La sécurité des cartes à puce : pourquoi l’EMV est-il plus sécurisé ?

La sécurité des cartes à puce est la dernière référence en matière de sécurité des cartes bancaires. Cette norme (appelée EMV®, développée et gérée par American Express, Discover, JCB, Mastercard, UnionPay et Visa) inclut une petite puce dans la carte bancaire qui protège les acheteurs contre les transactions frauduleuses.

En raison de l’évolution de la sécurité des cartes bancaires, les banques ont abandonné progressivement les cartes à bande magnétique au profit de ces moyens de paiement plus sûrs et authentifiés. En France, les cartes au standard EMV sont utilisées depuis 2006 et l’ensemble du parc des terminaux de paiement électroniques (ou TPE) a rapidement été aménagé en conséquence. Mais quel est exactement le problème avec les cartes à bande magnétique ? Et pourquoi les cartes à puce sont-elles meilleures ? Il y a un certain nombre de raisons.

Tout d’abord, les cartes à bande magnétique sont assez obsolètes – elles existent depuis les années 60 et utilisent la même technologie que les cassettes. Et étonnamment, les États-Unis sont l’un des derniers pays utilisateurs. L’EMV est devenu le nouveau standard dans la plupart des régions du monde depuis plus d’une décennie (vous l’avez peut-être remarqué en voyageant). Alors, qu’est-ce qui permet exactement aux cartes à puce de lutter contre la fraude ?

Les fonctionnalités de sécurité des cartes à puce

1. L’EMV est conçu pour empêcher la fraude.

Les cartes EMV ont été initialement conçues pour empêcher les transactions frauduleuses qui arrivaient lorsqu’un fraudeur payait avec une carte physique contrefaite. Aujourd’hui les résultats montrent que la technologie des cartes à puce a fonctionné : dans les pays qui ont adopté l’EMV comme norme, certains types de fraude, dont celle de la duplication des cartes, ont considérablement diminué.

2. Les cartes à puce sont vraiment difficiles à cloner.

Les cartes à bande magnétique sont comme leur nom l’indique magnétisées. Lorsque vous les glissez sur un terminal, le processeur de paiement lit leurs champs magnétiques et les fait correspondre aux informations de votre compte bancaire. Le problème est que les données sont statiques, ce qui permet aux fraudeurs de récupérer plus facilement vos informations et de les cloner sur une nouvelle carte. Il existe une technique de fraude, le skimming, que l’on peut traduire en français par « écrémage » qui vise à dupliquer vos informations bancaires, assez facilement et pour une vingtaine d’euros.

Contrairement aux cartes à bande magnétiques, les données sur les cartes à puce sont en constante évolution, ce qui les rend extrêmement difficiles à isoler et à extraire. Pour les pirater, il faudrait que quelqu’un réussisse à entrer dans le circuit de la puce et à manipuler les données pour obtenir vos informations bancaires. D’une part, cette extraction chirurgicale des données est vraiment difficile à réaliser, et d’autre part, il nécessite un ensemble d’équipements de haute technologie pouvant coûter plus d’un million d’euros pour y parvenir (et rare sont les fraudeurs qui disposent d’autant de moyens et de compétences).

3. Les cartes bancaires à puce et à code PIN ont un cryptage sophistiqué.

Les cartes à bande magnétique diffusent les informations bancaires telles quelles dans le terminal de paiement. Square Reader et Square Stand protègent ces informations en les cryptant dès leur réception. Les cartes à puce sont différentes en ce qu’elles ont un cryptage sophistiqué intégré directement dans la puce. Lorsque vous posez votre carte à puce sur le terminal (au lieu de la glisser comme avant), elle communique avec ce dernier dans un langage secret pour s’assurer que c’est bien vous qui payez.

L’EMV et la NFC sont tous deux de bien meilleurs moyens de paiement que les cartes à bande magnétique. En tant que TPE/PME, vous devriez être aujourd’hui équipé pour utiliser ces deux nouvelles méthodes de paiement. Si ce n’est pas déjà fait, vous pouvez vous équiper en commandant le lecteur de carte bancaire sans contact et à puce Square.

Risques liés à la sécurité des cartes à puce

Les cartes bancaires EMV sont une nette amélioration par rapport à leurs homologues à bande magnétique. Mais cela ne signifie pas qu’il faut pour autant totalement baisser la garde. La plupart d’entre elles utilisent une stratégie appelée « puce et signature », ce qui signifie que vous n’avez pas toujours besoin de saisir de code PIN pour terminer une transaction.

Heureusement, tous ces risques peuvent être évités en ajoutant vos cartes bancaires à votre téléphone. Les paiements mobiles comptent aujourd’hui parmi les plus sécurisés dans la mesure où ils ne stockent pas réellement le numéro de vos cartes dans l’appareil. Au lieu de cela, ils utilisent ce qu’on appelle la « tokenisation » pour envoyer des numéros temporaires que le point de vente peut utiliser uniquement le temps de la transaction. Ensuite, le numéro change et ne peut plus être utilisé. De plus, avec les nouveaux smartphones, Apple et Google Pay utilisent la biométrie (vos empreintes digitales) pour s’assurer que vous êtes bien à l’origine de la transaction, ce qui les rend encore plus sécurisés.

Bientôt, vous n’aurez plus le choix que de mettre votre entreprise à jour pour accepter les paiements NFC (sans contact et mobile). La sécurité globale des cartes bancaires sera toujours un sujet à surveiller, mais les nouvelles technologies comme Apple Pay ont permis de faire à nouveau un grand pas en avant.