reviendra vers vous si c’est le cas.
    Pour l’autre question, je ne peux pas répondre avec le peu d’éléments que vous communiquez. Cela dépend de son type de carte (y avait-il une puce ?), du pays du porteur, de votre terminal (je présume qu’il est EMV ?), etc.
    En tous les cas, le crédit n’est pas acquis. La banque pourrait même le retirer après vous avoir créditée.
    Cordialement,
    Kévin

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*