Cartes bancaires : de nouvelles sécurités arrivent petit à petit

Félix Cattafesta |

Si vous avez désactivé le sans contact de votre carte bancaire pour des questions de sécurité ou que vous craignez les achats sur Internet, sachez que les banques planchent sur le sujet. Plusieurs nouvelles technologies pour cartes bancaires sont en train d’être déployées afin de s'assurer que le détenteur de la carte est bien derrière chaque achat. En cours de réflexion depuis des années, ces sécurités peinent tout de même à s'imposer dans les établissements bancaires français.

Carte biométrique Visa. Image : BNP Paribas.

Les cartes biométriques sont des cartes classiques dotées d'un lecteur d'empreintes. Au moment du paiement sans contact, il faut positionner son pouce sur un lecteur intégré pour s'identifier. Cette option a deux avantages : elle offre une meilleure sécurité et permet d'aller au-delà de l'habituel plafond de 50 €.

Si cette fonction est pratique, elle reste assez boudée en France alors que les premiers tests remontent à 2017. Seule BNP Paribas la propose sur ces cartes haut de gamme (Visa Premier) pour 24 € par an, en plus des cotisations classiques. C'est intéressant, mais un peu cher : en face, les services de paiement par téléphone (Apple Pay, Google Pay) offrent la même chose gratuitement.

Certaines banques affichent une option de carte bancaire virtuelle : elle permet de générer une carte avec un plafond et une durée de vie personnalisable. On pourra par exemple créer une carte de 50 € valable un mois pour un achat unique, ou une autre à la durée de vie plus longue pour payer son abonnement à un service. Si c'est un peu plus lent que l'utilisation d'une carte classique (il faut se connecter sur le site de sa banque et aller chercher l'option), cela reste un moyen sûr de sécuriser ses achats sur Internet et de ne pas laisser son vrai numéro de carte n'importe où.

Cette fonction est gratuite chez certaines néobanques (Fortuneo, Revolut), mais payante dans les banques traditionnelles (Crédit Mutuel, Caisse d'Épargne, etc.). Elle est encore assez inédite, et les établissements proposant ce système se comptent sur les doigts de la main.

Carte à cryptogramme dynamique. Image : Société Générale.

La sécurité qui semble se démocratiser le plus concerne les cartes à cryptogrammes dynamiques. Celles-ci sont alimentées par une petite pile pour afficher un code à 3 chiffres qui change toutes les heures : la fraude en ligne devient alors beaucoup plus compliquée. Pas d'inquiétude à avoir au niveau de la batterie, qui est prévue pour durer plus longtemps que la durée de validité de la carte. À la Société Générale et chez BNP Paribas, cette sécurité est proposée pour 12 € par an (en plus des cotisations habituelles) sur toutes les cartes de la gamme.

D’après l’Observatoire de la sécurité des moyens de paiement, le taux de fraude des paiements à distance est très légèrement remonté à 0,174 % en 2021, tandis que le taux de fraude au sans-contact a touché son taux historique le plus bas (0,013 %) en 2020.


avatar MacGruber | 

Alors donner mes données biométriques à ma banque , j’ai beau lui être fidèle depuis 25 ans, c’est mort !
Quant à la carte au numéro virtuel,
j’en ai eu une amère expérience.
Un fraudeur a réussi à utiliser le numéro 2x alors qu’il s’agissait d’un paiement unique…

avatar SyMich | 

Vous ne donnez pas plus vos données biométriques à votre banque, que vous ne les donnez à Apple avec touchID ou FaceID.

avatar MacGruber | 

@SyMich

1 : c’est pas la même chose ni surtout le même impact…
2 : c’est un choix comme un autre,
3 : le monde est bourré de contradiction, je n’en suis pas épargné…

avatar SyMich | 

Je parle d'un point de vue technique !
Aucun élément biométrique n'est communiqué à qui que ce soit, que ce soit avec touchID ou FaceID ou avec les procédés mis en œuvre sur ces cartes bancaires à reconnaissance d'empreinte.
Votre empreinte crée un code unique et c'est ce code qui est stocké dans une enclave sécurisée sur la carte. En re appliquant votre doigt, l'empreinte est traduite en code et comparée au code stocké.

Si quiconque accédait au code stocké dans l'enclave (qui n'est enregistré nulle part ailleurs), il ne pourrait pas reconstituer votre empreinte en sens inverse.

avatar r e m y | 

Techniquement, justement... d'où ces cartes tirent-elles l'énergie électrique dont elles ont probablement besoin pour faire ces "calculs" de comparaison d'empreinte???
Elles ont une batterie intégrée? 🤔

avatar Ensearque | 

@r e m y

Je dirai induction ou peut être énergie cinétique, mais surtout énergie cinétique.
La reconnaissance d’empreinte est un algorithme assez simple au final donc avec un petit FPGA on peut arriver à une solution fiable et économe en énergie.

avatar RenaudL | 

@r e m y

Oui. Il y a une batterie dedans. Ainsi qu’une horloge pour celles avec changement de code dynamique

avatar Sindanárië | 

@RenaudL

"Oui. Il y a une batterie dedans."

Non pas toutes. Certaines fonctionnent sans batteries. L’alimentation se fait par le terminal en contact direct dans le lecteur, ou par onde en sans contact.
Après c’est la banque qui choisit le type de carte. Thales propose aux banques les deux modèles.

avatar Sindanárië | 

@r e m y

"Techniquement, justement... d'où ces cartes tirent-elles l'énergie électrique dont elles ont probablement besoin pour faire ces "calculs" de comparaison d'empreinte???
Elles ont une batterie intégrée? 🤔"

L’article>lire=réponse 😏

avatar r e m y | 

Je ne parlais pas des cartes à cryptogramme dynamique (pour lesquelles l'article indique qu'elles ont une pile), mais de celles à lecteur d'empreinte dont parle Symich.

avatar Sindanárië | 

@r e m y

Le capteur biométrique de la carte peut : être alimenté par le terminal de paiement que ce soit par contact ou sans contact et il n’y a pas de batterie dans la carte .
Sinon par batterie intégrée comme pour le CVV dynamique e-ink. Cela dépend des cartes choisies par la banques.
Thales propose les deux types de cartes.

avatar r e m y | 

Merci! 👍

avatar MacGruber | 

@SyMich

Ah ok.

avatar debione | 

@ MacGruber:

En effet, entre donner des données biométrique à une banque qui ne s'occupe que de votre argent, et donner vos données biométrique en plus de tout vos gout personnel voir même votre état de santé à une entreprise étrangère sous patiot act...

avatar RenaudL | 

@MacGruber

Tu ne lui donnes pas. Tu reçois un petit lecteur et tu charges tes empreintes toi même. Elles ne vont pas sur le serveur de ta banque

avatar MacGruber | 

@RenaudL

Ok

avatar Niteor | 

@MacGruber

c’ est étrange : j’utilise l’optiion e carte bleue depuis plusieurs années et aucun souci, d’autant plus que l’on peut fixer un plafond pour chaque paiement. Donc a priori pas de mauvaise surprise même si le no de carte est piraté…

avatar MacGruber | 

@Niteor

Oui,
Et ça a justement été le parcours du combattant pour me faire rembourser

avatar r e m y | 

Mais certains indiquent un montant nettement supérieur à l'achat lors de la création du numéro virtuel. Le numéro reste valide jusqu'à la date de validité choisie et tant que le plafond choisi n'est pas atteint.
Il faut absolument choisir à chaque fois un montant identique au montant à payer (ou arrondi à l'euro juste supérieur) pour que le numéro ne soit plus utilisable (pour cause de plafond atteint dès votre achat)

avatar Amaczing | 

@MacGruber

"Alors donner mes données biométriques à ma banque , j’ai beau lui être fidèle depuis 25 ans, c’est mort !
Quant à la carte au numéro virtuel,
j’en ai eu une amère expérience.
Un fraudeur a réussi à utiliser le numéro 2x alors qu’il s’agissait d’un paiement unique…"

Impossible. Ta banque a les traces donc elle est en tord. C’est le principe même d’une chose concrète.

Chaque numéro de carte généré dans un timestamp a une raison d’être donc tu as une preuve. C’est comme pour un numéro de tel qui n’a pas le même détenteur le 21 juin 2014 et le 14 décembre 2014 !

avatar H2Apps | 

Les montants étant remboursés par la banque en cas d’utilisation frauduleuse d’une carte bleue, j’aimerais vraiment qu’on m’explique pourquoi c’est au consommateur de payer plus cher pour avoir une carte plus sûr… je comprend vraiment pas.

avatar oomu | 

@H2Apps

bonne question

plus concrètement encore, cela explique probablement pourquoi banques et consommateurs ne sont pas très motivés : on vit très bien sans cette sécurité, vu que le système supporte d'éventuellement annuler et rembourser.

avatar SyMich | 

Parce que le coût des assurances que prennent les banques pour couvrir ce risque, est répercuté à l'ensemble de ses clients via les divers frais de gestion.

avatar Paul Position | 

@oomu

Le remboursement n'est pas aussi aisé que vous le prétendez.
C'est souvent un parcours du combattant, où il faut fournir moult documents et justificatifs pour dissuader les utilisateurs qui doivent se faire rembourser des sommes modestes.

avatar MacGruber | 

@Paul Position

Tout à fait

avatar lyonp69 | 

@Paul Position

Jamais eu de soucis. La carte a été piraté deux fois et remboursé en même pas 24h même de très grosses sommes …

avatar BitNic | 

@Paul Position

+1
J'ai vécu avec ma banque une mauvaise expérience de remboursements qui s'est mal passé et a duré + de 3 mois sur un cumul de petits débits (dont à l'étranger) de 3000€ !
Tout ceci malgré la loi, courrier AR, etc... alors les banques... hein...

avatar Sindanárië | 

@BitNic

Quelle banque ?

avatar Amaczing | 

@BitNic

"@Paul Position
+1
J'ai vécu avec ma banque une mauvaise expérience de remboursements qui s'est mal passé et a duré + de 3 mois sur un cumul de petits débits (dont à l'étranger) de 3000€ !
Tout ceci malgré la loi, courrier AR, etc... alors les banques... hein..."

3 mois à l’étranger sans aucun retour en 3 mois ?! Déjà tu bloques ta carte de suite et après tu as des preuves que tu n’es pas 3 mois à l’étranger quand même …

avatar Paquito06 | 

@oomu

“bonne question
plus concrètement encore, cela explique probablement pourquoi banques et consommateurs ne sont pas très motivés : on vit très bien sans cette sécurité, vu que le système supporte d'éventuellement annuler et rembourser.”

Surtout pour le modele anglo saxon (UK, Inde, USA, Australie, Canada, etc.). Aux US, si une transaction frauduleuse apparait sur ma carte de credit, je vais dans l’app de ma banque, j’annule la transaction et je suis immediatement credité. La banque s’occupe de voir avec le commerce (qui doit avoir 30 jours pour checker/negocier avec la banque) et les assurances prennent le relai au cas où. En France, c’est pas la meme sauce, du moins y a dix ans, ca a peut etre changé aujourd’hui?

avatar AppleCard | 

@Paquito06

Par expérience, lorsque j’ai perdu ma CB il y a deux ans, il m’a été demandé de déposer plainte pour être remboursé suite à un usage frauduleux de ma carte.

C’est clairement pas la solution la plus pratique, ce serait bien que les banques procèdent différemment

avatar Niteor | 

@AppleCard

je crois même que maintenant on peut faire opposition via l’appli de la banque provisoirement ou non. A la banque pop notamment

avatar quentinf33 | 

@H2Apps

La banque te rembourse pas systématiquement. Si l’utilisation frauduleuse est issue d’une inattention comme du phishing, c’est foutu.

avatar H2Apps | 

@quentinf33

Dans ce cas ce sera pareille avec les protections supplémentaires.

avatar monsieurg33K | 

Vous êtes sûr que BNP propose les cartes virtuelles ? Je ne trouve pas l’option.

avatar Félix Cattafesta | 
Ils ne proposent pas, j'ai confondu BNP et Caisse d'Épargne 🤐 C'est corrigé.
avatar Insomnia | 

@monsieurg33K

La bnp n’a pas de carte virtuelle pour l’avoir déjà demandé.

avatar Amaczing | 

@monsieurg33K

"Vous êtes sûr que BNP propose les cartes virtuelles ? Je ne trouve pas l’option."

Allume la lumière tu y verras mieux.

avatar Ralph_ | 

Commercant, je n’ai jamais eu autant d’appels de gendarmes pour réquisitionner mes caméras de vidéo surveillance que en 2021 et depuis le passage à 50€…

Comme quoi…

avatar gmart | 

Ma banque m’a proposé le cryptogramme dynamique pour ma carte, mais j’ai refusé car la carte ne pourrait pas être utilisée pour ApplePay.

avatar sofad | 

@gmart

J’en ai une et pas de problème pour Apple Pay

avatar gmart | 

@sofad

Ok, merci. Ce sera pour la prochaine fois.
Ça marche aussi pour PayPal ou d’autres apps où la carte est enregistrée (parkings par ex.) ?

avatar JeremyParis | 

@sofad

Pareil, je l’ai aussi et ça fonctionne très bien avec Apple Pay

avatar pga78 | 

@gmart

Bonjour j’utilise une carte BNPP avec code dynamique et ça marche très bien avec Apple Pay

avatar Captain Bumper | 

@gmart :
moi ça sera oui si c'est au même tarif (négocié) que l'actuelle, mais s'il veut me faire porter la charge du surcoût c'est non. C'est la banque qui se protège, allège ses risques de remboursement et du coup ses cotisations d'assurance, donc aucune raison de payer plus, et encore moins que ça soit moi. Ils vont payer moins et me demander plus, y a-t-il meilleure manière de prendre qqn pour un con?

avatar Oliviou | 

Pendant ce temps la planète crève sous les déchets électroniques…

avatar fousfous | 

C'est le problème de banque, les sécurités de bases sont proposés en option...
Pas étonnant que la confiance soit faible et que les gens veulent juste les relayer comme simple "garde argent".

avatar TiTwo102 | 

« un code à 3 chiffres qui change toutes les heures »
C’est pas gênant pour ajouter une carte à ApplePay ou Paypal ça ?

En tout cas, je vois pas pourquoi un client payerait pour ça. Pour plusieurs raisons :
- Les fraudes au sans contacts sont à la charge de la banque,
- Apple Pay (ou Google Pay) sont plus pratiques et plus sécurisés,
- Pour les achats en ligne, Paypal est au top, avec en plus une gestion en cas de litige.

Bref, tout existe déjà ailleurs, et en mieux.

avatar RenaudL | 

@TiTwo102

Non aucun souci j’ai Apple Pay et PayPal et je dois jamais faire de modification pour le code dynamique. Ça se fait en back office sans embêter l’utilisateur pour lier sa carte à ses comptes

avatar r e m y | 

je vois pas pourquoi un client payerait pour ça. Pour plusieurs raisons :
- Les fraudes au sans contacts sont à la charge de la banque,
- Apple Pay (ou Google Pay) sont plus pratiques et plus sécurisés,
- Pour les achats en ligne, Paypal est au top, avec en plus une gestion en cas de litige.

- tout c'est qui est à la charge des banques est repercuté d’une façon ou d'une autre aux clients de la banque
- ApplePay ne supprime pas la carte bancaire physique et il n'est donc pas idiot de la proteger pour empêcher son utilisation en cas de vol, par exemple.
- PayPal, personnellement, je fais une confiance toute relative quant à l'usage de mes données personnelles qu'ils peuvent faire.

Pages

CONNEXION UTILISATEUR