Carte bancaire biométrique sans-contact

La 1ère carte bancaire biométrique sans-contact vient d’être commercialisée. Il est temps pour Paymon de vous expliquer comment cela fonctionne.

L’article précisera comment l’empreinte digitale est enregistrée dans la carte, comment l’empreinte est vérifiée, les impacts des équipements monétiques pour la mise en service de la carte et enfin s’intéressera à sa sécurité (sans rentrer dans les détails).

Enregistrement

Suite à la personnalisation de la carte, la carte est prête à accueillir votre empreinte digitale. Pour cela, vous devez vous rendre au guichet de votre banque, ou aller à un guichet automatique conçu pour l’enregistrement. Vous êtes invité à poser votre doigt pour récolter votre empreinte, ou plus précisément les minuties (points singuliers des empreintes). L’empreinte est alors envoyée directement dans la puce de la carte.

Techniquement, le guichet numérise les minuties pour l’écrire sous forme d’octets puis établit un dialogue avec la puce (enregistrement des octets dans le tag EMV 5F2E de la carte via PUT DATA).

Note : l’enregistrement de cette donnée nécessite bien évidemment l’authentification de la banque grâce à ses clés cryptographiques.

Utilisation

Au moment de payer, vous insérez la carte, avec votre doigt sur le capteur, dans le terminal. Ce dernier dialogue avec la puce afin de savoir si l’authentification biométrique est acceptée. Concrètement, le champ CVM List est récupéré afin de savoir si la carte reconnaît la méthode « Offline Biometric CVM » et le terminal indique s’il la gère. Le cas échéant, le capteur d’empreinte digitale récupère les minuties et les convertit dans le bon format. Le capteur envoie le résultat à la puce encapsulé dans la commande VERIFY afin de s’assurer que l’empreinte correspond à celle enregistrée dans le tag EMV.

Note : le capteur est alimenté grâce au terminal. Contrairement à la carte Motion Code, la carte n’a donc pas besoin de batterie.

Mise en service

La mise en service de cette carte nécessite la commercialisation du produit par les banques émetteurs. De plus, il faut que les terminaux de paiement acceptent la méthode « Offline Biometric CVM ». Cette mise à jour se fait par simple téléparamétrage.

Critique du système

L’authentification biométrique améliore l’expérience utilisateur. Mais que vaut la sécurité de la reconnaissance digitale par rapport au code confidentiel ?

En cas de vol de la carte, la saisie de l’authentifiant (code confidentiel ou empreinte digitale) est obligatoire pour assurer un paiement supérieur au seuil de paiement sans-contact sans authentification. Le vol du code confidentiel est relativement simple : shoulder surfing, skimmer, caméra. Le vol de l’empreinte est plus compliquée, mais envisageable pour qui s’en donne les moyens : photo de l’empreinte, vol de l’empreinte sur un verre (pas sûr que l’empreinte laissée sur la carte soit exploitable…), etc. À noter que les empreintes volées sur un autre service peuvent également être utilisées (à condition bien sûr que ce soit le bon doigt).

L’authentification par code confidentiel semble donc un peu plus sûre (à condition de bien de le cacher lors de sa saisie, et de vérifier qu’il n’y a pas de dispositif d’enregistrement des touches du PIN PAD). Mais à chacun d’apprécier si la sécurité de l’authentification biométrique est suffisante au vu de son confort d’utilisation. Reste à savoir quand les banques françaises proposeront cette carte.

Une réponse à “Carte bancaire biométrique sans-contact”

  1. Merci pour cet article instructif.

    Quelques petites questions:
    1- Comment sont stockées les minuties exactement? Sont-elles chiffrées avec une clé définie par l’émetteur?
    2- La CNIL autorise donc le stockage de données intrinsèques du porteur à l’intérieur de la carte?
    3- La transaction faite avec empreinte biométrique est donc vue comme une transaction sans-contact standard? Le plafond de 30€ s’applique donc?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.