En 2005, c'est 51 millions de cartes bancaires qui étaient en circulation. 46 000 distributeurs (DAB) et plus d'1 million de terminaux (TPV) acceptent la carte bancaire. Toujours en 2005, c'est 5 milliards de paiements pour un total de 240 milliards d'euros qui ont été effectués.

Qu'est-ce qu'EMV ?

EMV est un protocole qui permet l’interopérabilité. Il détermine :

• les types d’applications dont dispose le porteur de la carte,
• le type de cryptographie (façon d'encrypter et décrypter les codes pin),
• le dialogue avec le terminal de paiement (qui n'est qu'un intermédiaire entre la puce et le site central de la banque).

 

 
Contrairement à B0’, les données peuvent être modifiables sur la puce. si la banque veut changer les paramètres, elle en a le droit. Notamment, les limites peuvent être modifiées dynamiquement.

La sécurité des transactions par carte bancaire avec EMV

La sécurité EMV met en oeuvre les principes de contrôle et de cryptage maintenant bien connus à base des certificats et de clés asymétriques.
Suivant le type de carte, de situation et le montant, il existe 2 types de comportement :

• offline : la puce peut décider ou non d'autoriser la transaction dans les limites qui lui ont été fixées.
• online : la puce demande une autorisation à la banque

EMV définit trois modes d’authentification de la carte :

• SDA : Static Data Authentication
  La carte à puce vérifie elle-même le code confidentiel, codé par un mécanisme RSA. Ce système est le plus couramment utilisé.
• DDA : Dynamic Data Authentication
  La puce disposant de son propre moyen de cryptage, elle peut générer un nouveau code à chaque transaction, la rendant ainsi unique.
  Le serveur de la banque doit répondre favorablement à la demande de transaction.
  Ce système devrait permettre de lutter encore plus efficacement contre l'utilisation des "yescards".
• CDA : Combined Data Authentication (Mixte)

Online ou offline ?

Dans la pratique offline, courante en France, les transactions sont stockées sur le terminal de paiement et, le soir, elles sont télécollectées par le serveur de la banque. Aux USA, par contre, pratiquement toutes les transactions s'effectuent online. Les contrôles sont donc réalisés différemment :

• offline : l'identité du porteur, les conditions d'utilisation ne peuvent être vérifiées qu'a priori. L'avantage est de pouvoir réaliser rapidement la transaction, même lorsqu'une liaison permanente avec la banque n'est pas garantie,
• online : on peut s'assurer en interrogeant le serveur de la validité effective de la carte et du montant autorisé.

Aujourd’hui, la décision d’autoriser une transaction en offline dépend entièrement de l'organisme financier qui accepte la transaction (appelé acquéreur) en dessous du plafond commerçant.
L’émetteur de la carte doit par conséquent disposer des moyens lui permettant de contrôler le risque offline.
Dans le cadre de EMV, lorsque toutes les conditions de sécurité sont respectées, c’est la banque émettrice qui est responsable de la transaction et des fraudes qui pourraient se produire, dans le cas contraire, c’est le commerçant qui prend la responsabilité de la transaction.

Passer à EMV

Le basculement vers EMV est lancé depuis fin 2003. Il concerne :

• 50 millions de cartes bancaires CB,
• 45 000 DAB/GAB (Distributeurs Automatiques de Billets/Guichets Automatiques de Banque)
• 1 million de TPE (Terminaux de Paiement Electronique).

C'est bien sûr les nombreux terminaux de paiement, de marques et de modèles très différents, installés dans des commerces de toutes tailles et de toutes natures, qui sont les plus difficiles à faire migrer simplement.
 

 
En France, où l’infrastructure ancienne était déjà bien équipée en B0’, il faut mettre à niveau les cartes bancaires, les DAB, les TPE, mais aussi les applications des banques. Le passage à EMV est donc plus complexe que dans certains pays émergents ou sous-équipés, comme les pays de l’Est, qui, n’étant pas équipés, se sont mis immédiatement à EMV.

Normes et protocoles

Le Groupement des Cartes Bancaires à définit le standard CB5.2 qui rend compatibles les anciennes spécifications B0' encore en vigueur et les spécifications EMV.
Ce standard intègre également PCI PED (Pin Entry Device) qui assure que le code confidentiel du porteur est suffisamment protégé sur un DAB ou un TPE.
D'abord définit par Visa (Visa PED), ce standard a également été adopté par MasterCard sous l'égide de la PCI (Payment Card Industry Alignement initiative), initiative conjointe.

SEPA, SCF, EPC

Le SEPA (Single Euro Payments Area) est une initiative qui regroupe les 25 pays de la zone euro, ainsi que l’Islande, le Liechtenstein, la Norvège, et la Suisse. Pour créer des conditions économiques favorables en Europe, ce projet cherche à normaliser les produits, les services et les tarifs lors des échanges financiers
Le SCF (SEPA Card Framework) est la partie du projet consacrée aux transactions par cartes bancaires. Il doit aboutir à une harmonisation avec EMV, ce qui n'est pas encore acquis, à la fois pour des raisons culturelles (opérateurs financiers vs institutions européennes) et géographiques (monde occidental vs communauté européenne).
C'est l'EPC (European Payment Council) qui a été constitué pour mettre en oeuvre le SEPA.
 
 
Merci à Jean-Michel Schneider, responsable commercial d'ACI Worlwide pour son aide dans la réalisation de cette fiche.