Cartes bancaires : de nouvelles sécurités arrivent petit à petit

Félix Cattafesta |

Si vous avez désactivé le sans contact de votre carte bancaire pour des questions de sécurité ou que vous craignez les achats sur Internet, sachez que les banques planchent sur le sujet. Plusieurs nouvelles technologies pour cartes bancaires sont en train d’être déployées afin de s'assurer que le détenteur de la carte est bien derrière chaque achat. En cours de réflexion depuis des années, ces sécurités peinent tout de même à s'imposer dans les établissements bancaires français.

Carte biométrique Visa. Image : BNP Paribas.

Les cartes biométriques sont des cartes classiques dotées d'un lecteur d'empreintes. Au moment du paiement sans contact, il faut positionner son pouce sur un lecteur intégré pour s'identifier. Cette option a deux avantages : elle offre une meilleure sécurité et permet d'aller au-delà de l'habituel plafond de 50 €.

Si cette fonction est pratique, elle reste assez boudée en France alors que les premiers tests remontent à 2017. Seule BNP Paribas la propose sur ces cartes haut de gamme (Visa Premier) pour 24 € par an, en plus des cotisations classiques. C'est intéressant, mais un peu cher : en face, les services de paiement par téléphone (Apple Pay, Google Pay) offrent la même chose gratuitement.

Certaines banques affichent une option de carte bancaire virtuelle : elle permet de générer une carte avec un plafond et une durée de vie personnalisable. On pourra par exemple créer une carte de 50 € valable un mois pour un achat unique, ou une autre à la durée de vie plus longue pour payer son abonnement à un service. Si c'est un peu plus lent que l'utilisation d'une carte classique (il faut se connecter sur le site de sa banque et aller chercher l'option), cela reste un moyen sûr de sécuriser ses achats sur Internet et de ne pas laisser son vrai numéro de carte n'importe où.

Cette fonction est gratuite chez certaines néobanques (Fortuneo, Revolut), mais payante dans les banques traditionnelles (Crédit Mutuel, Caisse d'Épargne, etc.). Elle est encore assez inédite, et les établissements proposant ce système se comptent sur les doigts de la main.

Carte à cryptogramme dynamique. Image : Société Générale.

La sécurité qui semble se démocratiser le plus concerne les cartes à cryptogrammes dynamiques. Celles-ci sont alimentées par une petite pile pour afficher un code à 3 chiffres qui change toutes les heures : la fraude en ligne devient alors beaucoup plus compliquée. Pas d'inquiétude à avoir au niveau de la batterie, qui est prévue pour durer plus longtemps que la durée de validité de la carte. À la Société Générale et chez BNP Paribas, cette sécurité est proposée pour 12 € par an (en plus des cotisations habituelles) sur toutes les cartes de la gamme.

D’après l’Observatoire de la sécurité des moyens de paiement, le taux de fraude des paiements à distance est très légèrement remonté à 0,174 % en 2021, tandis que le taux de fraude au sans-contact a touché son taux historique le plus bas (0,013 %) en 2020.


avatar debione | 

@r e m y |

Tu oublies une chose, c'est le renchérissement du à la pratique du sans contact avec Apple Pay... Apple se fait payer, par qui?

Bref, ou quand les gens sous couvert de praticité très contestable, reporte sur tout le monde les frais qu'ils engendrent...

avatar r e m y | 

Effectivement j'oubliais de rappeler que le coût d'ApplePay pour les banques, est également répercuté (de façon opaque) à tous les clients de la banque.

Je me rappelle de longues discussions dans la banque dont je suis administrateur, à l'epoque où ils se demandaient s'ils devaient adopter ApplePay, concernant la meilleure façon de répercuter ce coût... à tout le monde ? Ou seulement aux possesseurs d'iPhone souhaitant souscrire à ApplePay?

avatar DG33 | 

@r e m y

Une banque au bon sens près de chez nous qui a bien tardé ?

avatar r e m y | 

Non😊 une banque qui appartient à ses clients, ça change tout! 😊

(Clients qui ne voulaient pas payer des frais pour quelques bobos souhaitant payer avec leur smartphone, et qui voulaient que ce coût soit à la charge uniquement de ceux qui les généraient... et ce n'était pas seulement les commissions sur chaque paiement, mais également l'investissement initial conséquent pour adapter le SI de la banque.)

avatar TiTwo102 | 

@r e m y

Franchement, croire que les banques vont diminuer d’autres coûts sous prétexte que la sécurité de leur carte sera meilleure, c’est croire au père Noël. Elles vont juste augmenter le prix des dites cartes et essayer de les vendre en jouant sur la peur des gens de se faire voler, et c’est tout.
Pareil pour le coût d’Apple Pay, si demain les banques créent un système similaire, il sera payant en supplément (comme la biométrie chez Visa), sauf qu’au lieu de payer Apple on payera Visa. Ils sont juste deg’ d’avoir raté la digitalisation et essayent de rattraper le coup avec des gadgets du genre (ou en faisant pression sur Apple concernant sa commission, cf. l’actualité récente).

Apple Pay ne supprime pas la carte physique, mais la carte biométrie concerne le plafond du sans contact, qu’Apple Pay a déjà relevé. Après c’est une question de goût, mais je préfère payer avec mon tel, tout simplement parce que des que je peux éviter de me trimbaler mon portefeuille, je le fait (j’attends avec impatience les papiers d’identité dans Wallet, peut-être pour l’iPhone 79 en France).
La carte physique reste indispensable, parce que tout le monde n’a pas ou ne veut pas de portable pour payer, mais dans mon cas c’est une solution de « secours », tout comme c’est le cas sur internet, oú la carte est le « secours » de Paypal (en qui je fais au moins autant confiance qu’à ma banque).

avatar lesurfeurfou | 

Les banques rembourseront tant que le taux de fraude reste faible. Je trouve normal de vouloir sécuriser les transactions. La cyber sécurité reste un enjeu majeur

avatar r e m y | 

Les banques s'assurent pour ce risque. Le coût de l'assurance est repercuté aux clients de la banque.
Si le taux de fraude est faible, le coût de l'assurance est faible, si le taux de fraude augmente, le coût de l'assurance augmentera d'autant.

avatar Captain Bumper | 

@lesurfeurfou : c'est normal de vouloir sécuriser, mais ça l'est moins de faire porter le coût de cette sécurisation directement au client qui accepte de sécuriser sa carte surtout au profit de la banque elle-même : moins de risque de rembourser un achat frauduleux, et moins d'assurance à payer. Ils vont économiser et en parallèle augmenter le prix de la carte, faut vraiment pas avoir froid aux yeux pour prendre les gens pour des cons à ce point.
La moindre des choses serait de faire porter une surprime à ceux qui refuseraient la carte plus sécurisée, comme une sorte de surprime d'assurance, et de diminuer le prix de ceux qui acceptent une carte plus sécurisée et qui protège la banque de remboursement de paiements frauduleux.

avatar debione | 

@Captain Bumper |
Et de faire payer le surcout de la production de la carte à la carte plus chère à produire... Et par la même surtout, faire payer directement tout frais supplémentaires, de façon claire et distincte sur les factures, le prix de la transaction par carte + le prix de la transaction via les systèmes Applepay. Que chacun paye sa merde quoi...

avatar dolbyEX | 

J’espère que la Carte à cryptogramme dynamique ne va pas s’imposer , étant aveugle …

avatar fredsoo | 

Le crypto je l'efface a la lame de rasoir de grand pere...
Je le connais par coeur. Tant que je suis epargné par les trous de memoires ;)
Sinon rien n'empeche de le stocker dans ses mots de passe.
Et la carte sans crypto, celui qui la trouve, ben il sera pas vraiment avancé :)

avatar debione | 

@ fredsoo:

Pourra toujours lui servir pour faire une ligne.... Ça évitera les problèmes au bancomat quand on utilise sa propre carte.

Suis déjà dehors...

avatar bibi81 | 

Et la carte sans crypto, celui qui la trouve, ben il sera pas vraiment avancé :)

S'il est en voiture et sur autoroute il sera au contraire bien avancé puisque ni le crypto ni le code ne sont utilisés pour payer ;)

avatar fredsoo | 

@bibi81

C’est vrai !
Et je n’ai jamais compris pourquoi les autoroutes bénéficient de ce privilège de pouvoir encaisser comme ça.

avatar Paquito06 | 

@fredsoo

“C’est vrai !
Et je n’ai jamais compris pourquoi les autoroutes bénéficient de ce privilège de pouvoir encaisser comme ça.”

Tu imagines le temps qu’il faudrait s’il fallait valider la transaction de bout en bout (authentifier, verifier, etc.), avec la saisie d’un code, ceux qui s’en souviennent pas, etc.? On utilise la bande magnetique et on debite directement, faut que les voitures s’arretent le moins lontemps possible.

avatar Sindanárië | 

Il y’a des sites de commerce en ligne bien connus qui ne vérifie pas le CVV qui se trouve au dos des visa/Mastercard. Ce site vous demande le CVV, vous tapez n’importe quoi, ça fonctionne et la carte est débitée.
Un fraudeur qui aurait détourné seulement le numéro de carte et la date de validité peut donc effectuer les achats en inscrivant n’importe quel code.
Un autre type de fraude : le réel propriétaire de la carte fait les achats conséquents en ayant créé un tout nouveau compte sur le site avec une nouvelle adresse mail, se fait livrer en point relais dans une autre commune , et ensuite dépose plainte et fait opposition à sa banque pour se faire rembourser.
En pratique il sera remboursé de la transaction pour fraude, puisque le dit site n’est pas capable de restituer la bonne signature de vérification, le fameux CVV, un pin, une application, etc

Alors bien sûr ça demande un peu de manigance, mais je vous parle après des tests faits en réel, à la récente époque où je travaillais pour la sécurité des moyens de paiement dans un groupe bancaire.

Maintenant les banques proposent toutes de moyens divers pour sécuriser vos payements en ligne, mais ce n’est pas tellement pour VOUS protéger, c’est surtout pour se protéger elles de remboursements à son détriment. Car si ensuite elles peuvent récupérer les fonds auprès des commerces en ligne, ce n’est pas toujours possible surtout avec des commerces hors du pays de la banque émettrice du moyen de payement.

La fameuse carte au CVV qui se modifie toutes les heures ne résout pas le problème, car ce site et d’autres ne vous demande pas de modifier votre CVV après chaque transactions espacées d’une heure, cela de fait ne sert pas à grand chose.

Actuellement le payement par ApplePay et faceid est un des plus sûr, mais là aussi sur des sites qui ne s’en tiennent qu’au CVV et qui ne le vérifient pas, et tant que ApplePay se basera sur une carte physique c’est pas encore si sécurisé que cela.

avatar bibi81 | 

Un autre type de fraude : le réel propriétaire de la carte fait les achats conséquents en ayant créé un tout nouveau compte sur le site avec une nouvelle adresse mail, se fait livrer en point relais dans une autre commune , et ensuite dépose plainte et fait opposition à sa banque pour se faire rembourser.
En pratique il sera remboursé de la transaction pour fraude

Non parce que l'opposition ne marche pas de le passé. Ou plus précisément la banque demandera un dépôt de plainte au commissariat pour couvrir la période avant l'opposition. Et là ce n'est plus la même histoire...

avatar Sindanárië | 

@bibi81

"Non parce que l'opposition ne marche pas de le passé"

Si tu es capable d’avoir connaissance de la fraude avant qu’elle n’arrive 😂 ça n’a aucun sens ce que tu gribouille

avatar DahuLArthropode | 

@Sindanárië

Je suppose qu’il parle des transactions frauduleuses survenues avant l’opposition. J’ignore s’il a raison sur le fond, mais il suggère que le remboursement est automatique pour les fraudes qui suivent l’opposition, mais exige un dépôt de plainte pour les autres.

avatar Sindanárië | 

@DahuLArthropode

"mais il suggère que le remboursement est automatique pour les fraudes qui suivent l’opposition"

Illogique déjà. Il n’y a pas de remboursement, il n’y a plus de transactions possibles en ce cas 🙄😁

"Je suppose qu’il parle des transactions frauduleuses survenues avant l’opposition"

Les transactions avant plaintes ne sont pas opposables mais remboursables sous conditions à l’utilisation du moyen de payement.

Bref le gugus essaye de m’expliquer mon métier spécifiquement basé sur ce thème, pratiqué pendant 20 ans.
Et si ce grand scientifique de la raison avait effectivement lu1️⃣ et compris2️⃣ que je l’avais précisé à l’origine, il n’aurait pas tenté des se mouvoir encore une fois dans le noir en croyant donner la lumière divine. 😆

1️⃣ (une grande difficulté chez lui à chacun de ses posts)

2️⃣ (notion qui pour lui relève à gravir l’Everest sur les genoux)

avatar DahuLArthropode | 

@Sindanárië

Ah ben oui. Je date de l’époque où on mettait la carte dans un sabot qui prenait l’empreinte sur un papier carbone.

avatar Sindanárië | 

@DahuLArthropode

Et moi des ordinateurs à cartes perforées… bon j’étais gosse mais je m’en souviens bien pour les avoir insérées sous le contrôle des parents🤣

avatar DahuLArthropode | 

@Sindanárië

On mettait le Mitra 125 au rencard l’année où j’ai commencé l’informatique. Mais j’ai appris à manier la souris à des informaticiens dont l’Iris 80 partait à la retraite.

avatar Vetsa | 

@Macg
La mention comme quoi Apple Pay et Google Pay sont totalement gratuit est totalement erronée!!
Après les gens vont penser que parce qu’Apple ou Google ne leur envoie pas de relèves mensuels avec le coût du service que forcément ça l’est.

avatar Sindanárië | 

@Vetsa

Ça tardera un peu, voir ça traînera, mais un jour les banques feront payer l’option au porteur de la carte compatible. C’était déjà dans les cartons 📦 et les cartons sont conservés pas bien loin, bien au chaud..

avatar bibi81 | 

C’était déjà dans les cartons 📦 et les cartons sont conservés pas bien loin, bien au chaud..

Apple/Google n'a-t-il pas inclus dans son contrat l'interdiction de refacturer directement au client ?

avatar Sindanárië | 

@bibi81

Quand toutes les banques auront fait leur entente, ça sera effectif et ferons sauter la clause. Et Apple ne pourra pas grand chose à moins de retirer ApplePay du territoire.

avatar DahuLArthropode | 

@bibi81

Possible. Mais si les banques obtiennent l’obligation pour les constructeurs s’ouvrir leurs fonctions de paiement aux banques, ils pourront tout simplement cesser de proposer Apple Pay et autres Googleries, et ne plus proposer que leurs payliberies.

avatar Sindanárië | 

@DahuLArthropode

Les payliberies (c’est assez drôle d’ailleurs j’aime bien l’expression 🤣) n’ont pas fonctionné et ne seront pas ressorties.
La puissance de pression du réseau interbancaire est de très loin beaucoup plus forte que celle d’Apple.
Les banques pourront toujours dire aux clients d’inclure leur carte dans un Wallet tiers en arguant que leurs transactions seront plus sûres puisqu’elles ne sont plus soumises au passage par les serveurs d’Apple qui n’es pas un acteur du réseau.
Pour faire encore passer la pilule ils pourront toujours aussi ajouter que Apple impose une commission aux banques qu’elles se doivent à un moment de répercuter. Le client ne voudra pas payer à sa banque une commission c’est certain, le nombre d’utilisateurs ApplePay chutera, les banques se retrouveront en position de force. Dans le contexte actuel de remise en cause des commissions reprises par Apple sur l’AppStore, Apple n’as déjà pas la carrure pour résister aux banques, elle tombera de sa position. En plus les banques peuvent bien couper la relation ApplePay sur les cartes de ses clients sans que cela ne produise d’effet de bord sur fonctionnement de la carte du client.
Les clients râleront. La banque expliquera aux clients que Apple imposait des conditions intenables pour ne pas à avoir à les ré facturer au client final. La banque qui n’en est pas à une filouterie près, dira qu’elle à défendue le pouvoir d’achat du client en refusant de le charger un peu plus encore! (Qu’est-ce qu’elles sont braves et prévenantes… 🤣😈).

Autre chose ; La création de cartes à identification par empreintes est déjà une commande des réseaux interbancaires pour reprendre le dessus et à l’avenir supplanter les systèmes mis en place par Google et Apple…

Et puis par ailleurs, autre effet de levier possible: les banques françaises interdisent dans leurs conditions d’utilisation des cartes, l’enrôlement des moyens de payement sur des plateformes intermédiaires qui stockent le moyen de payement et exécutent pour le client le dit payement entre le vendeur et l’acquéreur. Cette clause spécifie que si le client l’effectue malgré cela, il accepte le fait que toutes transactions frauduleuses ne seront pas assurées d’être remboursées quelques soit le cas… et il peut se voir retirer le moyen de payement. (Nombre de clients qui n’ont pas eus de suite favorables aux demandes de remboursement lors de fraudes sur carte parce qu’ils avaient utilisés PayPal).
Alors les banques tolèrent ApplePay qui a donné garantie aux banques dans ce processus d’intermédiaire, et sous la pression des clients…. mais cela reste une tolérance bien fragile. …wait and see!

Ça me rappelle les conditions de facturation des chèques et des tenues de compte. Les grandes banques avaient passées un accord très ancien sous la pression des gouvernements pour ne pas facturer l’émission et le traitement des chèques aux clients, ainsi que les frais de tenue de compte particuliers. A condition de plus de liberté sur les frais de découvert et d’impayés.
Dernièrement les deux derniers gouvernements ont mis un frein sur les plafonds de ces frais. Les banques ont dit : OK. Cela remet en cause les anciens accords et ils ont facturé émissions et traitement des chèques, mais surtout la facturation des tenues de compte alors interdîtes. Les gouvernements ont cedés.
Apple cédera de la même manière…

avatar philolilo | 

Savez vous quand le paiement via Apple Pay sera aussi rapide que le paiement sans contact avec un CB classique, ou que le paiement CB classique ? C’est frustrant de voir “autorisation en cours” alors que la transaction est il me semble bien plus sécurisée à la source.

avatar DahuLArthropode | 

@philolilo

Pour moi, j’ai l’impression que c’est aussi rapide avec le Crédit Agricole sur Apple Pay, alors que c’était interminable avec AuMax. Ça doit dépendre de la banque et des contrôles exigés, ou des indirections multiples (AuMax devant ensuite tirer les sous d’une autre banque).

avatar Sindanárië | 

@philolilo

La transaction n’est un peu plus sécurisée que par l’utilisation de touchid ou faceid, mais pas parce que cela passe par Apple.
La transaction cb normale passe par les canaux interbancaires directement.
La transaction cb ApplePay contourne d’abord par un contrôle sur le serveur ApplePay chez Apple, puis par l’interbancaire traditionnel.
Ce qui fait que c’est plus long.

Pages

CONNEXION UTILISATEUR