Passer au contenu

La carte bancaire française migre en renâclant vers le standard EMV

Défini par Europay, Mastercard et Visa, EMV améliore grandement la sécurité et les fonctionnalités de la puce de la carte bancaire française.

La carte bancaire française va-t-elle enfin faire peau neuve ? Tout l’enjeu porte sur sa migration vers la norme internationale EMV (Europay, Mastercard, Visa). Maintes fois repoussé par le Groupement des cartes bancaires depuis son amorce début 1998, ce chantier commence tout juste à prendre forme. L’échéance du basculement complet interviendra dans deux ans, le 1er juillet 2003. Le jeu en vaut la chandelle, car la carte bancaire française reste la carte de paiement à puce la plus utilisée au monde – plus de trois milliards de transactions traitées par an. Cependant, enfantée au cours des années quatre-vingt dans les laboratoires de feu Bull CP8, elle a pris un formidable coup de vieux. Son masque (environnement logiciel) B0′ est incriminé pour son faible niveau de sécurité et son évolutivité fonctionnelle limitée.Par comparaison, EMV a de quoi redorer ce blason terni, notamment en matière d’authentification du porteur, véritable talon d’Achille de la puce B0′. En effet, le code confidentiel saisi par le porteur n’est ni chiffré ni vérifié par la puce. Alors qu’avec EMV, “la banque qui émet la carte fixe les méthodes d’authentification dans la puce grâce à la donnée Cardholder Verification Method List”, explique David Bon, chef de produit monétique pour le cabinet Setib, spécialiste des solutions de paiement. La banque du porteur paramètre ainsi sur la puce le traitement le plus approprié: chiffrement du code, vérification en ligne/hors ligne et signature. En revanche, B0′ et EMV ont en commun d’offrir une authentification statique des données de la carte. Les informations de la puce sont signées par la clé privée de l’émetteur (la banque) pour être authentifiées par le terminal de paiement du commerçant. Ce dernier stocke la clé publique de l’émetteur. Mais EMV va encore plus loin en s’appuyant sur une architecture d’autorités de certification, d’où sa capacité à authentifier simultanément plusieurs applications provenant d’émetteurs multiples. “Chaque terminal EMV contient la clé publique de l’autorité de certification pour chacune des applications qu’il gère. Cela permet à plusieurs applications identifiées par leur AID (Application Identifier Data) de partager un même ensemble de clés publiques d’authentification”, explique David Bon. Pour l’instant, la majorité des cartes EMV en circulation dans le monde ne fait encore appel qu’à la seule application dite de “débit et crédit”. Il n’empêche: à terme, l’architecture décrite par EMV ouvre la voie aux cartes multi-applications – fonctions de fidélisation, porte-monnaie électronique, commerce électronique, etc. Avant d’en arriver là, les obstacles à surmonter ne manquent pas. Pour commencer, la gestion du parc B0′ passe par le déploiement d’un masque hybride pour une phase transitoire. But du jeu : faire cohabiter, jusqu’à la date butoir de la mi-2003, les applications B0′ et EMV sur une même carte à puce. Mais l’attribution par le Groupement des cartes bancaires à Gemplus du développement d’un masque dit communautaire ne fait pas l’unanimité. En réalité, ce dernier, qui pensait prendre la place de Bull CP8, en situation de monopole sur le masque B0′, hérite d’un cadeau empoisonné. Ses concurrents n’ont pas l’intention de lui acheter une licence de ce masque. Oberthur, par exemple, compte développer son propre masque hybride B0’/EMV pour le faire ensuite agréer par le Groupement des cartes bancaires, selon Didier Serodon, directeur de la division bancaire d’Oberthur.Mais le vrai point d’achoppement de cette migration concerne les terminaux de paiement. Le Groupement a spécifié une norme, baptisée CB5. 2. Elle privilégie un schéma d’étanchéité pour l’application de paiement EMV et B0′. “La France est le seul pays au monde à avoir choisi cette voie”, souligne-t-on chez Ingenico, numéro un français des terminaux de paiement. Les constructeurs font face à une double contrainte: développer et faire agréer par le groupement chacune des applications de paiement B0′ et EMV. Celles-ci, dont les fonctions se recoupent à 80%, sont le paiement de proximité, la vente à distance, le “quasi-cash” (crédit prépayé) et la préautorisation (prélèvement sans encaissement). “Hormis le paiement de proximité, les autres applications n’ont pas été développées ou ont peu de chances de voir le jour”, analyse David Bon. En dernier lieu, la migration vers EMV passe aussi par une refonte du réseau de paiement bancaire. “Il faut mettre en place une nouvelle chaîne complète de traitement pour les émetteurs et les acquéreurs”, souligne Didier Serodon. En l’état actuel, le Réseau des cartes bancaires (RCB) s’articule toujours autour d’une technologie Alcatel 8300 vieille d’une quinzaine d’années. Il y a un an, le groupement a opté pour une nouvelle architecture tout IP, baptisée Réseaux de services aux banques. Mais le maître d’?”uvre C&38;S Communication, qui, à l’époque, avait remporté l’appel d’offres, est en difficulté, sa filiale C&38;S Telecom ayant déposé le bilan. Affichant une sérénité à toute épreuve, Cédric Sarazin, directeur des relations extérieures au groupement, ne s’en émeut guère: “C&38;S sera forcément repris et le chantier se poursuivra”, assure-t-il. Dans l’immédiat, le rafistolage du masque B0′ connaît une nouvelle étape. Appelée ici CB5. 1, ce sera la troisième mise à jour en autant d’années ! Les priorités vont au renforcement de la sécurité et à l’adoption de l’euro. L’allongement des clés de signatures de 320 à 768 bits sur la carte B0′, engagé suite à l’expérience de décryptage menée par Serge Humpish et sous la pression de la Banque de France, n’est pas encore achevé.Concernant le passage à l’euro, il s’agit de bloquer les paiements en francs sur les quelque six cent mille terminaux de paiement qui équipent le parc français. Le constructeur Ingenico affirme que plus de 70% de ses deux cent cinquante mille terminaux autonomes sont maintenant à jour. Par contraste, le secteur de la grande distribution, sur lequel le Groupement des cartes bancaires dit avoir une visibilité faible, exploite des parcs de terminaux dit intégrés. Les entreprises de ce secteur entendent aussi rester maîtres de leur chantier et de leur calendrier de migration, préférant attendre le grand saut en avant vers EMV avant d’emboîter le pas à une nouvelle batterie de spécifications intermédiaires.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Samuel Cadogan