fr.lutums.net / Comment fonctionnent les cartes de crédit EMV (puce) - Technologie et sécurité

Comment fonctionnent les cartes de crédit EMV (puce) - Technologie et sécurité


Utilisez-vous régulièrement des cartes de crédit? Peut-être avez-vous une carte de crédit de récompenses avec remise en argent préférée qui offre un rendement modeste mais significatif sur chaque dollar que vous dépensez. Ou peut-être utilisez-vous une carte de crédit Travel Rewards pour gagner des points ou des miles qui peuvent être échangés contre des vols gratuits ou à prix réduit, des séjours à l'hôtel ou des locations de voitures.

Que vous soyez un utilisateur habituel d'une carte de crédit dont le portefeuille est rempli de plastique ou un spender judicieux qui garde un seul carré isolé en cas d'urgence, vous avez probablement reçu une correspondance de vos émetteurs sur le passage à EMV (puce) La technologie. Vous avez probablement reçu de nouvelles cartes par la poste, avec de petits jetons en forme de circuit sur la face avant.

Les nouvelles cartes ont toujours des bandes magnétiques (bandes magnétiques), tout comme les versions à bande seulement qu'elles ont remplacées, de sorte qu'elles peuvent être utilisées sur des lecteurs de cartes à l'ancienne qui ne supportent pas les cartes à puce. Mais les émetteurs de cartes, ainsi que les réseaux de cartes de crédit qui facilitent des milliards de transactions par carte de crédit par jour, croient que les cartes à puce représentent l'avenir de la technologie de paiement en plastique.

Qu'est-ce qui n'allait pas avec les vieilles cartes de crédit à bande magnétique? En résumé, ils étaient (et leurs émetteurs) dépassés par les cybercriminels dont les techniques de piratage de plus en plus sophistiquées et audacieuses leur permettaient de voler les numéros de cartes de crédit en toute impunité, générant des violations de données de plus en plus dévastatrices. Ces violations ont causé des problèmes de réputation sérieux et durables pour des détaillants énormes et respectables comme Target et Home Depot, sans parler de la douleur mentale incalculable pour les habitués Joes et Janes pris dans la tourmente.

La fréquence de la fraude par carte de crédit est également stupéfiante. Selon Pymnts.com, les États-Unis sont sans doute l'épicentre mondial de l'épidémie de fraude par carte de crédit. Bien qu'ils ne représentent que 21, 4% de tous les paiements par carte de crédit, les États-Unis voient près de 50% des pertes mondiales de cartes de crédit. Les taux de fraude aux cartes de crédit aux États-Unis ont en fait augmenté au cours des dernières années, les émetteurs d'autres pays ayant opté pour des cartes EMV plus sécurisées.

La cybersécurité est une course aux armements et les incitations à voler des informations financières sont aussi puissantes qu'indéniables. Par conséquent, la technologie EMV n'éliminera pas complètement le vol de carte de crédit ou les violations de données à grande échelle. Pourtant, il est susceptible d'aider un peu. Et il existe d'autres raisons importantes pour les commerçants et les consommateurs d'adopter la technologie EMV, de l'acceptation globale à une plus grande flexibilité dans les environnements à faible connectivité.

Voici ce que vous devez savoir sur la fonctionnalité, l'historique, les avantages et les cas d'utilisation spéciaux de la technologie de carte de crédit EMV (puce).

Technologie de carte de crédit EMV - Comment ça marche et comment l'utiliser

EMV signifie «Europay, MasterCard et Visa». La technologie porte le nom des trois réseaux de cartes de crédit qui ont développé le protocole à l'origine. La version moderne d'EMV est maintenant une norme industrielle mondiale utilisée par la plupart des grands émetteurs et réseaux de cartes de crédit, y compris (surtout pour les consommateurs américains) American Express. La norme EMV est soutenue et contrôlée par EMVCo, un consortium équitable composé de Discover, American Express, MasterCard, Visa, JCB et China UnionPay.

Selon CreditCards.com, d'autres noms communs pour les cartes de crédit EMV comprennent:

  • Cartes à puce
  • Carte à puce
  • Cartes à puce intelligentes
  • Cartes à puce activées par puce
  • Cartes à puce et code PIN
  • Cartes à puce et signature
  • Cartes à puce et à choix
  • Cartes à puce EMV

Peu importe comment on l'appelle, voici comment fonctionne la technologie EMV.

Comment fonctionne la technologie EMV

Les cartes de crédit traditionnelles à bande magnétique sont codées avec des informations de paiement statiques. Lorsqu'une carte magnétique est volée, le voleur peut immédiatement l'utiliser pour effectuer des transactions non autorisées, puis la rejeter sans risque de détection. Le même principe s'applique aux informations de carte volées par les écumeurs de cartes de crédit ou les hacks informatiques qui débloquent des gouffres massifs de numéros de cartes de crédit. Les voleurs peuvent eux-mêmes utiliser ces précieux morceaux de données ou les récolter en les vendant en gros à d'autres mauvais acteurs, y compris des contrefacteurs de cartes de crédit.

Les cartes EMV contiennent une puce informatique qui fonctionne comme un processeur et un émetteur miniature. Contrairement aux cartes de crédit traditionnelles à bande magnétique, les informations contenues sur ces puces sont dynamiques. Chaque nouvelle transaction produit un nouveau code de transaction unique (également connu sous le nom de «jeton») en utilisant les principes de la cryptographie - similaire à l'architecture mathématique complexe derrière les cryptocurrences. Aucun code de transaction n'est répété, de sorte que chaque code devient inutile à la suite de la transaction qu'il représente. Si un voleur sophistiqué volait un code particulier à partir d'un point de vente particulier, le code n'aurait aucune valeur dans le futur, avec ou sans la carte qui l'a créé.

Les informations de carte de crédit EMV peuvent être stockées dans des portefeuilles mobiles, tels que Apple Pay et Android Pay, et utilisées pour effectuer des paiements sans contact mobiles. Même si la puce physique n'est pas lue dans le cadre du processus de paiement mobile, la carte stockée crée néanmoins le même code de transaction unique et sécurisé pour chaque nouvelle transaction.

Capacités de traitement des paiements hors ligne
L'une des principales différences entre les cartes EMV et Magstripe est le calendrier et la nature du processus d'autorisation. L'autorisation de bande magnétique se produit individuellement et sur place, ce qui signifie qu'il faut un téléphone en direct ou une connexion Internet au point de vente.

L'autorisation EMV est plus flexible. Lorsqu'une carte EMV est insérée dans un lecteur de puce, la carte indique essentiellement au lecteur qu'elle est authentique et que la transaction est traitée sans échange de données. Les transactions traitées sont stockées jusqu'à la fin du jour ouvrable, date à laquelle le commerçant se connecte à Internet et autorise les transactions dans un seul lot quotidien. Les commerçants qui opèrent dans des zones éloignées ou à faible connectivité, comme dans les festivals de musique ruraux, apprécient la flexibilité offerte par les capacités de traitement des paiements hors ligne.

Procédures de paiement par carte de crédit EMV

Pour les consommateurs, l'expérience de payer avec une carte EMV est sensiblement différente de l'expérience de payer avec une carte magnétique traditionnelle. Au lieu de glisser rapidement votre carte dans le lecteur, vous insérez (ou «plongez») le côté puce de votre carte dans l'extrémité étroite du lecteur et vous la laissez là pendant la durée du processus d'autorisation. Si votre carte à puce est dotée de la technologie NFC qui permet les paiements sans contact, vous pouvez simplement la maintenir près du lecteur jusqu'à la fin du processus d'autorisation.

Près de la moitié de toutes les cartes EMV émises dans le monde ont des capacités sans contact (ou à double interface). Cependant, les cartes à double interface restent rares aux États-Unis.

Chip-and-PIN contre Chip-and-Choice
Certains systèmes EMV exigent que vous saisissiez un code PIN à quatre chiffres pendant l'autorisation, comme vous le feriez si vous payiez avec une carte de débit. Le système chip-and-PIN est particulièrement répandu à l'étranger. Aux États-Unis, il est plus commun de signer l'écran du PDV ou un reçu imprimé, comme vous le feriez pour une transaction traditionnelle sur bande magnétique. C'est ce qu'on appelle la puce-et-signature.

Il est probable que les émetteurs américains introduiront progressivement le système à puce et code PIN sur une période de plusieurs années, l'objectif ultime étant de mettre une carte à puce et PIN dans tous les portefeuilles à un moment donné dans un avenir modérément éloigné. Au cours de la transition prolongée, les lecteurs de cartes de crédit seront «à puce et choix», ce qui signifie qu'ils accepteront à la fois les transactions avec puce et code PIN et celles avec puce et signature.

Heure de transaction
Parce que les paiements EMV nécessitent un contact constant ou une proximité entre la puce et le lecteur de carte pendant la durée du processus d'autorisation, ils peuvent être assez épuisés. Cependant, selon Stephanie Ericksen, une responsable de Visa qui a fourni des informations de base sur un article du New York Times sur les cartes EMV, la technologie EMV n'est en réalité pas plus lente que la technologie des bandes old school. Cela semble juste plus lent car la carte doit rester dans le lecteur jusqu'à ce que le processus d'autorisation soit terminé. En revanche, le fait de passer une carte de crédit traditionnelle ne prend que quelques instants, ce qui vous permet de retirer votre carte avant la fin du processus d'autorisation.

Selon le Times, le nouveau correctif logiciel de Visa, QuickChip, permet aux consommateurs de retirer des cartes peu de temps après les avoir insérées, la transaction se terminant alors qu'ils retirent leurs cartes et commencent à conclure leurs achats. On ne sait pas quand QuickChip sera adopté, ni dans quelle mesure, mais il est probable que cela aidera à répondre à la perception selon laquelle les paiements EMV sont lents.

Histoire des cartes de crédit EMV

Beaucoup d'Américains sont surpris d'apprendre que la technologie des cartes à puce a été développée dans les années 1980 et a été utilisée à des échelles commerciales pendant des années.

L'histoire précoce et la création de la norme EMV

Les bases techniques pour les cartes à puce ont été posées au début des années 1980, à mesure que la révolution des semi-conducteurs s'accélérait. Les premières cartes à puce disponibles dans le commerce ont fait leurs débuts en France en 1986, et diverses banques ont déployé leurs propres versions à la fin des années 1980. Inquiet de l'aggravation de la fraude par carte de crédit en Europe, le Conseil européen des systèmes de paiement a encouragé les banques et les consommateurs à adopter des cartes à puce.

En 1992, la plupart des lecteurs de cartes français avaient des capacités de lecture de puces et les cartes à puce étaient répandues et assez familières aux consommateurs français. Cependant, il n'y avait pas de norme à l'échelle de l'industrie pour leur utilisation. Cela a créé des problèmes de compatibilité et d'acceptation, en particulier pour les consommateurs étrangers dont les banques d'origine utilisaient des normes de puces différentes (ou pas de puces du tout).

En 1993 et ​​1994, Europay (un important réseau européen de cartes à l'époque) s'est associé à Visa et MasterCard pour créer ce que l'on espérait être une norme mondiale pour les cartes à puce. Philip E. Andreae, alors cadre d'Europay, a déclaré à BankInfo Security que le projet EMV avait trois objectifs principaux:

  1. Atténuation de la fraude : Les membres du consortium ont cherché d'importantes améliorations en matière de sécurité par rapport aux cartes à piste magnétique traditionnelles. A cette époque, la technologie de la bande magnétique a entraîné une aggravation de l'épidémie de fraude par carte de crédit en Europe. C'est parce que les cartes volées pourraient immédiatement être utilisées dans des transactions frauduleuses, et les bandes magnétiques pourraient facilement être copiées par des écumeurs de carte de crédit peu coûteux. Ils se sont installés sur un système d'autorisation dynamique basé sur des puces, qui rendait les cartes volées inutiles et qui ne pouvaient pas être copiées ou imitées dans des circonstances réalistes.
  2. Autorisation hors ligne : À l'époque, les coûts des télécommunications étaient assez élevés en Europe continentale, et des connexions Internet fiables qui pourraient faciliter une autorisation quasi instantanée et peu coûteuse étaient encore à quelques années de repos. Selon Andreae, les commerçants paieraient 0, 30 $ ou 0, 40 $ par autorisation pour appeler la banque du titulaire de la carte et confirmer l'authenticité de la carte. Pour contrôler cette dépense, ils n'autoriseraient pas toutes les transactions - au milieu des années 1990, le taux d'autorisation français était passé à environ 40%, comparativement à 99% ou plus en Amérique du Nord. Les commerçants européens cherchaient un système leur permettant d'effectuer une préautorisation sans passer un appel téléphonique ou se connecter à Internet.
  3. Vérification plus forte : Les membres du consortium ont convenu que les signatures n'étaient pas suffisamment efficaces pour la vérification des titulaires de cartes, en particulier compte tenu du volume croissant de transactions transfrontalières dans une Europe de plus en plus connectée. Ils se sont installés sur un système de code PIN, ce qui a ajouté une couche de vérification (du moins en théorie) que seuls les titulaires de cartes pouvaient fournir et qui ne pouvaient pas être forgés comme des signatures.

En quelques années, la méthode EMV chip-and-PIN est devenue de facto le régime de paiement par carte de crédit en France. Au fil du temps, il s'est répandu dans toute l'Europe, réduisant la fraude et améliorant les résultats pour les commerçants et les consommateurs. Les terminaux de paiement européens restaient rétrocompatibles, avec des lecteurs de bandes disponibles pour les consommateurs qui utilisaient des cartes magnétiques à l'ancienne.

Adoption américaine

Comme le système métrique, EMV a longtemps semblé être une norme mondiale efficace que les États-Unis n'avaient aucun intérêt à adopter. Cela a finalement changé au début des années 2010, lorsque le coût croissant des violations de bandes magnétiques a incité les émetteurs et les réseaux de cartes à agir.

Les principaux émetteurs et réseaux de cartes américains, notamment American Express, Visa, MasterCard et Discover, ont fixé au 1er octobre 2015 la date limite initiale d'adoption des cartes à puce aux États-Unis. Bien que les cartes de crédit à bande magnétique aient continué à fonctionner après cette date, les commerçants ont été fortement encouragés à être mis en place avec des lecteurs de puces d'ici là.

Ils bénéficiaient également d'une incitation financière: le 1 er octobre 2015, date du redoutable «transfert de responsabilité» pour les commerçants, lorsque la responsabilité des transactions frauduleuses en personne était transférée des émetteurs de cartes aux commerçants individuels qui ont initié ces transactions. Étant donné que les paiements EMV sont beaucoup plus sûrs que les paiements par bande magnétique, l'argument en faveur de la substitution était évident. Le changement de responsabilité a frappé les guichets automatiques acceptant les cartes MasterCard en octobre 2016 et touchera les guichets automatiques acceptant les cartes Visa un an plus tard. Les distributeurs de carburant automatisés doivent changer d'ici 2017 pour éviter toute responsabilité.

Selon le Washington Post, le coût total de la transition EMV pourrait dépasser 8 milliards de dollars, en grande partie grâce au coût élevé de la fabrication de cartes à puce sécurisées. Les grands émetteurs avaient les ressources nécessaires pour émettre des cartes EMV tôt, dans certains cas bien avant la date limite du 1er octobre 2015. Les petites banques et les coopératives de crédit ont pris plus de temps.

Dans un avenir prévisible, les lecteurs de cartes américains seront rétrocompatibles. Même si votre banque met des années à émettre des cartes à puce, vous pourrez toujours utiliser des cartes sans puce chez vos marchands préférés. De même, lorsque vous essayez de glisser une carte à puce dans un lecteur compatible vers l'arrière, vous serez invité à l'insérer à la place.

Avantages des cartes de crédit EMV

Compte tenu de l'ampleur de la transition de la bande magnétique à la norme EMV aux États-Unis, il est intéressant d'examiner de plus près certains des principaux avantages des cartes de crédit EMV - vous ne vous demandez pas pourquoi vous devriez utiliser ces nouvelles versions.

1. Aucun téléphone ou connexion Internet requis

Aucune connexion téléphonique ou Internet n'est requise pour autoriser les transactions par carte de crédit EMV. Bien qu'une connexion fiable soit nécessaire pour traiter le paiement, les cartes peuvent être autorisées au point de vente et traitées en lots à la fin de la journée de travail, ou chaque fois que cela est pratique pour le commerçant.

Cet avantage a été conçu à l'origine pour contourner les coûts de télécommunication élevés, mais il est maintenant utile dans des environnements non connectés ou à faible connectivité tels que les marchés extérieurs, les festivals et les zones peuplées avec une infrastructure de communication médiocre. Du point de vue du consommateur, il est bon de ne pas avoir à attendre que les transactions se fassent sur des connexions Internet léthargiques sans garantie qu'elles finiront par passer.

2. La technologie n'est pas nécessairement exclusive

Les nouveaux lecteurs de cartes de crédit sont rétrocompatibles, ce qui signifie qu'ils peuvent lire les puces et les pistes magnétiques avec la même facilité. Ce sera probablement le cas dans un avenir prévisible, de sorte que les consommateurs dont les banques traînent les pieds pour adopter EMV n'ont pas à s'inquiéter de se réveiller un jour pour trouver leurs cartes inutiles.

3. Les transactions de jetons sont plus sûres

Il est difficile de croire que les États-Unis étaient autrefois considérés comme le marché des cartes de crédit le plus sécurisé du monde développé. Alors que d'autres pays adoptaient la technologie EMV, ce discours a basculé, et les États-Unis ont récemment été à la traîne mondiale en matière de sécurité des cartes de crédit. L'adoption de la norme EMV est presque certaine de réduire la fraude par carte de crédit aux États-Unis, du moins à court et à moyen termes. Cependant, dans la lutte éternelle entre fraudeurs et sécurité, il n'est jamais sage de parier contre les fraudeurs.

4. Les cartes à puce sont acceptées partout dans le monde

Avant 2014, la plupart des Américains avaient peu de contacts quotidiens avec les cartes à puce. Ils n'ont vu que des cartes à puce lorsqu'ils sont allés à l'étranger. Entre le début et le milieu de 2010, de nombreux commerçants à l'étranger acceptaient à contrecœur - ou pas du tout - d'accepter des transactions par carte à bande, limitant la capacité des Américains à payer avec leurs cartes de crédit habituelles. Les voyageurs emporteraient plus d'argent pour compenser, augmentant le risque et les conséquences du vol à l'étranger.

La grande majorité des commerçants à l'étranger acceptent les cartes EMV émises aux États-Unis. Selon CreditCards.com, Visa affirme qu'environ 97% des «transactions de cartes Visa US effectuées à l'étranger» ont été acceptées. Si vous transportez une carte à puce à l'étranger, en particulier dans des marchés bien développés et bien voyagés, tels que la zone euro ou l'Australie, il est peu probable que vous ayez trop de problèmes de paiement.

Considérations spéciales pour les transactions avec carte non présente (CNP)

Le plus gros défaut dans l'armure de sécurité des cartes EMV implique des transactions carte non présente (CNP). Les transactions par carte non présentes se produisent lorsque la carte de paiement n'est pas physiquement en présence du commerçant. Des exemples courants incluent les transactions en ligne et par téléphone, où l'utilisateur tape le numéro de la carte dans un champ numérique ou parle le numéro à un employé ou à un système de paiement automatisé.

Dans les transactions sans carte, les puces EMV ne sont pas lues, il n'y a donc aucun moyen de confirmer de façon irréfutable que les cartes sont authentiques et entre de bonnes mains. Cependant, les commerçants peuvent prendre des mesures pour réduire le risque de fraude, en plus d'utiliser des certificats SSL pour protéger la transmission de données sensibles sur Internet.

Trois protocoles d'atténuation de la fraude CNP valent la peine d'être cités:

  1. Logiciel de vérification protégé par mot de passe : Les principaux réseaux de cartes, y compris American Express et Visa, ont commencé à adopter un logiciel de vérification basé sur un mot de passe qui oblige les utilisateurs à entrer des mots de passe uniques à chaque transaction. L'effet de ce système est similaire à celui de l'approche puce et code PIN, qui est la norme par défaut pour les transactions en personne en Europe et dans certains autres marchés. American Express SafeKey et Verified by Visa sont des exemples de logiciels de vérification basés sur un mot de passe. Les commerçants et les détenteurs de cartes sont fortement encouragés à adopter ces mesures, bien qu'il y ait un problème de poule et d'oeuf, car une masse critique de titulaires de carte est nécessaire pour que les commerçants trouvent les mesures valables, et vice versa.
  2. Valeur de vérification de carte (CVV) : La valeur de vérification de carte, ou CVV, est le code à trois ou quatre chiffres sur chaque carte de crédit émise aux États-Unis. Les CVV ne sont pas encodés en jetons de cartes. dans leur possession réelle. Demander aux acheteurs d'entrer leurs codes CVV est le moyen le plus rapide pour les marchands de s'assurer qu'ils ont réellement les cartes qu'ils utilisent.
  3. Service de vérification d'adresse (AVS) : AVS vérifie les adresses entrées par les acheteurs CNP par rapport aux adresses de facturation réelles enregistrées par les émetteurs de cartes. Lorsque les adresses ne correspondent pas de la même façon, les indicateurs rouges sont déclenchés et les transactions peuvent être refusées en conséquence.

Les commerçants en ligne ayant les ressources nécessaires pour mettre en œuvre ces trois protocoles d'atténuation de la fraude sont fortement encouragés à le faire. Les petits fournisseurs opérant sur des plates-formes telles qu'eBay et Etsy n'ont généralement pas à gérer tout le travail technique de mise en œuvre de ces protocoles par eux-mêmes. Ces choses sont prises en charge par les plates-formes elles-mêmes, qui ont naturellement intérêt à ce que les transactions par carte de crédit soient sécurisées et transparentes.

Dernier mot

Selon le New York Times, l'adoption des modes de paiement par téléphone mobile et par téléphone sans contact reste mince. En 2015, seulement 0, 2% de toutes les transactions en personne aux États-Unis concernaient un smartphone. La grande majorité a suivi la méthode traditionnelle - avec un balayage rapide d'une carte de crédit à bande magnétique.

Dans les années à venir, nous savons que ces balayages deviendront de moins en moins fréquents. Ils seront remplacés par le clic moins satisfaisant des cartes de crédit étant inséré dans l'extrémité étroite d'un lecteur.

Ce qui n'est pas aussi clair, c'est si ces clics ont aussi une date de péremption. À mesure que la puissance des smartphones augmente et que la technologie des portefeuilles mobiles s'améliore, il est tout à fait possible que les paiements sans contact mobiles soient l'option de paiement par défaut pour les transactions en personne.

Utilisez-vous des cartes de crédit EMV? Est-ce que vos marchands favoris les acceptent?


6 raisons pour lesquelles votre demande de carte de crédit peut être refusée

6 raisons pour lesquelles votre demande de carte de crédit peut être refusée

Demande d'une carte de crédit est l'un des moyens les plus rapides et les plus faciles à construire votre pointage de crédit - et si vous êtes peu d'argent, une carte de crédit peut vous aider à traverser une situation financière difficile. Cependant, votre enthousiasme pour l'obtention d'une nouvelle carte pourrait s'arrêter brusquement si vous recevez une lettre de refus.Un refu

(Argent et affaires)

Comment obtenir une aide financière d'urgence et de l'aide avec des factures - Ressources gratuites

Comment obtenir une aide financière d'urgence et de l'aide avec des factures - Ressources gratuites

Imaginez que vous êtes fraîchement sorti de l'école. Vous avez décroché votre premier emploi et déménagé dans un appartement de votre choix. Après avoir soigneusement élaboré un budget qui représente chaque dollar de votre salaire, vous pouvez payer vos factures et même mettre un peu d'épargne chaque semaine. Dans l'e

(Argent et affaires)