EMV

EMV (Europay, Mastercard, Visa) est un standard de paiement international permettant de réaliser des transactions de débit/crédit.

Le but de ce nouveau standard de paiement - on parle d'EMV 2000 ou 4.1 en complément du standard B0' pré existant en France - est de sécuriser davantage les paiements effectués par carte bancaire en national ou international et de garantir l'interopérabilité. La Vente A Distance (VAD) n'est pas plus sécurisée car la puce de la carte n'est pas utilisée dans ce cas de figure. Avant la version EMV 2000 une version EMV 96 avait déjà été définie.

Il existe en effet des fraudes a la carte bancaire bien connues concernant les paiements à l'étranger dans des schémas de paiement ou seules la piste voire l'empreinte carbonne sont utilisées.

L'EMV peut donc être vue comme une application de paiement supplémentaire qui cohabite en France avec l'application de paiement historique B0'. De ce fait on va trouver en France des cartes de paiement dites mixtes embarquant les deux applications et des cartes full EMV ne comportant que l'application EMV. Du coté des terminaux de paiement, des automates, DAB/GAB et des systèmes acquéreurs, les 2 applications sont supportées. Cela permet de gérer la transition vers le tout EMV de facon plus souple sans rupture de service. Lorsque la migration des cartes sera terminée l'application B0' sera désactivée.

Au contraire de B0' le choix d'accepter la transaction ou de la traiter online ou offline ne dépend pas que du terminal mais aussi de la carte du porteur pendant la transaction. De ce fait l'acquéreur (banque du commercant) peut adapter ses mesures anti fraude au niveau de l'application du terminal et l'émetteur (banque du porteur) fait de même au niveau de la carte.

Le schéma de paiement EMV se décompose en résumé comme suit après insertion de la carte dans le lecteur :

1) determinaison du type de carte (lecture de l'ATR - Answer to Reset)

2) si carte EMV lecture des applications présentes dans la carte : utilisation de la methode Payment System Environment (PSE) ou recherche des AID (identifiant d'application) si la PSE n'est pas supportée.

3) comparaison avec les applications du terminal (il faut qu'il y ait au moins une application commune sinon la transaction est abandonnée)

4) selection de l'application en fonction des indices de priorités (ou choix porteur). Pour chaque application commune, le terminal va lire la table de priorité dans la carte. En cas d'égalité de priorité on bascule sur le choix porteur. C'est le client qui choisira l'application de paiement dans le menu du terminal.

5) authentification de la carte par le terminal de facon statique (SDA) ou dynamique (DDA ou CDA).

6) authentification du porteur (saisie du code PIN et contrôle du nombre d'essais). La vérification du PIN peut être offline ou online.

7) Terminal risk management : controle des seuils de paiement, controle des seuils bas et haut sur les cumuls de paiements, appel aléatoire, liste noire etc...

8) comparaison des TAC (Terminal Action Code) et IAC (Issuer Action Code) avec la TVR (Terminal Verification Result) pour déterminer le type d'action a faire : rejet, traitement offline ou online de la transaction.

9) demande a la carte de générer un AAC (rejet) un TC (offline) ou un ARQC (online).

10) la carte réalise le Card Application analysis et repond :rejet, offline ou online.

11) si on part online une demande d'autorisation est envoyée à la banque du porteur de la carte. Celui ci authentifie la carte via l'ARQC envoyé et répond en acceptant ou pas la transaction. La réponse à la demande d'autorisation peut aussi comporter un script que le terminal doit transmettre a la carte sous forme d'APDU successives. La réponse peut aussi contenir un élément d'authentification de l'emetteur (ARPC). Dans ce cas le terminal doit le transmettre à la carte pour qu'elle puisse vérifier l'authenticité de la réponse à la demande d'autorisation. Ces mécanismes permettent d'éviter les attaques de type "man in the middle" .

12) après réception de l'autorisation le terminal demande un TC à la carte (Transaction Certificate) pour celler la transaction et renseigne la TSI (transaction status information).

13) les tickets sont imprimés : un ticket client + un ticket commercant. Les informations sur le ticket permettent de savoir si la transaction est de type B0' ou EMV, puce ou piste, online ou offline.

Les mécanismes de chiffrement, authentification et signature reposent sur des algorithmes asymetriques de type RSA ou symetriques de type 3DES.

Le protocole utilisé entre le système accepteur et le système emetteur repose sur le standard ISO 8583.

Les cartes EMV et les systèmes accepteur doivent être certifiés par l'EMVCO. Les contrôles se font au niveau hardware (Level 1) et software (Level 2).

De part les mécanismes mis en place dans le standard EMV et les sécurités physiques et logiques présentes sur les terminaux de paiements il est de plus en plus difficile pour les pirates de frauder. Le plus simple pour eux reste les paiements à l'étranger tant que le standard EMV n'est pas déployé dans tous les pays acceptant le paiement par carte bancaire. L'autre axe de piratage qui connait une croissance fulgurante est ce qu'on appelle le phishing sur internet.

Quelques conseils pour éviter la fraude : [haut]

- ne donner votre code secret de CB à personne (police, banques, assurance, etc) sous aucun pretexte et dans aucune circonstance !!

- quand vous retirez de l'argent ou payez sur un terminal ou un automate cachez le clavier pour que personne ne puisse voir ce que vous tapez. Attention certains pirates travaillent à la jumelle ou avec des caméras installées au niveau des distributeurs de billets.

- manipulez discrètement votre carte bancaire de telle manière qu'on ne puisse pas lire le n° de la carte ni le cryptogramme visuel au dos.

- ne notez pas le code ou le n° de carte ou le cryptograme visuel ( série de chiffre au dos de la carte) sur quoi que ce soit.

- quand vous donnez votre carte bancaire à un commercant pour effectuer le paiement, ne la perdez jamais de vue et vérifiez qu'on vous a bien rendu votre carte (notamment au péage d'autoroute).

- si votre carte reste bloquée dans un automate alors que vous n'avez pas tapé 3 codes erronés, signalez le à votre banque et mettez la en opposition.

- si vous le pouvez, utilisez un compte bancaire dédié pour faire des achats sur internet et ne passez que par des sites que vous connaissez.

- lors de paiements sur internet vérifier que vous êtes sous https (petit cadenas s'affiche en bas du navigateur à droite)

- surveillez très régulièrement vos comptes bancaires et signaler très vite toute anomalie à votre banque (paiement à l'étranger notamment)

- sur internet attention aux attaques de type "phishing". Beaucoup de banques sont l'objet de ce type d'attaques. Les "pirates" reproduisent quasiement à l'identique la page d'accueil de votre banque et vous invitent à entrer votre identifiant et mot de passe. Ensuite ils font des virements de votre compte vers des comptes externes. Pour éviter ces attaques il ne faut pas répondre aux mails qui vous invitent à entrer vos données de connexion, vérifier l'adresse exacte du site (http://....), plutot utiliser des raccourcis pour vous connecter à vos sites favoris, vérifier la présence du cadenas en bas à droite du navigateur indiquant que le protocole est sécurisé. Regarder les recommandations des banques sur leur site.

[haut]