Cryptogramme visuel

Cryptogramme visuel désigne en général les trois derniers chiffres présents au dos d'une carte de paiement.

Code de sécurité au dos de cartes de paiement MasterCard, Visa et généralement composé d'un groupe de trois chiffres à droite de l'espace dédié à la signature.

Sur les cartes American Express, le code de sécurité est imprimé, non gaufré en haut à droite sur le devant de la carte.

Le terme le plus couramment utilisé est cryptogramme visuel^[1], mais on trouve également les termes code de sécurité (card security code ou CSC en anglais), ou CVV (pour Card Verification Value), ou CVC (pour Card Verification Code), Verification Code (V-Code ou V Code), ou Card Code Verification (CCV). Tous ces termes désignent des procédés servant à la sécurisation des transactions par carte de paiement et fournissant une protection accrue contre l'utilisation frauduleuse des cartes de paiement.

Types de codes

Il existe différents types de codes de sécurité :

• CVV1 ou CVC1, est chiffré dans la bande magnétique de la carte et est utilisé pour les transactions en personne. Le but de CVC1 ou CVV1 est de garantir que les données enregistrées sur la bande magnétique de la carte sont valides et ont été générées par la banque émettrice. Cette valeur est présentée dans chaque transaction et est vérifiée par la banque ayant émis la carte. Les limites du CVC1 ou CVV1 est que si la totalité de la bande magnétique est copiée, la carte peut être dupliquée par exemple par l'employé indélicat d'un magasin à l'aide d'un outil électronique (skimming en anglais).
• CVV2 ou CVC2 ou CVx2. Ce code de sécurité est souvent demandé par les commerçants afin de sécuriser une transaction à distance, que ce soit par internet, courrier, fax ou téléphone. Dans de nombreux pays d'Europe occidentale, à la suite d'une augmentation des tentatives d'utilisation frauduleuse de cartes de paiement, il est à présent obligatoire de fournir ce code^{[réf. nécessaire]} lorsque la transaction est à distance
• Les cartes de paiement sans contact fournissent leurs propres codes générés électroniquement, tels que le iCVV ou CVV dynamique.^{[réf. nécessaire]}

Ces codes ne doivent pas être confondus avec le numéro de carte de crédit généralement apparaissant en relief sur la carte de paiement. Le numéro de carte de crédit lui-même fait l'objet d'un système de validation propre avec l'algorithme appelé formule de Luhn qui sert à déterminer si le numéro de la carte est valide.

Ces codes ne doivent pas non plus être confondus avec le code PIN ou le mot de passe 3-D Secure connu sous le nom "MasterCard SecureCode" ou "Verified by Visa". Ces codes ne sont pas imprimés ou mis en relief sur la carte mais sont entrés manuellement au moment de la transaction.

Emplacement du code

Le code de sécurité (CVV2 ou CVC2) est un groupe de 3 ou 4 chiffres imprimés au dos de la carte de paiement à droite de l'emplacement réservé à la signature, mais il n'est pas encodé dans la bande magnétique.

• Les cartes de paiement MasterCard, Visa, Diners Club, Discover (États-Unis), et JCB (Japon) ont un code de sécurité à 3 chiffres. Ce code n'est pas en relief comme le numéro de la carte de paiement, il s'agit toujours des 3 derniers chiffres imprimés au dos de la carte à droite de l'emplacement réservé à la signature. Les nouvelles cartes de crédit Visa et MasterCard ont ce code dans un emplacement séparé à droite de l'emplacement de la signature, ceci afin d'éviter que les 3 chiffres ne soient raturés par la signature sur la carte. Ces codes ont un nom différent en fonction de l'émetteur de la carte de paiement :
  • "CVC2" (card validation code) chez MasterCard,
  • "CVV2" (card verification value) chez Visa,
  • "CID2" (card identification number) chez Discover (États-Unis).

• Les cartes de paiement American Express ont un code de sécurité à 4 chiffres imprimé au recto de la carte au-dessus du numéro de la carte. Ce numéro n'est pas imprimé en relief comme le numéro de la carte. Ce code est appelé chez American Express :
  • "CID" (unique card code)

Avantages du système

Comme le code de sécurité n'est pas inclus dans la bande magnétique, il n'est en général pas inclus dans une transaction qui a lieu en face à face chez un commerçant. Cependant aux États-Unis, quelques entreprises comme Sears ou Staples exigent ce code.

Pour les cartes American Express en Europe, l'usage du code de sécurité pour les transactions à distance a commencé en 2005. Ceci augmente le niveau de protection pour la banque et le titulaire de la carte, dans le sens où un commerçant mal intentionné ne peut pas simplement capturer les données de la bande magnétique pour les réutiliser dans le cadre d'un paiement à distance ultérieur. Pour cela, le commerçant devrait noter le code CVV2 au moment de la transaction où il souhaite capturer les données de la bande magnétique, ce qui éveillerait les soupçons du titulaire de la carte.

Aux États-Unis, Visa interdit aux commerçants de conserver le code CVV2 après la transaction. Ainsi, même en cas de vol d'un fichier de transactions, les codes CVV2 n'y figurant pas, les voleurs ne pourront pas utiliser les numéros de cartes pour effectuer des transactions frauduleuses.

La norme PCI DSS (DSS = norme de sécurité des données (data security standard) et PCI = Conseil des normes de sécurité (Payment Card Industry) interdit également le stockage du code de sécurité ainsi que d'autres données sensibles liées à l'autorisation de la transaction. Ceci, pour toute entité qui enregistre, traite, transmet des données de cartes de paiement^[2].

Fournir un code de sécurité CSC a pour but de vérifier que le consommateur a bien la carte en sa possession. Connaître ce code prouve que le consommateur a vu la carte. À ce jour, aucun logiciel permettant de "craquer" ce système n'est connu.

Limites

• L'usage du code de sécurité ne protège pas contre les techniques d'hameçonnage (en anglais, phishing), dans lesquelles on persuade le titulaire de la carte d'entrer son code de sécurité ainsi que les autres données de sa carte sur un site qui, en fait, est faux. L'augmentation de l'hameçonnage a réduit l'efficacité du code de sécurité en tant que procédure anti-fraude. Il existe également des fraudes dans lesquelles l'auteur de l'hameçonnage a déjà obtenu le numéro de carte de l'utilisateur (par exemple en piratant la base de données d'un commerçant) en leur envoyant ces données volées pour leur donner un faux sentiment de sécurité avant de leur demander de remplir un formulaire demandant le code de sécurité qui n'était pas enregistré dans la base de données volée^[3].
• Comme le code de sécurité ne doit pas être enregistré par le commerçant (après que la transaction pour laquelle le code de sécurité a été utilisé soit autorisée et terminée), un commerçant qui a besoin d'utiliser régulièrement une carte pour un abonnement n'est pas capable de fournir ce code de sécurité après la transaction initiale.
• Certains fournisseurs de cartes n'utilisent pas encore le code de sécurité - même si MasterCard et Visa ont respectivement commencé en 1997 et en 2001. Cependant, les transactions sans code de sécurité ont plus de chances d'être soumises à des contrôles anti-fraude plus poussés, et les transactions frauduleuses sans code de sécurité ont plus de chances d'être résolues en faveur du titulaire de la carte.
• Il n'est pas obligatoire pour un commerçant de demander le code de sécurité pour effectuer une transaction, par conséquent une carte aura toujours le risque d'être utilisée frauduleusement si son numéro est entre les mains de l'auteur d'un hameçonnage.

Sécurisation par le titulaire de la carte

La connaissance du cryptogramme visuel, jointe à la connaissance du numéro à 16 chiffres figurant au recto de la carte bancaire, permet au propriétaire de la carte, mais aussi à toute personne tierce, y compris délinquante, d'effectuer des achats en ligne depuis le compte bancaire du titulaire.

Il est donc conseillé d'apprendre par cœur ce cryptogramme avant de le faire disparaître par un léger « grattage » avec la pointe d'un couteau, d'une épingle ou d'un compas, avec obligation de ne pas dégrader la puce informatique ni la piste magnétique.^{[réf. nécessaire]}

Génération des codes de sécurité des cartes

Les valeurs des codes CVC1, CVV1, CVC2 et CVV2 sont générées lorsque la carte est créée. Ces valeurs sont calculées en chiffrant le numéro de carte (PAN, Primary Account Number en anglais), la date d'expiration et le code de service avec une clé de déchiffrement (souvent appelée Card Verification Key ou CVK en anglais) seulement connue de la banque émettrice de la carte, puis en convertissant au format décimal le résultat^[4],[5].

Cartes à cryptogramme dynamique

Fonctionnement

En 2015, des cartes à cryptogramme dynamique ont fait leur apparition sur le marché. Le cryptogramme statique, imprimé au verso de la carte, est remplacé par un mini écran e-paper intégré dans la carte, capable d'afficher trois ou quatre chiffres. Le cryptogramme est affiché de façon permanente mais change automatiquement, typiquement toutes les 20 minutes : il est calculé par une puce alimentée par une mini-batterie ultra-mince, les deux intégrées également au cœur de la carte.

Conséquences prévisibles pour les utilisateurs

Pour les personnes ayant une vue correcte

Cette technologie ne change pas les habitudes d'achat, ne nécessite l'installation d'aucun plugin sur le navigateur, et fonctionne de façon transparente sur les sites marchands existants. Ce type de carte permet de lutter efficacement contre la fraude en ligne : si les informations de la carte sont volées (notamment par photo recto/verso de la carte par un point de vente indélicat^[6]), elles deviennent inutilisables rapidement puisque le cryptogramme change régulièrement.

Pour les personnes déficientes visuelles

En l’état, un tel dispositif serait totalement inaccessible^[7] aux personnes aveugles ou très malvoyantes (soit environ 1 300 000 personnes en France^[8]) qui se trouveraient ainsi exclues des possibilités d’achat en ligne auxquelles elles ont aujourd’hui largement recours.

Les expérimentations en cours

Plusieurs banques ont annoncé^{[9],[10],[11],[12]} lancer des pilotes sur cette technologie en 2015 et visent des déploiements en 2016. La technologie est proposée par les sociétés françaises Oberthur Technologies ("Motion Code") et Gemalto ("DCV").

Notes et références

1. Sondage Trombi.com au sujet du mot utilisé par les français pour désigner les 3 chiffres au dos de leur carte de paiement.
2. http://fr.pcisecuritystandards.org/_onelink_/pcisecurity/en2frfr/doc/pci_dss_v1-2.pdf
3. Urban Legends Reference Pages: Visa Fraud Investigation Scam
4. (en) « z/OS Integrated Cryptographic Service Facility Application Programmer’s Guide », IBM, mars 2002, p. 209
5. (en) « z/OS Integrated Cryptographic Service Facility Application Programmer’s Guide », IBM, mars 2002, p. 258
6. « Le serveur détournait les cartes bancaires L'employé peu scrupuleux détournait les numéros de cartes bancaires des clients de l'établissement et relevait le cryptogramme avant de revendre à ses copains les coordonnées qui leur permettaient ensuite de faire des achats sur le Net à peu de frais. »
7. Vers une carte bancaire à cryptogramme dynamique pour moins d’accessibilité « Copie archivée » (version du 23 juillet 2018 sur Internet Archive)
8. Cécité, malvoyance: les données sur le site de l’Association Valentin Haüy au service des aveugles et des malvoyants
9. « BPCE teste la carte à cryptogramme dynamique »
10. « BNP Paribas s'intéresse à la carte bancaire à code dynamique »
11. « Société Générale expérimente une carte nouvelle génération ultra sécurisée pour les achats en ligne »
12. (en) « Getin Bank introduces world’s first DCVC card »

Articles connexes

• 3-D Secure
• Carte de paiement

Lien externe

• Cryptogrammes bancaires

• Portail de la sécurité informatique