
Le cryptogramme visuel des cartes de paiement s’affiche sur un mini-écran pour plus de sécurité Code à trois chiffres généralement imprimé au dos d’une carte de paiement à côté de la signature, le cryptogramme visuel (appelé également code de sécurité ou CVV/CVC) est utilisé comme un élément de sécurité ...supplémentaire afin de sécuriser les transactions en ligne, histoire de s’assurer que le détenteur de carte est bien en possession de sa carte. Malheureusement, à moins qu’il ait été préalablement effacé par un léger grattage, le cryptogramme peut être récupéré par quiconque vole la carte à puce… Par ailleurs, l'augmentation de l'hameçonnage sur Internet a réduit l'efficacité du code de sécurité en tant que procédure antifraude. Une situation qui préoccupe autant les émetteurs que les commerçants en ligne et les porteurs de carte. La carte de paiement que compte lancer commercialement Oberthur Technologies au cours du premier semestre 2015 pourrait apporter une solution élégante au problème. Le cryptogramme statique imprimé y est en effet remplacé par un écran miniature qui affiche un code qui est automatiquement et dynamiquement actualisé selon un algorithme chargé dans une puce embarquée dans le plastique de la carte. Baptisée dCVV/dCVC, cette technologie a été mise au point par NagraID Security, une société acquise l’été dernier par Oberthur Technologies et passée maître dans la confection de cartes à puce avec écran intégré qui sécurisent les accès au cloud via un mot de passe à usage unique (OTP) ou via des technologies de vérification dynamiques. Pour le porteur de carte, l’approche est totalement transparente puisqu’il n’y a ni plug-in à installer sur un navigateur web ni bouton à presser. Idem pour les commerçants en ligne qui n’auront pas à modifier la page de paiement de leur site Web. Pour les émetteurs de cartes, un serveur spécifique synchronisé avec l’algorithme et les règles d’actualisation définies dans la carte est par contre nécessaire. C’est d’ailleurs l’émetteur de la carte qui définit la fréquence de mise à jour du code dynamique, par exemple toutes les heures. Ainsi, en cas de vol des informations contenues sur la carte dont le dCVV/dCVC, celles-ci deviendraient immédiatement obsolètes et les fraudeurs ne pourraient tirer aucune valeur de la revente de ces données. Selon Oberthur Technologies, des échantillons de cartes avec mini-écran sont d’ores et déjà disponibles et de premiers projets pilotes doivent être mis en place avant la fin de l’année.

Le cryptogramme visuel des cartes de paiement s’affiche sur un mini-écran pour plus de sécurité

Code à trois chiffres généralement imprimé au dos d’une carte de paiement à côté de la signature, le cryptogramme visuel (appelé également code de sécurité ou CVV/CVC) est utilisé comme un élément de sécurité ...supplémentaire afin de sécuriser les transactions en ligne, histoire de s’assurer que le détenteur de carte est bien en possession de sa carte. Malheureusement, à moins qu’il ait été préalablement effacé par un léger grattage, le cryptogramme peut être récupéré par quiconque vole la carte à puce… Par ailleurs, l'augmentation de l'hameçonnage sur Internet a réduit l'efficacité du code de sécurité en tant que procédure antifraude. Une situation qui préoccupe autant les émetteurs que les commerçants en ligne et les porteurs de carte.

La carte de paiement que compte lancer commercialement Oberthur Technologies au cours du premier semestre 2015 pourrait apporter une solution élégante au problème. Le cryptogramme statique imprimé y est en effet remplacé par un écran miniature qui affiche un code qui est automatiquement et dynamiquement actualisé selon un algorithme chargé dans une puce embarquée dans le plastique de la carte. Baptisée dCVV/dCVC, cette technologie a été mise au point par NagraID Security, une société acquise l’été dernier par Oberthur Technologies et passée maître dans la confection de cartes à puce avec écran intégré qui sécurisent les accès au cloud via un mot de passe à usage unique (OTP) ou via des technologies de vérification dynamiques.

Pour le porteur de carte, l’approche est totalement transparente puisqu’il n’y a ni plug-in à installer sur un navigateur web ni bouton à presser. Idem pour les commerçants en ligne qui n’auront pas à modifier la page de paiement de leur site Web. Pour les émetteurs de cartes, un serveur spécifique synchronisé avec l’algorithme et les règles d’actualisation définies dans la carte est par contre nécessaire. C’est d’ailleurs l’émetteur de la carte qui définit la fréquence de mise à jour du code dynamique, par exemple toutes les heures. Ainsi, en cas de vol des informations contenues sur la carte dont le dCVV/dCVC, celles-ci deviendraient immédiatement obsolètes et les fraudeurs ne pourraient tirer aucune valeur de la revente de ces données.

Selon Oberthur Technologies, des échantillons de cartes avec mini-écran sont d’ores et déjà disponibles et de premiers projets pilotes doivent être mis en place avant la fin de l’année.