Cartes bancaires : de nouvelles sécurités arrivent petit à petit
Si vous avez désactivé le sans contact de votre carte bancaire pour des questions de sécurité ou que vous craignez les achats sur Internet, sachez que les banques planchent sur le sujet. Plusieurs nouvelles technologies pour cartes bancaires sont en train d’être déployées afin de s'assurer que le détenteur de la carte est bien derrière chaque achat. En cours de réflexion depuis des années, ces sécurités peinent tout de même à s'imposer dans les établissements bancaires français.
Les cartes biométriques sont des cartes classiques dotées d'un lecteur d'empreintes. Au moment du paiement sans contact, il faut positionner son pouce sur un lecteur intégré pour s'identifier. Cette option a deux avantages : elle offre une meilleure sécurité et permet d'aller au-delà de l'habituel plafond de 50 €.
Si cette fonction est pratique, elle reste assez boudée en France alors que les premiers tests remontent à 2017. Seule BNP Paribas la propose sur ces cartes haut de gamme (Visa Premier) pour 24 € par an, en plus des cotisations classiques. C'est intéressant, mais un peu cher : en face, les services de paiement par téléphone (Apple Pay, Google Pay) offrent la même chose gratuitement.
Certaines banques affichent une option de carte bancaire virtuelle : elle permet de générer une carte avec un plafond et une durée de vie personnalisable. On pourra par exemple créer une carte de 50 € valable un mois pour un achat unique, ou une autre à la durée de vie plus longue pour payer son abonnement à un service. Si c'est un peu plus lent que l'utilisation d'une carte classique (il faut se connecter sur le site de sa banque et aller chercher l'option), cela reste un moyen sûr de sécuriser ses achats sur Internet et de ne pas laisser son vrai numéro de carte n'importe où.
Cette fonction est gratuite chez certaines néobanques (Fortuneo, Revolut), mais payante dans les banques traditionnelles (Crédit Mutuel, Caisse d'Épargne, etc.). Elle est encore assez inédite, et les établissements proposant ce système se comptent sur les doigts de la main.
La sécurité qui semble se démocratiser le plus concerne les cartes à cryptogrammes dynamiques. Celles-ci sont alimentées par une petite pile pour afficher un code à 3 chiffres qui change toutes les heures : la fraude en ligne devient alors beaucoup plus compliquée. Pas d'inquiétude à avoir au niveau de la batterie, qui est prévue pour durer plus longtemps que la durée de validité de la carte. À la Société Générale et chez BNP Paribas, cette sécurité est proposée pour 12 € par an (en plus des cotisations habituelles) sur toutes les cartes de la gamme.
D’après l’Observatoire de la sécurité des moyens de paiement, le taux de fraude des paiements à distance est très légèrement remonté à 0,174 % en 2021, tandis que le taux de fraude au sans-contact a touché son taux historique le plus bas (0,013 %) en 2020.
Alors donner mes données biométriques à ma banque , j’ai beau lui être fidèle depuis 25 ans, c’est mort !
Quant à la carte au numéro virtuel,
j’en ai eu une amère expérience.
Un fraudeur a réussi à utiliser le numéro 2x alors qu’il s’agissait d’un paiement unique…
Vous ne donnez pas plus vos données biométriques à votre banque, que vous ne les donnez à Apple avec touchID ou FaceID.
@SyMich
1 : c’est pas la même chose ni surtout le même impact…
2 : c’est un choix comme un autre,
3 : le monde est bourré de contradiction, je n’en suis pas épargné…
Je parle d'un point de vue technique !
Aucun élément biométrique n'est communiqué à qui que ce soit, que ce soit avec touchID ou FaceID ou avec les procédés mis en œuvre sur ces cartes bancaires à reconnaissance d'empreinte.
Votre empreinte crée un code unique et c'est ce code qui est stocké dans une enclave sécurisée sur la carte. En re appliquant votre doigt, l'empreinte est traduite en code et comparée au code stocké.
Si quiconque accédait au code stocké dans l'enclave (qui n'est enregistré nulle part ailleurs), il ne pourrait pas reconstituer votre empreinte en sens inverse.
Techniquement, justement... d'où ces cartes tirent-elles l'énergie électrique dont elles ont probablement besoin pour faire ces "calculs" de comparaison d'empreinte???
Elles ont une batterie intégrée? 🤔
@r e m y
Je dirai induction ou peut être énergie cinétique, mais surtout énergie cinétique.
La reconnaissance d’empreinte est un algorithme assez simple au final donc avec un petit FPGA on peut arriver à une solution fiable et économe en énergie.
@RenaudL
"Oui. Il y a une batterie dedans."
Non pas toutes. Certaines fonctionnent sans batteries. L’alimentation se fait par le terminal en contact direct dans le lecteur, ou par onde en sans contact.
Après c’est la banque qui choisit le type de carte. Thales propose aux banques les deux modèles.
@r e m y
"Techniquement, justement... d'où ces cartes tirent-elles l'énergie électrique dont elles ont probablement besoin pour faire ces "calculs" de comparaison d'empreinte???
Elles ont une batterie intégrée? 🤔"
L’article>lire=réponse 😏
Je ne parlais pas des cartes à cryptogramme dynamique (pour lesquelles l'article indique qu'elles ont une pile), mais de celles à lecteur d'empreinte dont parle Symich.
@r e m y
Le capteur biométrique de la carte peut : être alimenté par le terminal de paiement que ce soit par contact ou sans contact et il n’y a pas de batterie dans la carte .
Sinon par batterie intégrée comme pour le CVV dynamique e-ink. Cela dépend des cartes choisies par la banques.
Thales propose les deux types de cartes.
Merci! 👍
@SyMich
Ah ok.
@ MacGruber:
En effet, entre donner des données biométrique à une banque qui ne s'occupe que de votre argent, et donner vos données biométrique en plus de tout vos gout personnel voir même votre état de santé à une entreprise étrangère sous patiot act...
@RenaudL
Ok
@Niteor
Oui,
Et ça a justement été le parcours du combattant pour me faire rembourser
Mais certains indiquent un montant nettement supérieur à l'achat lors de la création du numéro virtuel. Le numéro reste valide jusqu'à la date de validité choisie et tant que le plafond choisi n'est pas atteint.
Il faut absolument choisir à chaque fois un montant identique au montant à payer (ou arrondi à l'euro juste supérieur) pour que le numéro ne soit plus utilisable (pour cause de plafond atteint dès votre achat)
@MacGruber
"Alors donner mes données biométriques à ma banque , j’ai beau lui être fidèle depuis 25 ans, c’est mort !
Quant à la carte au numéro virtuel,
j’en ai eu une amère expérience.
Un fraudeur a réussi à utiliser le numéro 2x alors qu’il s’agissait d’un paiement unique…"
Impossible. Ta banque a les traces donc elle est en tord. C’est le principe même d’une chose concrète.
Chaque numéro de carte généré dans un timestamp a une raison d’être donc tu as une preuve. C’est comme pour un numéro de tel qui n’a pas le même détenteur le 21 juin 2014 et le 14 décembre 2014 !
Les montants étant remboursés par la banque en cas d’utilisation frauduleuse d’une carte bleue, j’aimerais vraiment qu’on m’explique pourquoi c’est au consommateur de payer plus cher pour avoir une carte plus sûr… je comprend vraiment pas.
@H2Apps
bonne question
plus concrètement encore, cela explique probablement pourquoi banques et consommateurs ne sont pas très motivés : on vit très bien sans cette sécurité, vu que le système supporte d'éventuellement annuler et rembourser.
Parce que le coût des assurances que prennent les banques pour couvrir ce risque, est répercuté à l'ensemble de ses clients via les divers frais de gestion.
@oomu
Le remboursement n'est pas aussi aisé que vous le prétendez.
C'est souvent un parcours du combattant, où il faut fournir moult documents et justificatifs pour dissuader les utilisateurs qui doivent se faire rembourser des sommes modestes.
@Paul Position
Tout à fait
@Paul Position
Jamais eu de soucis. La carte a été piraté deux fois et remboursé en même pas 24h même de très grosses sommes …
@Paul Position
+1
J'ai vécu avec ma banque une mauvaise expérience de remboursements qui s'est mal passé et a duré + de 3 mois sur un cumul de petits débits (dont à l'étranger) de 3000€ !
Tout ceci malgré la loi, courrier AR, etc... alors les banques... hein...
@BitNic
Quelle banque ?
@BitNic
"@Paul Position
+1
J'ai vécu avec ma banque une mauvaise expérience de remboursements qui s'est mal passé et a duré + de 3 mois sur un cumul de petits débits (dont à l'étranger) de 3000€ !
Tout ceci malgré la loi, courrier AR, etc... alors les banques... hein..."
3 mois à l’étranger sans aucun retour en 3 mois ?! Déjà tu bloques ta carte de suite et après tu as des preuves que tu n’es pas 3 mois à l’étranger quand même …
@oomu
“bonne question
plus concrètement encore, cela explique probablement pourquoi banques et consommateurs ne sont pas très motivés : on vit très bien sans cette sécurité, vu que le système supporte d'éventuellement annuler et rembourser.”
Surtout pour le modele anglo saxon (UK, Inde, USA, Australie, Canada, etc.). Aux US, si une transaction frauduleuse apparait sur ma carte de credit, je vais dans l’app de ma banque, j’annule la transaction et je suis immediatement credité. La banque s’occupe de voir avec le commerce (qui doit avoir 30 jours pour checker/negocier avec la banque) et les assurances prennent le relai au cas où. En France, c’est pas la meme sauce, du moins y a dix ans, ca a peut etre changé aujourd’hui?
@Paquito06
Par expérience, lorsque j’ai perdu ma CB il y a deux ans, il m’a été demandé de déposer plainte pour être remboursé suite à un usage frauduleux de ma carte.
C’est clairement pas la solution la plus pratique, ce serait bien que les banques procèdent différemment
@quentinf33
Dans ce cas ce sera pareille avec les protections supplémentaires.
Vous êtes sûr que BNP propose les cartes virtuelles ? Je ne trouve pas l’option.
@monsieurg33K
La bnp n’a pas de carte virtuelle pour l’avoir déjà demandé.
@monsieurg33K
"Vous êtes sûr que BNP propose les cartes virtuelles ? Je ne trouve pas l’option."
Allume la lumière tu y verras mieux.
Commercant, je n’ai jamais eu autant d’appels de gendarmes pour réquisitionner mes caméras de vidéo surveillance que en 2021 et depuis le passage à 50€…
Comme quoi…
Ma banque m’a proposé le cryptogramme dynamique pour ma carte, mais j’ai refusé car la carte ne pourrait pas être utilisée pour ApplePay.
@gmart
J’en ai une et pas de problème pour Apple Pay
@sofad
Ok, merci. Ce sera pour la prochaine fois.
Ça marche aussi pour PayPal ou d’autres apps où la carte est enregistrée (parkings par ex.) ?
@sofad
Pareil, je l’ai aussi et ça fonctionne très bien avec Apple Pay
@gmart
Bonjour j’utilise une carte BNPP avec code dynamique et ça marche très bien avec Apple Pay
@gmart :
moi ça sera oui si c'est au même tarif (négocié) que l'actuelle, mais s'il veut me faire porter la charge du surcoût c'est non. C'est la banque qui se protège, allège ses risques de remboursement et du coup ses cotisations d'assurance, donc aucune raison de payer plus, et encore moins que ça soit moi. Ils vont payer moins et me demander plus, y a-t-il meilleure manière de prendre qqn pour un con?
Pendant ce temps la planète crève sous les déchets électroniques…
C'est le problème de banque, les sécurités de bases sont proposés en option...
Pas étonnant que la confiance soit faible et que les gens veulent juste les relayer comme simple "garde argent".
« un code à 3 chiffres qui change toutes les heures »
C’est pas gênant pour ajouter une carte à ApplePay ou Paypal ça ?
En tout cas, je vois pas pourquoi un client payerait pour ça. Pour plusieurs raisons :
- Les fraudes au sans contacts sont à la charge de la banque,
- Apple Pay (ou Google Pay) sont plus pratiques et plus sécurisés,
- Pour les achats en ligne, Paypal est au top, avec en plus une gestion en cas de litige.
Bref, tout existe déjà ailleurs, et en mieux.
je vois pas pourquoi un client payerait pour ça. Pour plusieurs raisons :
- Les fraudes au sans contacts sont à la charge de la banque,
- Apple Pay (ou Google Pay) sont plus pratiques et plus sécurisés,
- Pour les achats en ligne, Paypal est au top, avec en plus une gestion en cas de litige.
- tout c'est qui est à la charge des banques est repercuté d’une façon ou d'une autre aux clients de la banque
- ApplePay ne supprime pas la carte bancaire physique et il n'est donc pas idiot de la proteger pour empêcher son utilisation en cas de vol, par exemple.
- PayPal, personnellement, je fais une confiance toute relative quant à l'usage de mes données personnelles qu'ils peuvent faire.
Pages