Chez Heptalytics nous avons à cœur de partager notre connaissance pour lutter contre la fraude dans les paiements. Et nous avons conçu un abécédaire : notre bonne résolution pour cette année 2024, c’est de partager chaque semaine un article.
Les innovations techniques ont rendu la contrefaçon des cartes bancaires difficiles voire impossibles. De fait, les paiements carte sont les plus sûrs, et à 0,053% le taux de fraude enregistré par la banque de France en 2022 est le plus bas jamais constaté (il était de 0,059% en 2021).
« Ce résultat historique est le fruit de l’amélioration sensible de la sécurité des paiements sur Internet, qui a bénéficié à plein régime et sur une année entière des règles d’authentification forte introduites par la deuxième directive européenne sur les services de paiement (DSP 2). Ainsi, par rapport à 2019 où ces règles n’étaient pas encore appliquées, le taux de fraude des paiements par carte sur Internet a baissé d’un tiers, à 0,165 %. Après les premières tendances observées en 2021, ces éléments confortent le bilan très positif de l’authentification forte pour la sécurité des paiements par carte sur Internet. »[1]
Pour s’assurer de la sécurité des paiements, c’est une panoplie de dispositifs de sécurité qui ont été déployés dans le temps sur une même carte. Nous en avons retenus quelques-uns, les principaux, pour vous assurer du niveau de sécurité qui est contenu dans vos moyens de paiements.
1. Association PAN / nom du porteur / date de validité / CVC
- L’identification d’une carte est établie par un tryptique unique : PAN / nom du porteur / date de validité et CVV / CVC.
le PAN c’est le numéro de carte, ce numéro contient notamment des informations liées à l’émetteur, et un code donné par un algorithme. Le nom du porteur correspond au prénom et au nom du porteur de la carte. Pour les paiements en ligne en Europe, des éléments de l’adresse du porteur sont désormais également demandés. - Date de validité : la date de validité permet de limiter la fraude dans le temps, il s’agit aussi d’une donnée de sécurité complémentaire pour l’identification de la carte
- La Valeur de Vérification de la Carte (CVV – VISA ) ou le Code de Vérification de la Carte (CVC – Mastercard) se trouve au dos de la carte. Il s’agit d’une clé de sécurité complémentaire 3 trois chiffres (ou à 4 chiffres pour Amex). Le code CVV / CVC est requis pour tous les paiements par internet lorsque la carte de crédit n’est pas physiquement présente et que le code PIN personnel de la carte de paiement ne peut être requis.
2. Hologramme
L’hologramme permet d’authentifier la carte, et se prémunir de contrefaçons. L’hologramme est normé suivant le réseau utilisé (Visa, Mastercard, etc. ) et/ou le type de carte (debit, credit, etc.).
3. Puce EMV
EMV est un standard de sécurité Europay Mastercard Visa, qui s’est développé en France puis en Europe. En France, les terminaux de paiements sont obligatoirement équipés de lecteurs de puce EMV depuis 2006.
Le standard de la puce EMV est en régulière évolution, et contient de manière cryptée toutes les informations sensibles sur la carte, ainsi que le code de sécurité utilisé pour valider un paiement auprès d’un DAB/ATM ou d’un terminal de paiement. Le code PIN de la carte est donc un élément d’identification complémentaire pour s’assurer que le porteur de la carte a bien la connaissance de ce code.
La puce EMV dispose également d’une capacité d’extension dite sans contact. Les paiements sans contact permettent d’accélérer le passage en caisse pour des transactions de petit montant. Le niveau de sécurité reste identique.
Le problème de sécurité peut survenir quand un terminal pirate dispose d’une antenne trop puissance pour « aspirer » les données cartes et réaliser des transactions non sollicitées. C’est pourquoi des seuils réglementaires sont définis afin de limiter les montants possibles des transactions.
4. Sécurité logicielle
Aux dispositifs de sécurité intrinsèques de la carte s’ajoutent des éléments de sécurité logicielle : l’émetteur, comme le porteur peuvent gérer les plafonds ou les types de paiements autorisés. Par exemple la possibilité de payer tel montant à l’étranger, voire même auprès de tel type de commerçant.
5. Authentification forte
L’authentification forte permet de sécuriser une transaction en ligne. Dans l’Europe des paiements, la DSP2 a rendu obligatoire l’authentification forte en 2018. Le protocole le plus largement utilisé pour l’authentification forte dans le cadre d’un paiement cartes en ligne est le 3D Secure.
Il s’agit d’authentifier une transaction de paiement en réunissant deux des trois conditions suivantes :
- Un mot de passe ou un code que seul l’utilisateur connaît
- Un appareil (téléphone mobile) que seul l’utilisateur possède
- Une empreinte biométrique
L’application de l’authentification forte a permis de contenir voir de réduire significativement le taux de fraude en France et en Europe.
6. ApplePay / GooglePay
Le niveau de sécurité offert par ApplePay et GooglePay intègre le niveau de sécurité lié à la puce NFC intégrée dans la carte, en la renforçant via une authentification forte.
Lors de chaque paiement, ApplePay utilise la biométrie pour authentifier l’utilisateur, et la transaction est utilisée par un token de paiment à usage unique : les données cartes ne sont ni stockées dans l’appareil, ni communiquées au commerçant.
Au final, bien que les cartes de paiements intègrent de nombreux éléments de sécurité, la meilleure sécurité reste la prudence du porteur de la carte. Il est important de respecter les règles élémentaires de sécurité telles que communiquées par votre établissement bancaire (par exemple ne transmettre à personne son code PIN etc), surveiller régulièrement ses transactions cartes, et signaler à votre Opérateur de paiement toute transaction suspecte.
[1] Banque de France, Rapport de l’Observatoire de la sécurité des moyens de paiement 2022, 11 juillet 2023
