Le cryptogramme visuel n’a pas très bonne presse, et à juste titre, puisqu’un simple coup d’œil suffit à le retenir. Si on remonte aux origines de son invention, on se rappellera que son but premier est de prouver que le porteur est bien en possession physique de la carte. Sauf que, si son intention est louable, son application l’est nettement moins. En effet, ce ne sont pas 3-4 malheureux petits chiffres qui stopperont un fraudeurde passer à l’achat avec les données de la carte. Fort de ce constat, Oberthur Technologies (OT) vient de lancer la première carte bancaire à cryptogramme dynamique. Alors, révolution ou pas ? Lisez la suite !
Dans un premier temps, nous verrons comment une telle solution est rendue possible, avant de s’intéresser aux conséquences, à savoir notamment si cela endiguera la fraude sur Internet.
Note : à ce jour, OT n’a pas communiqué de détails techniques sur le fonctionnement de la carte. Le paragraphe qui suit est donc une interprétation. Il se peut donc qu’il y ait des écarts avec la réalité.
Fonctionnement
Tout d’abord, rendons à César ce qui est à César ! Oberthur Technologies n’est en effet, pas le géniteur de la solution, puisqu’elle a été conçue par NagraID Security avant d’être racheté par la société française au groupe Kudelski.
Cette sécurité, et c’est un point important pour sa démocratisation, est totalement transparente pour l’accepteur et l’acquéreur. En effet, seuls sont impactés la carte bancaire à laquelle est greffée un afficheur LCD, et le serveur d’autorisation émetteur qui doit être capable de vérifier le cryptogramme fraîchement généré.
Carte bancaire
L’épaisseur de la carte est de 0,76 mm (cf. norme ISO/CEI 7810). Et pourtant, OT est parvenue à y loger différents composants :
- un afficheur LCD, qui indique le cryptogramme visuel dynamique (appelé Motion Code) ;
- un microcontrôleur, qui génère le cryptogramme et l’envoie à l’afficheur ;
- une horloge, qui permet de cadencer le microcontrôleur ;
- et une mini-batterie, d’une autonomie de 3-4 ans, pour alimenter l’ensemble.
Le microcontrôleur impulsé par l’horloge, génère un cryptogramme toutes les demi-heures. Plusieurs méthodes de génération sont possibles et il est difficile de deviner celle choisie par OT. Peut-être un procédé cryptographique prenant en compte plusieurs données comme le numéro de carte, un timestamp et un secret partagé entre la carte et l’émetteur (Card Verification Keys). À moins qu’il s’agisse simplement d’une liste de cryptogrammes pré-calculés intégrée dans la mémoire afin diminuer le coût de revient du dispositif. L’avenir nous permettra d’y voir plus clair ! Le code généré est ensuite envoyé ensuite vers l’écran LCD.
Serveur d’autorisation émetteur (SAE)
Lors d’un paiement en vente à distance (Internet par exemple), le SAE est systématiquement contacté. On dit de l’autorisation qu’elle est on-line. Le SAE est ainsi en mesure de connaître le cryptogramme saisi par le présumé porteur. Pour vérifier l’exactitude du code, le serveur doit être parfaitement synchronisé avec la carte afin de récupérer le même timestamp et in fine de recalculer le Motion Code. En comparant ce dernier avec celui envoyé dans la demande d’autorisation, le SAE est en mesure de vérifier s’il est correct ou non.
Note : une autre alternative est de déléguer la vérification du cryptogramme au serveur d’OT.
Et côté sécurité ?
Passons en revue les différents scénarios qui sont souvent à l’origine de transactions frauduleuses.
Espionnage
En regardant subrepticement la carte, le pirate peut récupérer les différentes informations nécessaires au paiement sur internet (numéro de carte, date d’expiration et cryptogramme visuel). Avec la nouvelle technologie Motion Code, le pirate a très peu de temps pour utiliser le cryptogramme avant qu’il ne devienne obsolète.
Le système n’est pas parfait, mais le cryptogramme dynamique réduit considérablement la fenêtre de tir de l’attaquant. D’un point de vue sécurité, cela va donc dans le bon sens ; d’autant qu’il est envisageable de diminuer le délai de renouvellement de cryptogramme.
Phishing / piratage
En invitant malicieusement les internautes à payer sur un site frauduleux, les pirates parviennent à récupérer le triplet permettant de procéder à l’achat. Il en est de même lorsqu’un internaute installe un logiciel contaminé par un cheval de Troie sur son ordinateur. En récupérant ces trois données, le pirate aura également peu de temps pour agir.
À l’instar de l’attaque précédente, le Motion Code réduit l’intérêt de cette attaque.
Vol de la carte bancaire
En revanche, le cryptogramme dynamique ne résout absolument pas le problème de vol de carte puisque le pirate, en possession de la carte, n’aura qu’à saisir le cryptogramme renouvelé.
Pour cette attaque, il s’agit même d’une régression pour ceux qui avaient pour habitude de gratter le cryptogramme afin de le faire disparaître du support plastique. En effet, le cassage de l’écran LCD empêchera tout achat sur Internet, et pour le pirate, et pour le porteur authentique…
La nouvelle solution d’OT n’est donc pas la panacée tant attendue. Mais l’intégration d’un écran LCD sur une carte bancaire est clairement une bonne idée et est l’étape intermédiaire avant l’ajout d’un mini-clavier permettant la saisie d’un code confidentiel nécessaire à l’allumage de l’écran LCD.
Monétique 
Pour un site marchabd. Est ce qu’il existe des cas où la demande d’autorisation est faite au moment de l’expédition de la marchandise ? Du coup le crypto ne serait plus validé.
Même chose pour la grand mère qui commande par correspondance et qui envoie un bon de commande avec son numéro de carte et le cvv2
Bonsoir Emilie,
Généralement, pour le débit à l’expédition, la solution utilisée est la pré-autorisation.
En revanche, cela risque effectivement de poser un problème dans d’autres cas comme pour la vente par correspondance. Cela nous obligera à utiliser d’autres moyens de paiement comme le TIP, un peu plus adapté à cette situation.
Kévin
J’attends avec impatience le coup écologique de cette nouveauté et l’argumentaire qui l’accompagnera.
les opérateurs refusent les carte e visa qui acceptera cette carte
Manipulation des dirigeants par les informaticiens, pour pratiquer le hameçonnage, c’est un avis personnel d’une personne ayant eu 17 escroqueries sur un sité sécurisé. La France est un des pays ou le pays ou il y a le plus d’escroqueries que les banques nous font payer à tous avec leurs frais élevés.
Bonsoir,
Quels opérateurs refusent les cartes Visa ? Généralement, c’est CB qui est utilisé en France (sauf pour les Visa Only…).
Quant au reste, ce ne sont que des élucubrations sans fondements… Le phishing exploite tout simplement le facteur humain.
Kévin
Bonjour
c’est typique français et exclusivement français , quand on n’a pas d’arguments valables, on insulte, ridiculise l’interlocuteur on le rabaisse ( du moins c’est ce qu’on essaye ) lamentable
Bonjour,
On attend toujours des exemples d’opérateurs n’acceptant pas la carte Visa…
Pour répondre à votre question, l’un des avantages du Motion Code est sa transparence. Autrement dit, elle sera acceptée chez les mêmes commerçants qu’aujourd’hui. Cela permettra de reculer au classement des pays les plus touchés par le phishing, actuellement dominé par le Brésil, l’Inde et la Chine (selon Kaspersky Lab).
Kévin