À en croire les médias, la carte avec cryptogramme dynamique, Motion Code, serait l’arme ultime contre les fraudeurs. S’il est indéniable qu’elle contribuera à diminuer la fraude sur Internet, elle ne sera pas la panacée. Un simple vol de carte et les emplettes perdureront puisque le cryptogramme est lisible pour quiconque détient la carte entre ses mains.
Un moyen simple de renforcer la sécurité de cette carte consiste à vérifier l’identité du porteur avant d’afficher le cryptogramme, par exemple avec l’adjonction d’un mini-clavier. D’ailleurs, Visa puis MasterCard ont déjà parlé de ces nouvelles cartes, il y a déjà plus de 3 ans. À l’époque, sans doute à cause d’un mauvais timing, cela a fait un flop. Mais, suite aux récents succès des cartes Motion Code, il ne serait pas étonnant de les revoir naître de leurs cendres d’ici les prochaines années. Anticipons leur retour et voyons comment elles fonctionnent.
Tout comme pour les cartes à cryptogrammes dynamiques, c’est NagraID Security qui est à l’origine de cette invention. Cela signifie que c’est Oberthur Technologies, qui a racheté la société en septembre 2014, qui aura le plaisir de remettre cette technologie au goût du jour. Mais, pour que la mayonnaise prenne auprès du grand public, le timing devra être parfait et se fera probablement une fois les cartes anciennes générations bien ancrées dans les mœurs.
Fonctionnement
Cette carte est dotée des différents éléments suivants :
- un afficheur LCD ;
- un microcontrôleur ;
- une mémoire ;
- une horloge ;
- un mini-clavier ;
- une batterie.
Afficheur LCD
L’afficheur LCD est l’écran sur lequel s’affiche le code confidentiel (PIN) saisi par le porteur, ainsi que le cryptogramme visuel lorsque le PIN est validé. Ce type d’écran est un très bon compromis entre coût et faible consommation.
Microcontrôleur
Le microcontrôleur est l’orchestrateur de cette belle mécanique. Sous l’impulsion de l’horloge, il permet le contrôle du code tapé sur le mini-clavier, l’envoie à la mémoire pour contrôle du code et éventuellement affiche le cryptogramme fraîchement généré sur l’afficheur LCD.
Mémoire
La mémoire, de type EEPROM, contient l’algorithme de génération du cryptogramme ainsi que l’algorithme de vérification du code confidentiel.
Horloge
L’horloge donne la cadence du mécanisme. Elle permet notamment l’envoi de l’heure en entrée de l’algorithme de génération du cryptogramme. Il est donc nécessaire qu’elle soit bien synchronisée avec le serveur d’autorisation de la banque acquéreur.
Mini-clavier
La nouveauté de cette carte est l’utilisation d’un mini-clavier. Ce clavier permet à l’utilisateur de saisir un code confidentiel.
Et côté sécurité ?
Cette nouvelle génération de cartes répondra à la problématique de perte ou de vol de cartes. En effet, le fraudeur ne connaissant pas le code PIN ne sera pas en mesure de générer un cryptogramme. Cela vous protège donc en cas de fraude sur internet, à l’instar de la carte à cryptogramme dynamique ; mais aussi en cas de vol ou de perte.
Note : cela ne devrait pas complexifier le déroulement d’une transaction 3D Secure. En effet, la vérification de l’identité du porteur, qui sera effectuée lors de la saisie du PIN sur le support, fera office d’authentification du porteur (saisie du code reçu par SMS, etc.).
Une carte sans faille ?
Sur le papier oui. Mais comme souvent, des implémentations techniques en dépendra la sécurité globale. C’est important puisqu’un fraudeur peut regarder les touches du clavier les plus grasses afin de deviner les chiffres composant votre code. Il n’aura alors plus qu’à tester 24 combinaisons pour retrouver la combinaison originale. La carte sera-t-elle donc bloquée en cas de plusieurs essais infructueux ?
Si cette solution semble idéale, il faut noter qu’elle complexifie encore et toujours la cinématique du paiement sur internet. Mais puisque nous sommes déjà habitués à saisir n code PIN pour les achats et retraits, l’adaptation pourrait être plus rapide qu’il n’y paraît. Reste à voir quand Oberthur Technologies sortira cette carte ?
Et demain ?
De nouvelles cartes pourraient encore émerger avec une autre méthode de vérification du porteur pour générer un cryptogramme visuel, comme par exemple la biométrie, le NFC afin de s’assurer que le porteur possède bien le smartphone, etc. Mais, rien de nouveau, ces méthodes nous sont déjà familières.
Monétique 
Je me rappelle la carte biométrique « I AM » de e-smart. Je ne sais pas ce que c’est devenu, mais à l’époque je trouvais que c’était révolutionnaire.
Sur ce plan je crois que les asiatiques sont plus avancés. Il y a quelques années déjà, je voyais ces cartes avec afficheur ou avec clavier.
seul hic, j’imagine, c’est le marketing et la pénétration du marché européen qui sont forcément plus développés ici.
Sinon, c’est toujours possible de séquestrer le porteur (efficace), en attendant de découvrir les vulnérabilités de ces nouveaux systèmes, s’il y en a ;).
— Super blog!! j’attends déjà le prochain article!! —
Bonsoir Ali,
Effectivement, la séquestration est efficace. À quand la prise du pouls pour vérifier que le porteur n’est pas en situation de stress ? :-).
Merci pour votre commentaire et vos encouragements !
Au plaisir de vous retrouver.
Kévin
C’est vrai, ces articles sont bien construits, bien rédigés et intéressants, merci.
D’autant plus que sur ces sujets, il n’y a pas trop de concurrence 😉
Quand au ‘cryptogramme’, je suis toujours étonné par la capacité des organismes financiers à imaginer les concepts les plus farfelus : le CVV est une donnée confidentielle, mais qui est écrite en clair sur la carte (ça évite de payer l’affranchissement du courrier pour l’envoyer ?) et le réseau CB invite à le communiquer à tout commerçant qui en fait la demande, y compris lors d’un achat via un centre d’appel 😦
Bonsoir Michel,
Merci pour ce commentaire :-).
L’intérêt du CVx2 (et non le CVx tout court, qui est un autre cryptogramme) est de prouver que le payeur est bien en possession de la carte. A l’époque, c’est la solution la moins pire qui a été trouvée tenant compte de plusieurs contraintes.
Malheureusement, on se rend compte que cela n’est clairement pas suffisant à cause des paiements par téléphone, des paiements chez un commerçant lisant le cryptogramme visuel discrètement, etc. D’où l’apparition de nouvelles cartes comme Motion Code et sa nouvelle génération afin de mieux sécuriser les paiements sur internet.
Reste à voir combien de temps cela prendra avant la démocratisation de ces solutions.
Cdlt,
Kévin