MasterCard teste une carte bancaire biométrique

MasterCard a dévoilé la carte bancaire biométrique ce 20 avril 2017. Cela peut paraître novateur, mais il faut se rappeler que ce système d’identification biométrique était déjà évoqué en 2014 pour le paiement sans-contact dans le cadre d’un partenariat Zwipe. La différence est que cette fois, la biométrie revient en force dans le but de supplanter le code confidentiel.

Les principaux avantages annoncés de la biométrie sur le code confidentiel sont la rapidité et la sécurité. S’il est dur d’objecter le premier avantage (en supposant toutefois que l’identification du doigt se fasse correctement du premier coup), cela n’est pas le cas pour le second. Avant d’expliquer le fonctionnement monétique de cette nouvelle carte, voyons les différentes étapes du cycle de la carte et de son utilisation :

  • ajout du lecteur d’empreinte sur la carte ;
  • enregistrement de l’empreinte dans la puce ;
  • vérification du porteur lors d’un paiement.

Note : dans certains contextes (DAB/GAB, Distributeur automatique de carburant (DAC)), le lecteur d’empreinte présent sur la carte ne sera pas accessible. En attendant l’implémentation d’un dispositif de lecture des empreintes sur le distributeur, la vérification du porteur se fera donc toujours par code confidentiel.

Ajout du lecteur d’empreinte sur la carte

Lors de l’encartage, un nouvel élément est posé sur la carte : le lecteur d’empreinte. Il permet la lecture de l’empreinte digitale. Cette dernière sera alors envoyée à la puce qui indiquera s’il s’agit de l’empreinte du porteur enregistré ou non.

Enregistrement de l’empreinte dans la puce

Le porteur se rend chez son conseiller préféré. Avec un lecteur d’empreinte, le conseiller récupère les empreintes numériques (limitées à 2). Ces données sont alors ajoutées dans la zone protégée de la puce de la carte, à l’instar du code PIN. En revanche, rien n’indique si l’enregistrement se fait lors de la personnalisation ou lors de la venue du porteur à l’agence. Cela n’est pas sans importance sécuritaire puisque l’enregistrement de l’empreinte lors de la personnalisation nécessiterait la consolidation d’un fichier à destination du personnalisateur et contenant l’empreinte des porteurs. Tandis que si cet enregistrement est effectué après réception de votre carte, cela pourrait se faire via une commande EMV. À priori, c’est la dernière approche qui sera utilisée.

Note : en fait, pour des raisons de performances, ce n’est pas l’empreinte entière qui est lue mais seulement quelques points bien particuliers – les minuties.

Vérification du porteur lors d’un paiement

Au moment de payer, le porteur insère sa carte et appose son doigt sur le capteur pour s’identifier, en lieu et place de saisir son code confidentiel. Quand on voit toutes les initiatives autour du paiement mobile et la démocratisation de la biométrie, cette nouvelle carte va clairement dans l’air du temps. Par ailleurs, cela permet aux fabricants de cartes de ne pas trop se faire distancer dans la course des moyens de paiements tendances.

Monétiquement

Cette évolution, aussi simple semble-t-elle sur le plan fonctionnel, impacte toutefois le standard EMV. Même si la majeure partie des évolutions est située côté carte (physique et logiciel), le terminal est également concerné. Heureusement pour les commerçants, cette évolution ne sera que logicielle.

Note : pour ne pas trop complexifier l’article, la cryptographie ne sera pas abordée. Mais bien évidemment, des clés de chiffrement sont prévues afin d’assurer la confidentialité et l’intégralité.

Évolution du terminal

Contrairement au code confidentiel, l’authentification biométrique digitale se fait côté carte grâce au lecteur d’empreinte. Aucune évolution physique et aucun lecteur spécifique n’est donc à prévoir par les commerçants souhaitant accepter ces nouvelles cartes.

En revanche, certains champs EMV vont évoluer. De manière non exhaustive :

  • Terminal Capabilities : champ indiquant la capacité du terminal à lire les cartes (piste, puce, etc.), pour supporter les méthodes de vérification du porteur (signature, code confidentiel, etc.), et pour supporter quelques mesures de sécurités (SDA, DDA, CDA, capture de la carte). L’évolution portera sur l’ajout de la méthode de vérification biométrique du porteur (Online Biometric ou Offline Biometric).
  • Terminal Verification Results : champ indiquant le résultat de certains tests effectués lors de la transaction (SDA échoué, nombre de tentatives de code confidentiel dépassé, etc.). L’évolution portera sur des ajouts d’indicateur comme le nombre d’essai biométrique dépassé, etc.

D’autres champs seront ajoutés comme les capacités biométriques supportées par le terminal (digital, facial, iris, palmaire, voix). Dans le cas présent, le champ indiquera qu’il ne supporte rien de tout cela puisque l’acquisition biométrique est portée par la carte.

La mise à jour se fera par un simple téléparamétrage. Cela sera donc transparent pour le commerçant.

Évolution de la carte

Physiquement, la carte évolue et possèdera un lecteur d’empreinte digital. Comme nous le pressentions déjà en 2015, MasterCard utilise apparemment des capteurs IDEX. Ce lecteur sera relié à la puce.

Côté logiciel, quelques champs EMV vont évoluer comme la CVM List. Ce champ est composé d’un seuil bas, d’un seuil haut et de la liste des méthodes de vérification du porteur supportées par la carte. Ces méthodes sont conditionnées. Ainsi, le terminal utilisera telle méthode s’il s’agit d’un DAB/GAB, utilisera une autre méthode si le montant est supérieur à un des seuils, etc.

Certaines commandes EMV supportées par la puce vont également évoluer :

  • GET DATA : pour supporter l’envoi de données relatives à la vérification biométrique (compteur, …)
  • VERIFY : pour supporter la vérification biométrique du porteur.
  • PIN CHANGE : afin de pouvoir insérer dans la puce l’empreinte du porteur.

Note : une empreinte digitale ou plutôt la représentation numérique des minuties prend bien plus de place qu’un code confidentiel. Le standard EMV prévoit un envoi fragmenté pour les commandes susmentionnées.

Un nouveau champ EMV contiendra l’empreinte digitale. La commande VERIFY prendra en argument l’empreinte digitale récupérée par le capteur qui sera chiffrée. En retour, la puce indiquera si l’empreinte correspond ou non à celle du titulaire de la carte.

Quid de la sécurité ?

Le standard EMV prévoit l’offline biometric où le contrôle est effectué par la puce, et l’online biometric où le contrôle est effectué côté serveur d’autorisation. En France, les établissements ont intérêt à n’implémenter que l’offline biometric. En effet, depuis mars 2017, les paiements biométriques réalisés à l’aide de gabarits stockés localement ne sont plus soumis à une autorisation de la CNIL. Toutefois, elle encadre son utilisation à travers l’autorisation unique (pour que l’utilisateur puisse avoir un autre choix d’authentification, etc.)

Par ailleurs, l’implémentation des compteurs de tentatives biométriques est importante. En effet, selon des recherches américaines, il serait possible de leurrer le contrôle, dans la plupart des cas, à l’aide de plusieurs templates digitales pré-nregistrées.

En parlant des empreintes, MasterCard indique :

It’s not something that can be taken or replicated

Objection ! Les empreintes peuvent bien évidemment être dupliquées. Et c’est heureux, sinon la police scientifique aurait bien du mal à faire son travail. Quand à la réplication, je n’ai pas testé personnellement, mais je doute fort que les lecteurs d’empreinte implémentées sur les cartes soient très sécurisées, et ce pour des raisons économiques. Il sera donc ainsi possible d’usurper votre identité. Par exemple, en récupérant vos empreintes laissées sur votre verre ou en les prenant en photo. Ce qui nous protégera surtout, c’est la difficulté de la mise en œuvre de l’attaque.

Quand cela arrivera en France ?

Malheureusement, il faudra, une fois n’est pas coutume, patienter. Des essais devraient se faire d’ici les prochains mois. Il y a donc peu de chance qu’une commercialisation n’intervienne en France avant 2019.

Communiqué de presse : http://newsroom.mastercard.com/eu/press-releases/thumbs-up-mastercard-unveils-next-generation-biometric-card/

2 Replies to “MasterCard teste une carte bancaire biométrique”

  1. Merci pour ce post – en rappelant qu’un code PIN sera toujours supporté par la carte pour les transactions retrait (le doigt ne suivra pas la carte dans le lecteur motorisé du DAB 😉

    • Merci pour votre commentaire.
      Effectivement, on ne parlait que de paiement. J’ai rajouté donc une petite note sur les DAB/GAB mais aussi les DAC (Carburants) :-).

      Cordialement,
      Kévin

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*