Carte bancaire avec cryptogramme dynamique

Le cryptogramme visuel n’a pas très bonne presse, et à juste titre, puisqu’un simple coup d’œil suffit à le retenir. Si on remonte aux origines de son invention, on se rappellera que son but premier est de prouver que le porteur est bien en possession physique de la carte. Sauf que, si son intention est louable, son application l’est nettement moins. En effet, ce ne sont pas 3-4 malheureux petits chiffres qui stopperont un fraudeurde passer à l’achat avec les données de la carte. Fort de ce constat, Oberthur Technologies (OT) vient de lancer la première carte bancaire à cryptogramme dynamique. Alors, révolution ou pas ? Lisez la suite !

Dans un premier temps, nous verrons comment une telle solution est rendue possible, avant de s’intéresser aux conséquences, à savoir notamment si cela endiguera la fraude sur Internet.

Note : à ce jour, OT n’a pas communiqué de détails techniques sur le fonctionnement de la carte. Le paragraphe qui suit est donc une interprétation. Il se peut donc qu’il y ait des écarts avec la réalité.

Fonctionnement

Tout d’abord, rendons à César ce qui est à César ! Oberthur Technologies n’est en effet, pas le géniteur de la solution, puisqu’elle a été conçue par NagraID Security avant d’être racheté par la société française au groupe Kudelski.

Cette sécurité, et c’est un point important pour sa démocratisation, est totalement transparente pour l’accepteur et l’acquéreur. En effet, seuls sont impactés la carte bancaire à laquelle est greffée un afficheur LCD, et le serveur d’autorisation émetteur qui doit être capable de vérifier le cryptogramme fraîchement généré.

Carte bancaire

L’épaisseur de la carte est de 0,76 mm (cf. norme ISO/CEI 7810). Et pourtant, OT est parvenue à y loger différents composants :

  • un afficheur LCD, qui indique le cryptogramme visuel dynamique (appelé Motion Code) ;
  • un microcontrôleur, qui génère le cryptogramme et l’envoie à l’afficheur ;
  • une horloge, qui permet de cadencer le microcontrôleur ;
  • et une mini-batterie, d’une autonomie de 3-4 ans, pour alimenter l’ensemble.

Le microcontrôleur impulsé par l’horloge, génère un cryptogramme toutes les demi-heures. Plusieurs méthodes de génération sont possibles et il est difficile de deviner celle choisie par OT. Peut-être un procédé cryptographique prenant en compte plusieurs données comme le numéro de carte, un timestamp et un secret partagé entre la carte et l’émetteur (Card Verification Keys). À moins qu’il s’agisse simplement d’une liste de cryptogrammes pré-calculés intégrée dans la mémoire afin diminuer le coût de revient du dispositif. L’avenir nous permettra d’y voir plus clair ! Le code généré est ensuite envoyé ensuite vers l’écran LCD.

Schéma de la carte

Serveur d’autorisation émetteur (SAE)

Lors d’un paiement en vente à distance (Internet par exemple), le SAE est systématiquement contacté. On dit de l’autorisation qu’elle est on-line. Le SAE est ainsi en mesure de connaître le cryptogramme saisi par le présumé porteur. Pour vérifier l’exactitude du code, le serveur doit être parfaitement synchronisé avec la carte afin de récupérer le même timestamp et in fine de recalculer le Motion Code. En comparant ce dernier avec celui envoyé dans la demande d’autorisation, le SAE est en mesure de vérifier s’il est correct ou non.

Note : une autre alternative est de déléguer la vérification du cryptogramme au serveur d’OT.

Et côté sécurité ?

Passons en revue les différents scénarios qui sont souvent à l’origine de transactions frauduleuses.

Espionnage

En regardant subrepticement la carte, le pirate peut récupérer les différentes informations nécessaires au paiement sur internet (numéro de carte, date d’expiration et cryptogramme visuel). Avec la nouvelle technologie Motion Code, le pirate a très peu de temps pour utiliser le cryptogramme avant qu’il ne devienne obsolète.

Le système n’est pas parfait, mais le cryptogramme dynamique réduit considérablement la fenêtre de tir de l’attaquant. D’un point de vue sécurité, cela va donc dans le bon sens ; d’autant qu’il est envisageable de diminuer le délai de renouvellement de cryptogramme.

Phishing / piratage

En invitant malicieusement les internautes à payer sur un site frauduleux, les pirates parviennent à récupérer le triplet permettant de procéder à l’achat. Il en est de même lorsqu’un internaute installe un logiciel contaminé par un cheval de Troie sur son ordinateur. En récupérant ces trois données, le pirate aura également peu de temps pour agir.

À l’instar de l’attaque précédente, le Motion Code réduit l’intérêt de cette attaque.

Vol de la carte bancaire

En revanche, le cryptogramme dynamique ne résout absolument pas le problème de vol de carte puisque le pirate, en possession de la carte, n’aura qu’à saisir le cryptogramme renouvelé.

Pour cette attaque, il s’agit même d’une régression pour ceux qui avaient pour habitude de gratter le cryptogramme afin de le faire disparaître du support plastique. En effet, le cassage de l’écran LCD empêchera tout achat sur Internet, et pour le pirate, et pour le porteur authentique…

La nouvelle solution d’OT n’est donc pas la panacée tant attendue. Mais l’intégration d’un écran LCD sur une carte bancaire est clairement une bonne idée et est l’étape intermédiaire avant l’ajout d’un mini-clavier permettant la saisie d’un code confidentiel nécessaire à l’allumage de l’écran LCD.

11 commentaires à propos de “Carte bancaire avec cryptogramme dynamique”

  1. Pour un site marchabd. Est ce qu’il existe des cas où la demande d’autorisation est faite au moment de l’expédition de la marchandise ? Du coup le crypto ne serait plus validé.

    Même chose pour la grand mère qui commande par correspondance et qui envoie un bon de commande avec son numéro de carte et le cvv2

    • Bonsoir Emilie,

      Généralement, pour le débit à l’expédition, la solution utilisée est la pré-autorisation.
      En revanche, cela risque effectivement de poser un problème dans d’autres cas comme pour la vente par correspondance. Cela nous obligera à utiliser d’autres moyens de paiement comme le TIP, un peu plus adapté à cette situation.

      Kévin

  2. les opérateurs refusent les carte e visa qui acceptera cette carte
    Manipulation des dirigeants par les informaticiens, pour pratiquer le hameçonnage, c’est un avis personnel d’une personne ayant eu 17 escroqueries sur un sité sécurisé. La France est un des pays ou le pays ou il y a le plus d’escroqueries que les banques nous font payer à tous avec leurs frais élevés.

    • Bonsoir,

      Quels opérateurs refusent les cartes Visa ? Généralement, c’est CB qui est utilisé en France (sauf pour les Visa Only…).
      Quant au reste, ce ne sont que des élucubrations sans fondements… Le phishing exploite tout simplement le facteur humain.

      Kévin

      • Bonjour
        c’est typique français et exclusivement français , quand on n’a pas d’arguments valables, on insulte, ridiculise l’interlocuteur on le rabaisse ( du moins c’est ce qu’on essaye ) lamentable

        • Bonjour,

          On attend toujours des exemples d’opérateurs n’acceptant pas la carte Visa…

          Pour répondre à votre question, l’un des avantages du Motion Code est sa transparence. Autrement dit, elle sera acceptée chez les mêmes commerçants qu’aujourd’hui. Cela permettra de reculer au classement des pays les plus touchés par le phishing, actuellement dominé par le Brésil, l’Inde et la Chine (selon Kaspersky Lab).

          Kévin

  3. Bonjour,
    Je vous déconseille vivement ce système. Je l’ai rendue au bout d’une semaine en réclamant mon ancienne carte. Je n’ai eu que des problèmes pour commander sur internet le crypto changeant les paiements étaient refusés. Car comme le cryptochange toutes les heures et que les sites débitent la carte quand ils envoient leur colis ou au mieux dans la nuit qui suit la commande le crypto n’est plus bon du coup même en contactant les sites par tel car mes paiements étaient rejetés cela finissait à chaque fois avec la commande payée avec la carte de mon mari. Même problème avec Paypal il faut à chaque fois entrer dans le compte pour modifier le cryptogramme sinon Paypal pense que ce n’est pas la même carte. J’ai donc vite viré cette CB avant que la location que j’avais prévu soit perdue car entre l’acompte et le solde ma carte aurait encore été refusée. A FUIR ! Vous voulez de la sécurité à 100% ? Retenez bien votre crypto et grattez le sur la carte ça vous coûtera zéro francs et ce sera plus efficace.

    • Bonjour Christiane,
      Cette carte règle pas mal de petit problème, même si elle n’est pas la panacée.
      Que la carte ne marche pas avec Paypal, cela ne me choque pas particulièrement ; sinon cela reviendrait à contourner la sécurité du cryptogramme dynamique… La carte est plutôt conçue pour être utilisée en front sur le site marchand. Néanmoins, pour des raisons de commodité, si vous souhaitez l’utiliser avec Paypal, vous pouvez toujours créditer votre compte. Mais si c’est pour être utilisé avec Paypal, je ne perçois pas l’intérêt de prendre une carte avec cryptogramme dynamique ; autant prendre une carte simple.

      Sur les sites marchands, effectivement, c’est un vrai problème auquel je n’ai jamais été confronté… Auriez-vous un exemple de site où cela a été refusé que je fasse un test ?

      Quant à votre dernière phrase sur la sécurité, je ne partage pas. Le fait de gratter votre cryptogramme sur votre carte (qui au passage est une dégradation d’un bien ne vous appartenant pas) ne répond pas à la menace d’un malware installé sur votre PC et qui aspire les touches claviers…

      Cdlt,

  4. Bonjour,

    Avez-vous des retours d’expérience sur l’utilisation de ce Motion Code. J’avoue être perplexe quant à l’utilisation d’une telle carte avec tous les services internet type Uber, google Pay, Paypal, abonnement mensuel …). Je n’ai personnellement pas envie d’avoir 2 cartes en fonction du mode d’utilisation.

    Coté vendeur internet, comment gérer les abonnements ? Existe-t-il un moyen d’identifier ce type de carte lors de l’enregistrement pour la refuser ?

    merci
    Cdt
    Xavier

    • Bonjour Xavier,

      Sur Uber, cela fonctionne. En abonnement mensuel, je n’ai pas fait l’essai mais cela fonctionnera. En effet, pour les transactions récurrentes, le CVx2 n’est pas vérifié (sinon il devrait être stocké…).
      Côté vendeur internet, il n’y a donc rien à faire pour les abonnements pour traiter ce genre de cartes. Comme aujourd’hui, il suffit d’indiquer qu’il s’agit d’une transaction récurrente.
      En revanche, les vendeurs qui stockaient le CVx2 et faisaient des transactions non récurrentes, malgré les interdictions, devront rentrer dans le droit chemin, sinon cela ne fonctionnera plus pour ces cartes.
      Il n’y pas moyen d’identifier ce type de carte côté vendeur à partir du numéro de carte.

      Cdlt,
      Kévin

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*