L’adoption de la technologie EMV a permis aux émetteurs de cartes bancaires de combattre efficacement la fraude « card present » (avec des cartes de paiement dans des commerces physiques). Par voie de conséquence, la fraude a massivement migré vers les transactions « card non present », principalement en ligne. Selon l’ECB, 60% de la fraude en 2012 en Europe a été réalisée en ligne.
Afin de répondre à cette situation qui préoccupe les émetteurs, les commerçants en ligne et les porteurs de carte, OT lance la première carte de paiement intégrant la technologie dCVV/dCVC de NIDS. Le CVV/CVC ou code de sécurité est un code à trois chiffres imprimé principalement au dos de la carte de paiement, à coté de l’emplacement pour la signature. Il est utilisé comme un élément de sécurité supplémentaire afin de sécuriser les transactions en ligne pour assurer que le détenteur de carte est bien en possession de sa carte.
Grâce à ce produit innovant, le code statique imprimé est remplacé par un mini écran affichant un code qui est automatiquement actualisé selon un algorithme chargé dans une puce embarquée dans le plastique.
Pour le porteur de carte, cette solution est totalement transparente : aucun plug-in à installer sur son navigateur web, aucun bouton à presser, le code apparait toujours au même endroit sur la carte ; le bénéfice principal étant la génération d’un code dynamique et une actualisation périodique.
La fréquence de mise à jour est définie par l’émetteur de la carte, par exemple toutes les heures. Ainsi, en cas de vol des informations contenues sur la carte dont le dCVV/dCVC, celles-ci deviendraient immédiatement obsolètes et les fraudeurs ne pourraient tirer aucune valeur de la revente de ces données sur le « dark net » à des personnes qui les achèteraient pour faire des achats frauduleux en ligne.
Ce nouveau produit est également transparent pour les commerçants en ligne qui n’auront pas à modifier la page de paiement sur leur site web en ajoutant des boutons ou en devant gérer des connectivités spéciales compliquées : le dCVV/dCVC entré par l’acheteur est indiqué sur la page de paiement comme le code de sécurité standard lors d’une transaction classique.
Des échantillons sont déjà disponibles et des pilotes commencent ce dernier trimestre 2014. Les livraisons commerciales commenceront au premier semestre 2015.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
la même techno que ce qui est utilisé par les clés RSA SecurID ? si ce n’est pas le cas, c’est largement inspiré
Même technologie que les tokens One Time Password (OTP), comme les SecurID de RSA par exemple.
C’est pas mal du tout ! QUID de la batterie par contre ?
Par contre, il faudrait que tous les sites marchand vérifient ce code de sécurité (visiblement tous ne le font pas), ou alors refuser la transaction si ce code n’a pas été vérifié.
Cela ne protège pas non plus d’un vol de la carte.
Si le prix de nos chères cartes bancaires n’augmente pas…. j’applaudis des deux mains ! Pour l’utilisateur et les commerçants en ligne c’est simple et efficace (enfin, je présume…). Ca va va peut-être persuader quelques personnes malveillantes de passer à autre chose (avant que l’un d’entre-eux ne casse cette nouvelle protection) ! En tout cas, ça va dans le bon sens pour les consommateurs et les banques, pour une fois !
@Woofy J’imagine que c’est de l’encre electonique et on peut parier sur plusieures annees ou du moins la duree de vie de la carte
« dark net »
Arrêtez avec ça, vous participez au mouvement de diabolisation de la seule partie du réseau encore libre!!!
Il n’y a pas que des voleurs et des pédophiles dans les “darknet” il y a des opposants politiques, des universitaires, des gens tenant à leur vie privée, des gens refusant de voir toutes leurs communication contrôlées.
Ouvrez les yeux le but et de s’en prendre à ce dernier espace liberté!!!!!!!!!
Trsè bonne nouvelle, infiniment plus utile que la puce NFC sur les cartes bancaires. On aimerait effectivement en savoir plus sur la durée de vie de la batterie.
eeuuuh cela veut dire qu’en plus de mon smartphone je dois aussi recharger ma CB le soir?
Comme les cartes bancaires sont changées tous les deux ans, j’imagine qu’ils doivent avoir calculé la taille de la batterie de façon à ce qu’elle survive au moins deux ans.
Moi j’ai une question quand au paiement en 3x ou au prélèvement mensuel basés uniquement sur les cartes bancaires. Ca ne sera plus d’actualité étant donné que le code changera régulièrement. Ex: Spotify que je règle tous les mois par carte sans aucune manipulation. Je vais devoir leur filer un RIB ?
PAS ENVIE !
@irishboy Un site n’est pas censé enregistré le numéro de CB (en France en tout cas). Dans les API fournies par les banques tu ne fais que manipuler des ID de transactions qui ont été préalablement approuvés (ou non) par la banque quand l’utilisateur à saisi son numéro de CB dans l’interface de la banque. Par exemple je gère un site d’enchères ou les gens doivent déposer une caution avant de placer une enchère qui n’est débitée que si l’enchérisseur remporte le lot. Mes clients mettent leur CB sur une page de ma banque (même s’ils ne le voient pas car aux couleurs de mon site) et celle-ci me donne un token valable un certain temps et pour un certain nombre de fois. Quand je veux débiter le client, je n’utilise plus que ce token pour dialoguer avec la banque. A aucun moment je n’ai connaissance du numéro de CB de mes clients.
@Woofy: ma cle RSA (boulot), ca fait plus de 3 ans que je l’ai et elle fonctionne toujours nickel, donc je suis pas inquiet vu que la duree de validité d’une carte bleue actuelle et de 2 ou 3 ans.
Je sais pas vous, mais moi quand j’effectue un paiement en ligne, ma banque me fourni un numero de carte unique avec un montant maximal dessus (que je fixe) et une duree de validite que je fixe egalement… je vois pas en quoi celq est different?! a part que seulement les 3 chiffres du pictogrammes sont modifies…
“un code qui est automatiquement actualisé selon un algorithme chargé dans une puce embarquée dans le plastique” :
Si c’est la carte qui modifie le code, comment la banque sait que le code à 3 chiffres indiqué à la transaction correspond bien à celui du détenteur de la carte au moment de la transaction ?
@mpolo la banque a un programme qui génère exactement la même séquence de chiffres au même moment pour une carte donnée.
@mpolo: J’imagine que la carte génère le cryptogramme en suivant une certaine logique, vu que la banque a connaissance de cet algorithme de génération, elle devrait pouvoir savoir quel sera le code affiché sur la carte à un instant t.