Les transactions sans contact

Chercher son portefeuille, l’ouvrir, attraper sa carte bancaire, l’insérer dans le terminal de paiement, taper son code. Combien de fois avons-nous fait ce rituel pour payer chez un commerçant ? Les ingénieurs du monde bancaire ont décidé d’abréger cette cinématique. Entrons dans le monde du sans-contact.

Vous l’aurez compris, le but du sans-contact est d’optimiser le temps de paiement comme le résume le doux slogan « Posez, c’est payé ! ». Le support importe peu. Du moment qu’il embarque la technologie NFC, n’importe quel objet peut faire office de moyen de paiement sans contact.

Cet article s’intéressera uniquement aux cartes bancaires NFC et aux mobiles NFC.

NFC : Near Field Communication

Il s’agit d’une technologie permettant l’envoi d’informations dans les airs à l’instar du Wi-Fi, mais à plus faible distance : quelques centimètres maximum. Une simple puce NFC et une simple antenne NFC transforment un appareil en moyen de paiement sans contact comme la carte bancaire, le téléphone mobile, mais aussi la clé USB, la montre, etc.

Note : Le NFC a une gamme de fréquence de 13,56 MHz et est régi par la norme ISO 14443.

La carte bancaire sans contact

Il existe deux spécifications de paiement pour les cartes sans contact :

  • PayWave créé par Visa qui se décline en :
    • MSD pour le sans-contact en mode piste (ISO)
    • qVSDC pour le sans-contact en mode puce (EMV)
    • VSDC pour le sans-contact en mode puce : ce mode est optionnel
  • PayPass créé par Mastercard qui se décline en :
    • MagStripe pour le sans-contact en mode piste (ISO)
    • M/Chip pour le sans-contact en mode puce (EMV)

Le sans-contact en mode piste est une version allégée puisque moins d’informations sont échangées. De plus, la transaction est réalisée systématiquement online (demande d’autorisation) et l’authentification des données de la carte n’est pas effectuée.

Note : les cartes bancaires CB implémentent une des deux bases applicatives susmentionnées selon le choix de l’émetteur.

Activation de l’interface sans contact

L’interface est activée si le montant de la transaction est compris entre les montants minimum et maximum définis par l’acquéreur.

Sélection de l’application (AID)

Le point d’acceptation et la carte conviennent d’une application commune selon les priorités de chacun.

Initialisation de la transaction

Le point d’acceptation contrôle le montant. En France, le GIE CB impose un montant maximum de transactions sans contact à 20 euros. Par ailleurs :

  • s’il s’agit de l’AID CB, le montant doit être strictement inférieur à 20 euros pour que la transaction soit acceptée.
  • s’il s’agit de l’AID Visa / Mastercard, l’acquéreur peut paramétrer :
    • un montant minimum à partir duquel la transaction doit être traitée online,
    • un montant minimum à partir duquel une identification du porteur est nécessaire (signature).

Note : pour l’AID CB, les montants minimums de traitement online et d’identification du porteur existent mais sont fixés à 20 euros. Ils ne rentrent donc pas en compte.

Ensuite, le point d’acceptation identifie la base applicative de la carte afin de savoir dans quel mode sera traité la transaction (Paypass M/Chip, Paywave qVSDC, …).

Les étapes suivantes sont classiques et dépendent du mode sélectionné.

Mode puce

  • Initialisation de la transaction : récupération du numéro de la carte, etc.
  • Authentification offline de la carte : vérification de l’authenticité de la carte (fast DDA pour qVSDC et CDA (si possible, sinon SDA) pour M/Chip)
  • Restriction de paiement : contrôle de la date d’expiration, contrôle des versions protocolaires, …
  • Gestion du risque : contrôle d’opposition, contrôle du BIN, …
  • Vérification du porteur (éventuellement) : signature
  • Gestion de l’autorisation (éventuellement) : décision si traitement online ou offline
  • Finalisation de la transaction : enregistrement de la transaction, impression des tickets, …

Mode piste

  • Initialisation de la transaction : récupération du numéro de la carte, etc.
  • Vérification du cryptogramme dynamique : le cryptogramme est calculé à partir de données dynamiques comme l’ATC (compteur qui s’incrémente à chaque transaction), …
  • Gestion du risque : contrôle d’opposition, contrôle du BIN, …
  • Gestion de l’autorisation : la transaction est traitée online.
  • Vérification du porteur : signature
  • Finalisation de la transaction : enregistrement de la transaction, impression des tickets, …

Note : si les grandes lignes sont les mêmes (EMV oblige), il y a quelques petites différences entre Paypass et Paywave. Par soucis de simplification, elles n’ont pas été abordées. Mais n’hésitez pas à poser vos questions en commentaire.

Le mobile sans contact

La spécification précisant l’acceptation du mobile sans contact est Payez Mobile. Elle se décline en deux modes :

  • qVSDC (Visa)
  • M/Chip (Mastercard)

La spécification impose la saisie d’un code PIN sur le mobile pour un montant strictement supérieur à un seuil paramétré aujourd’hui à 20 euros et autorise un montant sans contact jusqu’à 300 euros.

L’éventuelle saisie du code PIN se fait immédiatement après l’initialisation de la transaction. Le reste du traitement est identique avec le support carte en mode puce.

Note :  à l’heure actuelle, tous les TPE acceptant les cartes NFC ne lisent pas forcément les mobiles… La mise à jour des points d’acceptation devrait se faire rapidement.

Et la sécurité ?

La communication sans contact n’est pas chiffrée. Cela signifie donc qu’un attaquant plaçant un dispositif d’écoute d’ondes verra les échanges en clair. Quels sont les risques et les palliatifs ?

Risque

En sollicitant le support sans contact pour initialiser une transaction, il est possible de récupérer le numéro de la carte et sa date d’expiration. Le cryptogramme visuel (CVx2) n’est pas stocké dans le support, il ne peut donc pas être subtilisé en sniffant la transaction.

Le principal risque est donc qu’un attaquant s’empare de ces données et réalise un paiement sur Internet où le cryptogramme visuel n’est pas requis (comme c’est le cas chez certains commerçants).

Palliatif

Il suffit de placer une petite feuille d’aluminium autour de la carte. Faisant office de cage de Faraday, elle empêchera les sollicitations non souhaitées de la carte.

Note : si la technologie NFC vous fait peur, que vous n’en souhaitez pas et que votre banque ne peut/veut pas en refabriquer une carte sans NFC, vous pouvez toujours percer une partie de l’antenne de la carte. Cette dernière est visible à travers la carte au moyen d’une source lumineuse.

Les cartes sont-elles donc vouées à disparaître ? Probablement pas dans l’immédiat… En effet, la carte bancaire restera une bonne solution de repli en cas de perte du téléphone. Une carte bancaire reste également plus facile à prêter (pas bien…) que son téléphone. En tout cas, les fabricants de cartes ne comptent pas rester sans réagir et s’attaquent désormais à l’intégration de la biométrie sur les cartes et d’un écran LCD générant un cryptogramme visuel dynamique.

Advertisements
Cet article, publié dans Flux, est tagué , , , , , . Ajoutez ce permalien à vos favoris.

3 commentaires pour Les transactions sans contact

  1. Meredith dit :

    Bonjour, merci pour ces explications très claires. Le manque de sécurisation du NFC sur le paiement sans contact est quand même un problème HALLUCINANT et je ne comprends pas que les pouvoirs publics ne fassent rien.

    J’ai cherché une explication à ce sujet, la seule que j’ai trouvée est que la France serait à la pointe sur les paiements sans contact, et que l’Etat voudrait donc garder cette avance en ne mettant pas trop de bâtons dans les roues sur cette technologie… (c’est du moins ce qu’ils affirment ici : http://www.artdecreer.com/cybercriminalite-tous-coupables/).

    D’après vous, c’est réaliste, pas réaliste comme explication ? Y a-t-il une autre explication ?

    • Kévin dit :

      Bonjour Meredith,

      Beaucoup de raccourcis malencontreux et d’inexactitudes dans cet article sur la partie NFC.
      Tout d’abord, la France n’est pas du tout à la pointe sur les paiements sans contact.
      La France utilise simplement la norme EMV (norme internationale) qui définit, entre autres, le sans-contact. Et concernant son adoption, elle a plutôt du retard…

      Ensuite, ce n’est pas à cause de considération politique que la CNIL n’a pas interdit le NFC. La volonté de la CNIL était simplement de réduire au minimum l’utilisation de données à caractères personnels en NFC. Chose qu’elle a faite.

      Contrairement à ce qui est dit, le sans-contact est quand même doté de sécurité, notamment grâce à l’utilisation de cryptogramme dynamique. Et depuis l’intervention de la CNIL, le nom de famille n’est plus transmis par NFC. À mon sens, l’élément qui craint encore pour l’utilisation de la carte en NFC est la récupération du numéro de la carte. Mais, sans obtention du cryptogramme visuelle (situé au dos de la carte), on ne peut plus faire grand chose. Et enfin, rappelons qu’en cas de litiges, le porteur sera remboursé. C’est donc la banque qui endosse le risque.

      En espérant vous avoir éclairée,
      Cordialement,
      Kévin

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s