Mastercard teste une carte de paiement biométrique

Florian Innocente | | 12:37 |  42

Mastercard teste actuellement une carte de paiement qui ressemble à n'importe quelle autre, à ceci près qu'elle contient une zone pour poser un doigt et valider son achat au moyen de son empreinte digitale.

On s'affranchit ainsi de tout code à taper ou d'une signature à faire sur le ticket de caisse, même si ces deux options restent possibles. C'est également un bon moyen pour assurer au vendeur que l'on est bien le titulaire de la carte. Les terminaux de paiement actuels n'ont pas besoin d'être mis à jour et dans un second temps, cette carte fonctionnera aussi sans contact. D'une certaine manière on retrouvera alors le principe d'un paiement type Apple Pay.

Mastercard ne donne pas tous les détails du fonctionnement, si l'on peut par exemple enregistrer plusieurs empreintes — d'après la vidéo d'Engaget on peut en avoir deux différentes. Par contre, il est précisé qu'il faut aller dans son établissement bancaire pour enregistrer ses empreintes qui sont ensuite stockées dans la carte.

Est-ce que l'établissement conserve la trace de cette opération d'enregistrement ? Dans le cadre d'Apple Pay, ces données sont stockées dans le téléphone et aucun protagoniste extérieur n'y a accès.

Cette expérimentation a démarré en Afrique du Sud avec le concours d'une banque et d'une chaîne de supermarchés. Elle a vocation à s'étendre en Europe ainsi qu'en Asie avant la fin de l'année.

Source : Mastercard

Catégorie : 

Les derniers dossiers sur iGeneration

Ailleurs sur le Web


42 Commentaires Signaler un abus dans les commentaires

avatar Kiros 20/04/2017 - 12:48 via iGeneration pour iOS

Ça va pas être simple pour les banques en ligne !!

avatar Kiros 20/04/2017 - 12:49 via iGeneration pour iOS

Ca pas pas être simple pour les banques en ligne !!

avatar r e m y 20/04/2017 - 12:52 via iGeneration pour iOS

Je sens qu'Apple ne va pas aimer... si le système fonctionne, plus aucune Banque ne va vouloir utiliser ApplePay et payer la redevance de la pomme.

avatar CNNN 20/04/2017 - 14:34 via iGeneration pour iOS

@r e m y

Pour quelle raison ? Le but d'Apple Pay est bien de ne plus s'encombrer d'une carte...

avatar debione 20/04/2017 - 15:41

Et le but d'une banque est de limiter les frais des sociétés annexes...

avatar Jack 20/04/2017 - 17:11

@debione

Comme le coût d'ajouter une lecteur d'empreintes a ses cartes, par exemple?

avatar debione 20/04/2017 - 17:29

Sauf que les principales cartes de crédits ne sont pas lié à ta banque, mais sont lié à des sociétés privée Mastercard, American express etc ...A l'exception notable de Visa qui est l'émanation de 20k de société financière...

Et quand bien même il y a une sacré différence entre payer une fois, et payer à chaque transaction... On parle de millions/milliards de différence là... Pas de trois sous par carte...

avatar r e m y 20/04/2017 - 15:47 via iGeneration pour iOS (edité)

@CNNN

Place-toi du point de vue des banques. Ce qu'essaie de leur vendre Apple c'est la sécurité des transactions grace à touchID, justifiant la commission à payer.
Si les cartes bancaires embarquent directement un système aussi sécurisé, pourquoi accepteraient-elles les conditions d'Apple pour adopter ApplePay?

Quant à nous utilisateurs.. c'est pas demain la veille qu'on pourra sortir sans emporter sa carte bancaire. Trop de cas où il faut la sortir pour pouvoir payer malgré ApplePay ou AndroidPay sur son smartphone.

avatar NikoLeGaulois 20/04/2017 - 20:29 via iGeneration pour iOS

@r e m y

Je paye quasiment partout qu'avec ma Watch ;)

avatar r e m y 21/04/2017 - 10:56 via iGeneration pour iOS

@NikoLeGaulois

Tout est dans le "quasiment".... donc tu gardes ta CB sur toi, au cas où. (sans compter que tu as toujours le risque, en arrivant à la caisse, de constater que la batterie de ton iphone est morte)

Si demain une carte bancaire apporte la même sécurité et la même souplesse qu'ApplePay, avec en plus la polyvalence, puisqu'elle permet aussi de payer quand il n'y a pas de Terminal compatible "sans contact" (distributeurs de billets, péage d'autoroute, ... etc), aucun risque d'être à court de batterie, je l'adopterai tout de suite.

avatar Smoky 20/04/2017 - 12:56 via iGeneration pour iOS

"Elle a vocation à s'éteindre en Europe ainsi qu'en Asie avant la fin de l'année."

À s'étendre plutôt que s'éteindre non ??

;)

avatar Giloup92 20/04/2017 - 13:09 via iGeneration pour iOS

@Smoky
Touche le mot pour signaler la faute (fait).

avatar MisteriousGaga 20/04/2017 - 13:00 via iGeneration pour iOS

Très bonne idée ! Le vol de carte devrait être vraiment compliqué grace a ça !

avatar debione 20/04/2017 - 15:43

Le vol non, par contre l'extraction des empreintes de la carte cela va être super ...
M'en vais ouvrir un magasin de vitriol, pour se refaire des empreintes toutes belles toutes neuves quand les siennes se retrouveront sur tous les sites de hackeur...

avatar Jack 20/04/2017 - 17:17

@ debione

Comme tu n'as manifestement aucune idée de comment fonctionne un lecteur d'empreintes digitales, je vais t'expliquer:

Contrairement à une idée largement répandue chez les ménagères de moins de 50 ans, un système biométrique basé sur les empreintes digitales ne prend pas ni ne stocke pas une photo de l'empreinte nécessaire pour activer le système. A la place, et précisément pour éviter qu'on puisse faire un dump du contenu du lecteur pour en extraire les photos des empreintes, seule une série de points, représentant les caractéristiques uniques de l'empreinte sont stockées, sous la forme d'une formule mathématique. Cette formule permet au lecteur de comparer les caractéristiques uniques de l'empreinte qui lui est présentée a la formule mathématique stockée et décider si elles correspondent ou pas.

Brèf, il n'est pas possible d'extraire une photo d'une empreinte d'un système biométrique et il n'est pas non plus possible de reconstituer l'empreinte à partir de la formule mathématique de contrôle.

avatar debione 20/04/2017 - 17:22

Alors de manière triviale si j'étais dans la branche:
Je viens de voler une carte bancaire, j'ai déjà une chance sur deux pour que je puisse directement prendre l'empreinte avec juste un peu de talc fin (et j'aurais même tendance à dire 8 chance sur 10) et un petit pinceau... Un coup d'imprimante 3d sur une matière adéquate et j'ai mon doigt avec ton empreinte...
Vous pensez que je fantasme? Cela a déjà été fait et de manière bien plus triviale, avec une simple photo selfie d'un type faisant le V avec ses doigts (cela marche à plus d'un mètre avec un bon appareil photo, à une trentaine de cm avec celui de l'iphone) https://phys.org/news/2017-01-japan-fingerprint-theft-peace.html

Et là, j'ai même pas parlé d'extraire l'empreinte de l'enclave... Ce serait bien une première qu'une entreprise aie pondu un système informatique inviolable... Il faut bien comprendre que tout ce qui rentre peut sortir.

On a pourtant eu un parfait exemple avec les dernière révélation des Leaks, jusqu'en 2013, tout ce qui était dans un smartphone/ordi, quelque soit la marque ou l'Os était parfaitement extractible par qui avait les outils (et il serait vraiment naïf de croire que seul les gouvernement possèdent ces outils vu que eux-même se font hacker). Il en serait différent 4 ans plus tard? Ma main à couper que dans les 10 années prochaines on apprendra que les programmes actuels que possèdent les agences de renseignement permettent de tout extraire... Il faudrait voir à ne pas oublier, que Intel/M$/Apple/IBM/Google/FB/Mastercard/American express sont toutes des sociétés américaines, patriot act tout ça...

avatar shaba 20/04/2017 - 13:02 via iGeneration pour iOS

Du coup il va falloir recharger sa CB aussi maintenant ?

avatar pierre-artur 20/04/2017 - 13:03 via iGeneration pour iOS

@shaba

Non elle a une petite batterie d'une durée de 2 ou 3 ans... après tu l'a jette...

avatar youpla77 20/04/2017 - 13:13

Si c'est pour du paiement uniquement contact, a priori pas besoin de batterie, on récupère les 5 V du lecteur.
Pour du NFC c'est plus compliqué.
Encore plus compliqué pour un DAB, car une fois la carte avalée, on ne peut plus mettre son doigt (enfin je me comprends).

avatar sachouba 20/04/2017 - 17:48

@youpla77 :
Ce n'est pas plus compliqué pour le NFC, puisque la technologie se base sur la transmission d'énergie sans fil (par une bobine). Une carte bleue est déjà alimentée sans contact, lors d'un paiement par NFC.

avatar RoroB 20/04/2017 - 13:10 via iGeneration pour iOS

En cas de vol de la carte on vole aussi mon empreinte digitale? Ou l'empreinte est protégé comme dans les smartphones?

avatar youpla77 20/04/2017 - 13:11

L'empreinte est dans la puce (Secure Element).

avatar debione 20/04/2017 - 15:44

Donc elle est extractible...

avatar youpla77 20/04/2017 - 15:50

Ton empreinte est-elle extractible de ton iPhone ? Depuis le temps, personne n'a pu le démontrer...

avatar r e m y 20/04/2017 - 15:55 via iGeneration pour iOS (edité)

@debione

Probablement aussi difficilement (ou aussi facilement, selon qu'on est optimiste ou pessimiste) que de l'enclave sécurisée des iPhones.

Il est quand même beaucoup plus simple de te prendre une empreinte du bout de ton doigt... là, l'empreinte est affichée en clair!

avatar Jack 20/04/2017 - 17:21 (edité)

@tout ceux qui posent la question:

NON les systèmes biométriques de lecteur d'empreintes digitales ne stockent pas de photos des empreintes. Ni chez Apple, ni Chez Samsung, ni chez MasterCard. Personne ne les stocke, ce n'est pas comme ça que fonctionne un lecteur d'empreintes digitales.

Faut sortir un peu le dimanche, ça fait plus de 20 ans que cette technologie existe et c'est effarant que sur un blog technophile aussi peu de gens ignorent un truc aussi basique et important.

avatar LeSuisse 20/04/2017 - 13:26

Un des représentants du fabricant m'en avait parlé il y a quelques temps:

Sauf erreur c'est oberthur qui la produit

http://themworld.oberthur.com/fr/quand-la-carte-bancaire-devient-biometr...

Ils ont d'autre nouveautés très intéressantes qui sont en cours de développement. Ce n'est de loin pas la mort des cartes!

avatar youpla77 20/04/2017 - 13:30

Oberthur n'est pas le seul mais ils ont présenté leur carte biométrique au MWC Barcelona.
En l'occurence, il s'agirait plutôt d'une carte Morpho.

avatar backfromcharly 20/04/2017 - 13:30 via iGeneration pour iOS

Ils développent aussi un CVV qui change automatiquement toutes les x minutes. Même principe que les token RSA pour les VPN.
Y'a une minuscule batterie dans la carte.

avatar rikki finefleur 20/04/2017 - 13:34 (edité)

Cela aurait du être fait depuis des années.

Je suis toujours pantois devant la "sécurité" des cartes CB , avec comme apanage final, un code secret au dos de la carte !
Mais manifestement cela ne les dérange pas trop.

avatar youpla77 20/04/2017 - 13:44 (edité)

Le code secret au verso ne sert que pour le online.
Les cartes CB n'ont pas été conçues pour le online d'où leur faible sécurité dans ce domaine.
Il y a bien la e-carte bleue, mais ca a fait un bide car trop complexe à utiliser. A chaque transaction sur Internet, il faut lancer une app spécifique ou aller sur un site web, remplir le montant et tout le tralala, et ensuite ça nous génère un code a ressaisir.

avatar jojo5757 20/04/2017 - 18:06 via iGeneration pour iOS

@youpla77

Tu plaisantes ? Je ne me sert QUE de la e-carte bleue sur internet et ca m'a évité déjà qq sur-facturations et transactions abusives. Bref le top quand on achète sur internet.

avatar youpla77 20/04/2017 - 20:40

Oui c'est bien car on a un PAN différent pour chaque transaction mais pour certains c'est trop complexe :

Je suis sur le site marchand, je remplis mon panier et je veux payer.
Je lance le logiciel e carte bleue de ma banque.
Je tape mon identifiant et mon mot de passe. Je reçois un mot de passe par SMS. Je saisis ce mot de passe dans la fenêtre d'identification de l'application.
Je saisi le montant de ma transaction
Le PAN dynamique est généré + data d'expiration + cryptogramme.
Je copie / colle ces informations dans le site marchand et je valide.

Encore une fois c'est sécurisé, c'est très bien mais trop long / complexe pour beaucoup de personnes.

avatar LeSuisse 20/04/2017 - 14:06 (edité)

Chez Oberthur la carte avec un CVV dynamique existe et est disponible: c'est la Motion Code.

La durée de la batterie et similaire à la durée de validité de la carte, avec un mini afficheur au dos (à la place du CVV imprimé). Du point de vue technique par contre, cela demande quelques investissements de la part des établissements (banques) qui la diffusent.

Les fabricants de cartes (Gemalto, Oberthur, Morpho) sont très dynamiques et essayent de ne pas se laisser dépasser par les autres systèmes de paiement. A suivre...

avatar youpla77 20/04/2017 - 14:53

On peut se rejouir, ce sont des boites françaises (c'est la division française de Gemalto qui s'occupe des cartes nouvelles générations) !!!!

avatar Ducletho 20/04/2017 - 15:35 via iGeneration pour iOS

@youpla77

T'es pas sur le bon site. Ici on n'aime que les us et les entreprises qui ne paient pas d'impôts en france.

avatar sandroazerty 20/04/2017 - 14:51 via iGeneration pour iOS

S'éteindre en Europe et en Asie 😂 une erreur de frappe qui veux en dire long sur le futur du projet 😂

avatar 421 20/04/2017 - 15:58 via iGeneration pour iOS

Piratage dans 10,9,8,7...

avatar rikki finefleur 20/04/2017 - 16:44

youpla77
exact
Mais je crois qu'il peut être temps de se réveiller pour CB
Le paiement en ligne ne date pas de 2 ans, tout de même.
Quelle idée de mettre un code secret au dos de la carte..

avatar youpla77 20/04/2017 - 17:14

C'est pas simple quand on veut payer online... Les gens n'ont pas de lecteur de carte à puce, pas de lecteur NFC (même si on pourrait revenir sur la sécurité du NFC) connecté à leur ordinateur / téléphone, etc...
Comme l'a évoqué LeSuisse, il y a bien des cartes qui génèrent un CVV dynamique (le code au verso de la carte) qui change toutes les 15-30 minutes mais les attaques "modernes" s'en foutent un peu car elles se font en temps réel. Ca limite quand même la casse puisque le code changera tout seul, et le "hackeur" ne pourrait plus utiliser ce code dans 30 minutes. En attendant, il aura pu faire ce qu'il veut.
L'authentification double facteur comme celle utilisée par Apple / Google ou les banques avec le 3D Secure est déjà un grand pas en avant, puisqu'il faudrait également avoir le téléphone de la personne sous la main.
Maintenant, c'est vrai que ça peut être un peu chiant même si c'est plutôt rapide.

Beaucoup d'entreprises et de personnes travaillent sur le sujet ( crois moi ;) ) mais c'est extrêmement compliqué et lent pour faire avancer les choses dans ce domaine. Il y a des freins de tous les côtés. Même Apple avec tous ses moyens financiers / techniques / marketing a du mal à convaincre les banques qui elles mêmes devront convaincre les commerçant de proposer un terminal "compatible" et à jour.

avatar sachouba 20/04/2017 - 17:51

@youpla77 :
"Les gens n'ont pas de lecteur de carte à puce, pas de lecteur NFC"
Si, les smartphones Android sont tout à fait capables de détecter une carte de paiement NFC (on peut même récupérer le code et la date de validité de la carte, ainsi que les derniers paiements réalisés).

avatar ludoe 20/04/2017 - 17:46

Si la sécurité des CB était si importante que ça ... elles auraient déjà évoluées depuis bien longtemps . Dans les faits, il n'y a pas tant de problèmes que ça ... en tout cas, ça coute pas cher au banques ... sinon, elles n'auraient pas laissé nos CB basique en circulation .