Europay Mastercard Visa
Europay Mastercard Visa, abrégé par le sigle EMV, est depuis le standard international de sécurité des cartes de paiement (cartes à puce). Il tire son nom des organismes fondateurs :
- Europay International (absorbé par Mastercard en ) ;
- MasterCard International ;
- Visa International ;
rejoints au sein de l'organisme EMVCo (basé aux États-Unis) par :
- depuis , le japonais JCB International [1] ;
- depuis , l'américain American Express [2] ;
- depuis , le chinois UnionPay [3] ;
- depuis , l'américain Discover [4].
Cette nouvelle technologie, dont la première version des spécifications est parue en , tire profit de la puce intégrée à la carte.
En France, depuis fin , l'ancien système national Cartes Bancaires (CB) utilise désormais les cartes au standard EMV et l'ensemble du parc des terminaux de paiement électroniques (ou TPE) a été aménagé.
Principales caractéristiques :
- interopérabilité internationale (quel que soit l'émetteur de la carte et quel que soit le terminal de paiement) ;
- vérification et chiffrement de la clé personnelle par la puce ;
- gestion plus ouverte de plusieurs applications sur la carte : débit/crédit, points de fidélité, porte-monnaie électronique, authentification forte.
Avantage de l'EMV
Le standard international EMV spécifie l'interopérabilité entre les cartes EMV à microprocesseurs (cartes à puces) et les terminaux de paiement EMV à travers le monde. Le passage à EMV sur les cartes de paiement apporte les deux avantages suivants :
- amélioration de la sécurité (entraînant une réduction de la fraude) ;
- un contrôle plus précis pour les transactions par carte bancaire « hors ligne » (c'est-à-dire sans demande d'autorisation bancaire).
L'un des objectifs initiaux des spécifications EMV était de permettre le déploiement de cartes « multi-applicatives », c'est-à-dire que plusieurs applications peuvent tenir sur une seule et même carte, par exemple :
- une application « débit » pour débiter le compte courant ;
- une application « crédit » pour débiter la réserve de crédit associée distincte du compte courant ;
- un porte-monnaie électronique (Moneo, etc.).
Le choix de l'application peut être effectué, soit de manière automatisée (c'est-à-dire sans intervention du porteur, en paramétrant l'application qui sera prioritaire), soit en demandant le choix au porteur (par exemple, « comptant » ou « crédit »).
Les spécifications EMV apportent une très nette amélioration de la sécurité pour les transactions par carte à puce par rapport aux transactions par piste magnétique, où la seule sécurité dans ce cas reste uniquement le contrôle de la signature du titulaire et une inspection visuelle de la carte (pour vérifier la présence de l'hologramme, la cohérence des numéros...). L'EMV permet l'utilisation d'un code PIN et des algorithmes cryptographiques tels que DES, Triple-DES, RSA et SHA afin de permettre à la carte et au terminal de s'authentifier mutuellement. Ces opérations cryptographiques prennent relativement peu de temps. Elles peuvent être complétées par une demande d'autorisation bancaire (systématique à l'étranger). Le renforcement de la protection contre la fraude a permis aux banques et émetteurs de cartes de crédit de « transférer les responsabilités » vers les commerçants. Ceux-ci sont maintenant responsables (depuis le en Union Européenne) de toute fraude qui résulte de transactions sur les systèmes qui ne sont pas compatibles avec les spécifications EMV.
Bien que n'étant pas la seule méthode d'authentification possible, la majorité des implémentations de cartes et terminaux de paiement EMV exigent la saisie d'un code PIN (code confidentiel), au lieu ou en plus de la signature du reçu papier. À noter, l'obligation de saisie du code PIN dépend de la configuration de la carte et des terminaux. À l'étranger, il sera peut-être simplement demandé de signer. En France, pour les transactions supérieures à 1 500 €, les deux modes d'authentification sont obligatoires.
Commandes EMV
La spécification EMV s'appuie sur la norme ISO/IEC 7816 pour les échanges entre le lecteur et la carte. En particulier, la partie 3 de la norme définit les protocoles de transmission pouvant être utilisés pour les échanges entre le lecteur et la carte à puce en mode contact, tandis que la partie 4 définit le format des échanges au niveau applicatif, basé sur les APDU. Le lecteur est maître du dialogue: il émet les commandes auxquelles la puce répond après traitement.
L'EMV utilise les commandes suivantes (normalisées ou spécifiques):
- application block ;
- application unblock ;
- card block ;
- external authenticate (7816-4) ;
- generate application cryptogram ;
- get data (7816-4) ;
- get processing options ;
- internal authenticate (7816-4) ;
- PIN change / unblock ;
- read record (7816-4) ;
- select (7816-4) ;
- verify (7816-4).
Les commandes types « 7816-4 » sont définies par la norme ISO/IEC 7816-4. Ces commandes sont utilisées par différents types de cartes à puce comme les cartes SIM pour la téléphonie mobile.
Transaction EMV
Une transaction EMV s'effectue selon ces étapes :
- sélection de l'application EMV (CB, VISA...) ;
- initialisation de l'application ;
- lecture des données de l'application ;
- lecture des restrictions d'utilisation ;
- authentification des données hors ligne ;
- identification du porteur (Code confidentiel, Signature...) ;
- gestion du risque côté terminal ;
- analyse du risque et action terminal (Paiement accepté hors ligne, refusé hors ligne, Autorisation requise) ;
- première analyse du risque côté carte ;
- demande d'autorisation en ligne (le cas échéant) ;
- deuxième analyse du risque côté carte ;
- exécution du script final émetteur (mise à jour des paramètres carte, blocage...).
Sélection de l'Application EMV
La norme ISO/IEC 7816 définit un processus de sélection de l'application. Cela permet à la carte de disposer d'applications totalement différentes, par exemple CB EMV, Moneo, ou même une application non bancaire, « privative ». L'EMV permet de déterminer le type d'application présente dans la carte. Tous les émetteurs de cartes (Visa, MasterCard, etc.) doivent avoir un identifiant d'application qui leur est propre. La méthode de sélection de l'application tel que défini dans les spécifications EMV peut toutefois poser des problèmes d'interopérabilités entre la carte et le terminal.
Le champ application identifier (AID) est utilisé pour identifier l'application présente dans la carte. Les 5 premiers octets de ce champ permettent d'identifier l'émetteur (RID : registered application provider identifier) tel que défini par la norme ISO/IEC 7816-5. Il est suivi par le champ PIX (proprietary application identifier extension) qui permet d'identifier l'application propre à l'émetteur (Visa debit, visa electron de chez Visa par exemple). L'AID figure sur l'ensemble des reçus de carte de paiement EMV.
Emetteur | RID | Produit | PIX | AID |
---|---|---|---|---|
Visa | A000000003 | Visa classique (débit ou crédit) | 1010 | A0000000031010 |
Visa Electron | 2010 | A0000000032010 | ||
V PAY | 2020 | A0000000032020 | ||
Plus (Carte de retrait seulement) | 8010 | A0000000038010 | ||
MasterCard | A000000004 | MasterCard classique (crédit ou débit) | 1010 | A0000000041010 |
MasterCard | 9999 | A0000000049999 | ||
Maestro | 3060 | A0000000043060 | ||
Cirrus (Carte de retrait seulement) | 6000 | A0000000046000 | ||
MasterCard | A000000005 | Maestro délivrée uniquement au Royaume-Uni | 0001 | A0000000050001 |
American Express | A000000025 | American Express | 01 | A00000002501 |
LINK (UK) ATM network | A000000029 | Carte de retrait | 1010 | A0000000291010 |
CB (France) | A000000042 | CB (Carte bancaire française de paiement et retrait) | 1010 | A0000000421010 |
CB (Carte bancaire française de paiement et retrait, à autorisation systématique) | 2010 | A0000000422010 | ||
CB (Carte bancaire française de retrait seul) | 3010 | A0000000423010 | ||
CB (Carte bancaire française de paiement seul) | 4010 | A0000000424010 | ||
CB (Carte bancaire française de paiement seul, à autorisation systématique) | 5010 | A0000000425010 | ||
JCB | A000000065 | Japan Credit Bureau | 1010 | A0000000651010 |
Dankort (Danemark) | A000000121 | Debit card | 1010 | A0000001211010 |
CoGeBan (Italie) | A000000141 | PagoBANCOMAT | 0001 | A0000001410001 |
Discover | A000000152 | Diners Club/Discover | 3010 | A0000001523010 |
Banrisul (Brésil) | A000000154 | Banricompras Debito | 4442 | A0000001544442 |
Saudi Payments Network (Arabie saoudite) | A000000228 | SPAN | 1010 | A00000022820101010 |
Interac (Canada) | A000000277 | Carte de débit | 1010 | A0000002771010 |
Discover Card | A000000324 | ZIP | 1010 | A0000003241010 |
UnionPay | A000000333 | Debit | 010101 | A000000333010101 |
Credit | 010102 | A000000333010102 | ||
Quasi Credit | 010103 | A000000333010103 | ||
Electronic Cash | 010106 | A000000333010106 | ||
Zentraler Kreditausschuss (Allemagne) | A000000359 | Girocard | 1010028001 | A0000003591010028001 |
Euro Alliance of Payment Schemes (Italie) | A000000359 | PagoBANCOMAT | 10100380 | A00000035910100380 |
Verve (Nigeria) | A000000371 | Verve | 0001 | A0000003710001 |
The Exchange Network ATM Network | A000000439 | Carte de retrait | 1010 | A0000004391010 |
RuPay (India) | A000000524 | RuPay | 1010 | A0000005241010 |
GIM-UEMOA | A000000337 | RETRAIT | 01 000001 | A000000337301000 |
Huit pays en Afrique de l'Ouest | STANDARD | 01 000002 | A000000337101000 | |
Benin, Burkina Faso, Côte d'Ivoire | CLASSIC | 01 000003 | A000000337102000 | |
Guinée-Bissau, Mali, Niger | PREPAYE ONLINE | 01 000004 | A000000337101001 | |
Sénégal, Togo | PREPAYE POSSIBILE OFFILINE | 01 000005 | A000000337102001 | |
PORTE MONNAIE ELECTRONIQUE | 01 000006 | A000000337601001 | ||
GIMAC | A000000656 | Carte de débit | 1010 | A0000006561010 |
ПРО100 (Russie) | A000000432 | Universal Electronic Card | 0001 | A0000004320001 |
Edenred | A000000436 | Ticket Restaurant (Belgique) | 0100 | A0000004360100 |
Sodexo | D250000012 | Ticket Restaurant (France) | 1010 | D2500000121010 |
Apetiz | D250000012 | Ticket Restaurant (France) | 2000 | D2500000122000 |
Initialisation de l'Application EMV
Le terminal envoie à la carte la commande get processing options. Après l'envoi de cette commande, le terminal fournit à la carte l'ensemble des informations dont elle a besoin et figurant dans une liste d'objets nommée processing options data objects list (PDOL). Cette liste est envoyée au terminal lors de la sélection de l'application. La carte envoie ensuite la liste des fichiers et enregistrements que le terminal doit lire (AFL : Application File Locator)
Sécurité informatique et carte EMV
Depuis , il est possible d'utiliser sa carte de type EMV afin de s'authentifier de manière forte. Le nouveau protocole CAP (Chip Authentication Protocol) permet de générer un One Time Password.