Mastercard teste une carte de paiement biométrique
Mastercard teste actuellement une carte de paiement qui ressemble à n'importe quelle autre, à ceci près qu'elle contient une zone pour poser un doigt et valider son achat au moyen de son empreinte digitale.
On s'affranchit ainsi de tout code à taper ou d'une signature à faire sur le ticket de caisse, même si ces deux options restent possibles. C'est également un bon moyen pour assurer au vendeur que l'on est bien le titulaire de la carte. Les terminaux de paiement actuels n'ont pas besoin d'être mis à jour et dans un second temps, cette carte fonctionnera aussi sans contact. D'une certaine manière on retrouvera alors le principe d'un paiement type Apple Pay.
Mastercard ne donne pas tous les détails du fonctionnement, si l'on peut par exemple enregistrer plusieurs empreintes — d'après la vidéo d'Engaget on peut en avoir deux différentes. Par contre, il est précisé qu'il faut aller dans son établissement bancaire pour enregistrer ses empreintes qui sont ensuite stockées dans la carte.
Est-ce que l'établissement conserve la trace de cette opération d'enregistrement ? Dans le cadre d'Apple Pay, ces données sont stockées dans le téléphone et aucun protagoniste extérieur n'y a accès.
Cette expérimentation a démarré en Afrique du Sud avec le concours d'une banque et d'une chaîne de supermarchés. Elle a vocation à s'étendre en Europe ainsi qu'en Asie avant la fin de l'année.
Ça va pas être simple pour les banques en ligne !!
Ca pas pas être simple pour les banques en ligne !!
Je sens qu'Apple ne va pas aimer... si le système fonctionne, plus aucune Banque ne va vouloir utiliser ApplePay et payer la redevance de la pomme.
@r e m y
Pour quelle raison ? Le but d'Apple Pay est bien de ne plus s'encombrer d'une carte...
Et le but d'une banque est de limiter les frais des sociétés annexes...
@debione
Comme le coût d'ajouter une lecteur d'empreintes a ses cartes, par exemple?
Sauf que les principales cartes de crédits ne sont pas lié à ta banque, mais sont lié à des sociétés privée Mastercard, American express etc ...A l'exception notable de Visa qui est l'émanation de 20k de société financière...
Et quand bien même il y a une sacré différence entre payer une fois, et payer à chaque transaction... On parle de millions/milliards de différence là... Pas de trois sous par carte...
@CNNN
Place-toi du point de vue des banques. Ce qu'essaie de leur vendre Apple c'est la sécurité des transactions grace à touchID, justifiant la commission à payer.
Si les cartes bancaires embarquent directement un système aussi sécurisé, pourquoi accepteraient-elles les conditions d'Apple pour adopter ApplePay?
Quant à nous utilisateurs.. c'est pas demain la veille qu'on pourra sortir sans emporter sa carte bancaire. Trop de cas où il faut la sortir pour pouvoir payer malgré ApplePay ou AndroidPay sur son smartphone.
@r e m y
Je paye quasiment partout qu'avec ma Watch ;)
@NikoLeGaulois
Tout est dans le "quasiment".... donc tu gardes ta CB sur toi, au cas où. (sans compter que tu as toujours le risque, en arrivant à la caisse, de constater que la batterie de ton iphone est morte)
Si demain une carte bancaire apporte la même sécurité et la même souplesse qu'ApplePay, avec en plus la polyvalence, puisqu'elle permet aussi de payer quand il n'y a pas de Terminal compatible "sans contact" (distributeurs de billets, péage d'autoroute, ... etc), aucun risque d'être à court de batterie, je l'adopterai tout de suite.
"Elle a vocation à s'éteindre en Europe ainsi qu'en Asie avant la fin de l'année."
À s'étendre plutôt que s'éteindre non ??
;)
@Smoky
Touche le mot pour signaler la faute (fait).
Très bonne idée ! Le vol de carte devrait être vraiment compliqué grace a ça !
Le vol non, par contre l'extraction des empreintes de la carte cela va être super ...
M'en vais ouvrir un magasin de vitriol, pour se refaire des empreintes toutes belles toutes neuves quand les siennes se retrouveront sur tous les sites de hackeur...
@ debione
Comme tu n'as manifestement aucune idée de comment fonctionne un lecteur d'empreintes digitales, je vais t'expliquer:
Contrairement à une idée largement répandue chez les ménagères de moins de 50 ans, un système biométrique basé sur les empreintes digitales ne prend pas ni ne stocke pas une photo de l'empreinte nécessaire pour activer le système. A la place, et précisément pour éviter qu'on puisse faire un dump du contenu du lecteur pour en extraire les photos des empreintes, seule une série de points, représentant les caractéristiques uniques de l'empreinte sont stockées, sous la forme d'une formule mathématique. Cette formule permet au lecteur de comparer les caractéristiques uniques de l'empreinte qui lui est présentée a la formule mathématique stockée et décider si elles correspondent ou pas.
Brèf, il n'est pas possible d'extraire une photo d'une empreinte d'un système biométrique et il n'est pas non plus possible de reconstituer l'empreinte à partir de la formule mathématique de contrôle.
Alors de manière triviale si j'étais dans la branche:
Je viens de voler une carte bancaire, j'ai déjà une chance sur deux pour que je puisse directement prendre l'empreinte avec juste un peu de talc fin (et j'aurais même tendance à dire 8 chance sur 10) et un petit pinceau... Un coup d'imprimante 3d sur une matière adéquate et j'ai mon doigt avec ton empreinte...
Vous pensez que je fantasme? Cela a déjà été fait et de manière bien plus triviale, avec une simple photo selfie d'un type faisant le V avec ses doigts (cela marche à plus d'un mètre avec un bon appareil photo, à une trentaine de cm avec celui de l'iphone) https://phys.org/news/2017-01-japan-fingerprint-theft-peace.html
Et là, j'ai même pas parlé d'extraire l'empreinte de l'enclave... Ce serait bien une première qu'une entreprise aie pondu un système informatique inviolable... Il faut bien comprendre que tout ce qui rentre peut sortir.
On a pourtant eu un parfait exemple avec les dernière révélation des Leaks, jusqu'en 2013, tout ce qui était dans un smartphone/ordi, quelque soit la marque ou l'Os était parfaitement extractible par qui avait les outils (et il serait vraiment naïf de croire que seul les gouvernement possèdent ces outils vu que eux-même se font hacker). Il en serait différent 4 ans plus tard? Ma main à couper que dans les 10 années prochaines on apprendra que les programmes actuels que possèdent les agences de renseignement permettent de tout extraire... Il faudrait voir à ne pas oublier, que Intel/M$/Apple/IBM/Google/FB/Mastercard/American express sont toutes des sociétés américaines, patriot act tout ça...
Du coup il va falloir recharger sa CB aussi maintenant ?
@shaba
Non elle a une petite batterie d'une durée de 2 ou 3 ans... après tu l'a jette...
Si c'est pour du paiement uniquement contact, a priori pas besoin de batterie, on récupère les 5 V du lecteur.
Pour du NFC c'est plus compliqué.
Encore plus compliqué pour un DAB, car une fois la carte avalée, on ne peut plus mettre son doigt (enfin je me comprends).
@youpla77 :
Ce n'est pas plus compliqué pour le NFC, puisque la technologie se base sur la transmission d'énergie sans fil (par une bobine). Une carte bleue est déjà alimentée sans contact, lors d'un paiement par NFC.
En cas de vol de la carte on vole aussi mon empreinte digitale? Ou l'empreinte est protégé comme dans les smartphones?
L'empreinte est dans la puce (Secure Element).
Donc elle est extractible...
Ton empreinte est-elle extractible de ton iPhone ? Depuis le temps, personne n'a pu le démontrer...
@debione
Probablement aussi difficilement (ou aussi facilement, selon qu'on est optimiste ou pessimiste) que de l'enclave sécurisée des iPhones.
Il est quand même beaucoup plus simple de te prendre une empreinte du bout de ton doigt... là, l'empreinte est affichée en clair!
@tout ceux qui posent la question:
NON les systèmes biométriques de lecteur d'empreintes digitales ne stockent pas de photos des empreintes. Ni chez Apple, ni Chez Samsung, ni chez MasterCard. Personne ne les stocke, ce n'est pas comme ça que fonctionne un lecteur d'empreintes digitales.
Faut sortir un peu le dimanche, ça fait plus de 20 ans que cette technologie existe et c'est effarant que sur un blog technophile aussi peu de gens ignorent un truc aussi basique et important.
Un des représentants du fabricant m'en avait parlé il y a quelques temps:
Sauf erreur c'est oberthur qui la produit
http://themworld.oberthur.com/fr/quand-la-carte-bancaire-devient-biometrique/
Ils ont d'autre nouveautés très intéressantes qui sont en cours de développement. Ce n'est de loin pas la mort des cartes!
Oberthur n'est pas le seul mais ils ont présenté leur carte biométrique au MWC Barcelona.
En l'occurence, il s'agirait plutôt d'une carte Morpho.
Ils développent aussi un CVV qui change automatiquement toutes les x minutes. Même principe que les token RSA pour les VPN.
Y'a une minuscule batterie dans la carte.
Cela aurait du être fait depuis des années.
Je suis toujours pantois devant la "sécurité" des cartes CB , avec comme apanage final, un code secret au dos de la carte !
Mais manifestement cela ne les dérange pas trop.
Le code secret au verso ne sert que pour le online.
Les cartes CB n'ont pas été conçues pour le online d'où leur faible sécurité dans ce domaine.
Il y a bien la e-carte bleue, mais ca a fait un bide car trop complexe à utiliser. A chaque transaction sur Internet, il faut lancer une app spécifique ou aller sur un site web, remplir le montant et tout le tralala, et ensuite ça nous génère un code a ressaisir.
@youpla77
Tu plaisantes ? Je ne me sert QUE de la e-carte bleue sur internet et ca m'a évité déjà qq sur-facturations et transactions abusives. Bref le top quand on achète sur internet.
Oui c'est bien car on a un PAN différent pour chaque transaction mais pour certains c'est trop complexe :
Je suis sur le site marchand, je remplis mon panier et je veux payer.
Je lance le logiciel e carte bleue de ma banque.
Je tape mon identifiant et mon mot de passe. Je reçois un mot de passe par SMS. Je saisis ce mot de passe dans la fenêtre d'identification de l'application.
Je saisi le montant de ma transaction
Le PAN dynamique est généré + data d'expiration + cryptogramme.
Je copie / colle ces informations dans le site marchand et je valide.
Encore une fois c'est sécurisé, c'est très bien mais trop long / complexe pour beaucoup de personnes.
Chez Oberthur la carte avec un CVV dynamique existe et est disponible: c'est la Motion Code.
La durée de la batterie et similaire à la durée de validité de la carte, avec un mini afficheur au dos (à la place du CVV imprimé). Du point de vue technique par contre, cela demande quelques investissements de la part des établissements (banques) qui la diffusent.
Les fabricants de cartes (Gemalto, Oberthur, Morpho) sont très dynamiques et essayent de ne pas se laisser dépasser par les autres systèmes de paiement. A suivre...
On peut se rejouir, ce sont des boites françaises (c'est la division française de Gemalto qui s'occupe des cartes nouvelles générations) !!!!
@youpla77
T'es pas sur le bon site. Ici on n'aime que les us et les entreprises qui ne paient pas d'impôts en france.
Piratage dans 10,9,8,7...
youpla77
exact
Mais je crois qu'il peut être temps de se réveiller pour CB
Le paiement en ligne ne date pas de 2 ans, tout de même.
Quelle idée de mettre un code secret au dos de la carte..
C'est pas simple quand on veut payer online... Les gens n'ont pas de lecteur de carte à puce, pas de lecteur NFC (même si on pourrait revenir sur la sécurité du NFC) connecté à leur ordinateur / téléphone, etc...
Comme l'a évoqué LeSuisse, il y a bien des cartes qui génèrent un CVV dynamique (le code au verso de la carte) qui change toutes les 15-30 minutes mais les attaques "modernes" s'en foutent un peu car elles se font en temps réel. Ca limite quand même la casse puisque le code changera tout seul, et le "hackeur" ne pourrait plus utiliser ce code dans 30 minutes. En attendant, il aura pu faire ce qu'il veut.
L'authentification double facteur comme celle utilisée par Apple / Google ou les banques avec le 3D Secure est déjà un grand pas en avant, puisqu'il faudrait également avoir le téléphone de la personne sous la main.
Maintenant, c'est vrai que ça peut être un peu chiant même si c'est plutôt rapide.
Beaucoup d'entreprises et de personnes travaillent sur le sujet ( crois moi ;) ) mais c'est extrêmement compliqué et lent pour faire avancer les choses dans ce domaine. Il y a des freins de tous les côtés. Même Apple avec tous ses moyens financiers / techniques / marketing a du mal à convaincre les banques qui elles mêmes devront convaincre les commerçant de proposer un terminal "compatible" et à jour.
@youpla77 :
"Les gens n'ont pas de lecteur de carte à puce, pas de lecteur NFC"
Si, les smartphones Android sont tout à fait capables de détecter une carte de paiement NFC (on peut même récupérer le code et la date de validité de la carte, ainsi que les derniers paiements réalisés).