Accueil🇫🇷Chercher

Cryptogramme visuel

Cryptogramme visuel désigne en général les trois derniers chiffres présents au dos d'une carte de paiement.

Code de sécurité au dos de cartes de paiement MasterCard, Visa et généralement composé d'un groupe de trois chiffres à droite de l'espace dédié à la signature.
Sur les cartes American Express, le code de sécurité est imprimé, non gaufré en haut à droite sur le devant de la carte.

Le terme le plus couramment utilisé est cryptogramme visuel[1], mais on trouve également les termes code de sécurité (card security code ou CSC en anglais), ou CVV (pour Card Verification Value), ou CVC (pour Card Verification Code), Verification Code (V-Code ou V Code), ou Card Code Verification (CCV). Tous ces termes désignent des procédés servant à la sécurisation des transactions par carte de paiement et fournissant une protection accrue contre l'utilisation frauduleuse des cartes de paiement.

Types de codes

Il existe différents types de codes de sécurité :

  • CVV1 ou CVC1, est chiffrĂ© dans la bande magnĂ©tique de la carte et est utilisĂ© pour les transactions en personne. Le but de CVC1 ou CVV1 est de garantir que les donnĂ©es enregistrĂ©es sur la bande magnĂ©tique de la carte sont valides et ont Ă©tĂ© gĂ©nĂ©rĂ©es par la banque Ă©mettrice. Cette valeur est prĂ©sentĂ©e dans chaque transaction et est vĂ©rifiĂ©e par la banque ayant Ă©mis la carte. Les limites du CVC1 ou CVV1 est que si la totalitĂ© de la bande magnĂ©tique est copiĂ©e, la carte peut ĂŞtre dupliquĂ©e par exemple par l'employĂ© indĂ©licat d'un magasin Ă  l'aide d'un outil Ă©lectronique (skimming en anglais).
  • CVV2 ou CVC2 ou CVx2. Ce code de sĂ©curitĂ© est souvent demandĂ© par les commerçants afin de sĂ©curiser une transaction Ă  distance, que ce soit par internet, courrier, fax ou tĂ©lĂ©phone. Dans de nombreux pays d'Europe occidentale, Ă  la suite d'une augmentation des tentatives d'utilisation frauduleuse de cartes de paiement, il est Ă  prĂ©sent obligatoire de fournir ce code lorsque la transaction est Ă  distance
  • Les cartes de paiement sans contact fournissent leurs propres codes gĂ©nĂ©rĂ©s Ă©lectroniquement, tels que le iCVV ou CVV dynamique.

Ces codes ne doivent pas être confondus avec le numéro de carte de crédit généralement apparaissant en relief sur la carte de paiement. Le numéro de carte de crédit lui-même fait l'objet d'un système de validation propre avec l'algorithme appelé formule de Luhn qui sert à déterminer si le numéro de la carte est valide.

Ces codes ne doivent pas non plus être confondus avec le code PIN ou le mot de passe 3-D Secure connu sous le nom "MasterCard SecureCode" ou "Verified by Visa". Ces codes ne sont pas imprimés ou mis en relief sur la carte mais sont entrés manuellement au moment de la transaction.

Emplacement du code

Le code de sécurité (CVV2 ou CVC2) est un groupe de 3 ou 4 chiffres imprimés au dos de la carte de paiement à droite de l'emplacement réservé à la signature, mais il n'est pas encodé dans la bande magnétique.

  • Les cartes de paiement MasterCard, Visa, Diners Club, Discover (États-Unis), et JCB (Japon) ont un code de sĂ©curitĂ© Ă  3 chiffres. Ce code n'est pas en relief comme le numĂ©ro de la carte de paiement, il s'agit toujours des 3 derniers chiffres imprimĂ©s au dos de la carte Ă  droite de l'emplacement rĂ©servĂ© Ă  la signature. Les nouvelles cartes de crĂ©dit Visa et MasterCard ont ce code dans un emplacement sĂ©parĂ© Ă  droite de l'emplacement de la signature, ceci afin d'Ă©viter que les 3 chiffres ne soient raturĂ©s par la signature sur la carte. Ces codes ont un nom diffĂ©rent en fonction de l'Ă©metteur de la carte de paiement :
    • "CVC2" (card validation code) chez MasterCard,
    • "CVV2" (card verification value) chez Visa,
    • "CID2" (card identification number) chez Discover (États-Unis).
  • Les cartes de paiement American Express ont un code de sĂ©curitĂ© Ă  4 chiffres imprimĂ© au recto de la carte au-dessus du numĂ©ro de la carte. Ce numĂ©ro n'est pas imprimĂ© en relief comme le numĂ©ro de la carte. Ce code est appelĂ© chez American Express :
    • "CID" (unique card code)

Avantages du système

Comme le code de sécurité n'est pas inclus dans la bande magnétique, il n'est en général pas inclus dans une transaction qui a lieu en face à face chez un commerçant. Cependant aux États-Unis, quelques entreprises comme Sears ou Staples exigent ce code.

Pour les cartes American Express en Europe, l'usage du code de sécurité pour les transactions à distance a commencé en 2005. Ceci augmente le niveau de protection pour la banque et le titulaire de la carte, dans le sens où un commerçant mal intentionné ne peut pas simplement capturer les données de la bande magnétique pour les réutiliser dans le cadre d'un paiement à distance ultérieur. Pour cela, le commerçant devrait noter le code CVV2 au moment de la transaction où il souhaite capturer les données de la bande magnétique, ce qui éveillerait les soupçons du titulaire de la carte.

Aux États-Unis, Visa interdit aux commerçants de conserver le code CVV2 après la transaction. Ainsi, même en cas de vol d'un fichier de transactions, les codes CVV2 n'y figurant pas, les voleurs ne pourront pas utiliser les numéros de cartes pour effectuer des transactions frauduleuses.

La norme PCI DSS (DSS = norme de sécurité des données (data security standard) et PCI = Conseil des normes de sécurité (Payment Card Industry) interdit également le stockage du code de sécurité ainsi que d'autres données sensibles liées à l'autorisation de la transaction. Ceci, pour toute entité qui enregistre, traite, transmet des données de cartes de paiement[2].

Fournir un code de sécurité CSC a pour but de vérifier que le consommateur a bien la carte en sa possession. Connaître ce code prouve que le consommateur a vu la carte. À ce jour, aucun logiciel permettant de "craquer" ce système n'est connu.

Limites
  • L'usage du code de sĂ©curitĂ© ne protège pas contre les techniques d'hameçonnage (en anglais, phishing), dans lesquelles on fait croire au titulaire de la carte qu'il entre son code de sĂ©curitĂ© ainsi que les autres donnĂ©es de sa carte sur un faux site. L'augmentation de l'hameçonnage a rĂ©duit l'efficacitĂ© du code de sĂ©curitĂ© en tant que procĂ©dure anti-fraude. Il existe Ă©galement des fraudes dans lesquelles l'auteur de l'hameçonnage a dĂ©jĂ  obtenu le numĂ©ro de carte de l'utilisateur (par exemple en piratant la base de donnĂ©es d'un commerçant) en leur envoyant ces donnĂ©es volĂ©es pour leur donner un faux sentiment de sĂ©curitĂ© avant de leur demander de remplir un formulaire demandant le code de sĂ©curitĂ© qui n'Ă©tait pas enregistrĂ© dans la base de donnĂ©es volĂ©e[3].
  • Comme le code de sĂ©curitĂ© ne doit pas ĂŞtre enregistrĂ© par le commerçant (après que la transaction pour laquelle le code de sĂ©curitĂ© a Ă©tĂ© utilisĂ© soit autorisĂ©e et terminĂ©e), un commerçant qui a besoin d'utiliser rĂ©gulièrement une carte pour un abonnement n'est pas capable de fournir ce code de sĂ©curitĂ© après la transaction initiale.
  • Certains fournisseurs de cartes n'utilisent pas encore le code de sĂ©curitĂ© - mĂŞme si MasterCard et Visa ont respectivement commencĂ© en 1997 en 2001. Cependant, les transactions sans code de sĂ©curitĂ© ont plus de chances d'ĂŞtre soumises Ă  des contrĂ´les anti-fraude plus poussĂ©s, et les transactions frauduleuses sans code de sĂ©curitĂ© ont plus de chances d'ĂŞtre rĂ©solues en faveur du titulaire de la carte.
  • Il n'est pas obligatoire pour un commerçant de demander le code de sĂ©curitĂ© pour effectuer une transaction, par consĂ©quent une carte aura toujours le risque d'ĂŞtre utilisĂ©e frauduleusement si son numĂ©ro est entre les mains de l'auteur d'un hameçonnage.

SĂ©curisation par le titulaire de la carte

La connaissance du cryptogramme visuel, jointe à la connaissance du numéro à 16 chiffres figurant au recto de la carte bancaire, permet au propriétaire de la carte, mais aussi à toute personne tierce, y compris délinquante, d'effectuer des achats en ligne depuis le compte bancaire du titulaire.

Il est donc conseillé d'apprendre par cœur ce cryptogramme avant de le faire disparaître par un léger « grattage » avec la pointe d'un couteau, d'une épingle ou d'un compas, avec obligation de ne pas dégrader la puce informatique ni la piste magnétique.

Génération des codes de sécurité des cartes

Les valeurs des codes CVC1, CVV1, CVC2 et CVV2 sont générées lorsque la carte est créée. Ces valeurs sont calculées en chiffrant le numéro de carte (PAN, Primary Account Number en anglais), la date d'expiration et le code de service avec une clé de déchiffrement (souvent appelée Card Verification Key ou CVK en anglais) seulement connue de la banque émettrice de la carte, puis en convertissant au format décimal le résultat[4] - [5].

Cartes Ă  cryptogramme dynamique

Fonctionnement

En 2015, des cartes à cryptogramme dynamique ont fait leur apparition sur le marché. Le cryptogramme statique, imprimé au verso de la carte, est remplacé par un mini écran e-paper intégré dans la carte, capable d'afficher trois ou quatre chiffres. Le cryptogramme est affiché de façon permanente mais change automatiquement, typiquement toutes les 20 minutes : il est calculé par une puce alimentée par une mini-batterie ultra-mince, les deux intégrées également au cœur de la carte.

Pour les personnes ayant une vue correcte

Cette technologie ne change pas les habitudes d'achat, ne nécessite l'installation d'aucun plugin sur le navigateur, et fonctionne de façon transparente sur les sites marchands existants. Ce type de carte permet de lutter efficacement contre la fraude en ligne : si les informations de la carte sont volées (notamment par photo recto/verso de la carte par un point de vente indélicat[6]), elles deviennent inutilisables rapidement puisque le cryptogramme change régulièrement.

Pour les personnes déficientes visuelles

En l’état, un tel dispositif serait totalement inaccessible[7] aux personnes aveugles ou très malvoyantes (soit environ 1 300 000 personnes en France[8]) qui se trouveraient ainsi exclues des possibilitĂ©s d’achat en ligne auxquelles elles ont aujourd’hui largement recours.

Les expérimentations en cours

Plusieurs banques ont annoncé[9] - [10] - [11] - [12] lancer des pilotes sur cette technologie en 2015 et visent des déploiements en 2016. La technologie est proposée par les sociétés françaises Oberthur Technologies ("Motion Code") et Gemalto ("DCV").

Notes et références
  1. Sondage Trombi.com au sujet du mot utilisé par les français pour désigner les 3 chiffres au dos de leur carte de paiement.
  2. http://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/doc/pci_dss_v1-2.pdf
  3. Urban Legends Reference Pages: Visa Fraud Investigation Scam
  4. (en) « z/OS Integrated Cryptographic Service Facility Application Programmer’s Guide », IBM, , p. 209
  5. (en) « z/OS Integrated Cryptographic Service Facility Application Programmer’s Guide », IBM, , p. 258
  6. « Le serveur détournait les cartes bancaires L'employé peu scrupuleux détournait les numéros de cartes bancaires des clients de l'établissement et relevait le cryptogramme avant de revendre à ses copains les coordonnées qui leur permettaient ensuite de faire des achats sur le Net à peu de frais. »
  7. Vers une carte bancaire à cryptogramme dynamique pour moins d’accessibilité « Copie archivée » (version du 23 juillet 2018 sur Internet Archive)
  8. Cécité, malvoyance: les données sur le site de l’Association Valentin Haüy au service des aveugles et des malvoyants
  9. « BPCE teste la carte à cryptogramme dynamique »
  10. « BNP Paribas s'intéresse à la carte bancaire à code dynamique »
  11. « Société Générale expérimente une carte nouvelle génération ultra sécurisée pour les achats en ligne »
  12. (en) « Getin Bank introduces world’s first DCVC card »

Articles connexes

Lien externe
Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.