Cryptogramme visuel

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Code de sécurité au dos de cartes de paiement MasterCard, Visa et généralement composé d'un groupe de 3 chiffres à droite de l'espace dédié à la signature.
Sur les cartes American Express, le code de sécurité est imprimé, non gaufré en haut à droite sur le devant de la carte.

Le cryptogramme visuel désigne en général les trois derniers chiffres présents au dos d'une carte de paiement.

Le terme le plus couramment utilisé est cryptogramme visuel[1], mais on trouve également les termes code de sécurité (card security code ou CSC en anglais), ou CVV (pour Card Verification Value), ou CVC (pour Card Verification Code), Verification Code (V-Code ou V Code), ou Card Code Verification (CCV). Tous ces termes désignent des procédés servant à la sécurisation des transactions par carte de paiement et fournissant une protection accrue contre l'utilisation frauduleuse des cartes de paiement.

Types de codes[modifier | modifier le code]

Il existe différents types de codes de sécurité :

  • CVV1 ou CVC1, est chiffré dans la bande magnétique de la carte et est utilisé pour les transactions en personne. Le but de CVC1 ou CVV1 est de garantir que les données enregistrées sur la bande magnétique de la carte sont valides et ont été générées par la banque émettrice. Cette valeur est présentée dans chaque transaction et est vérifiée par la banque ayant émise la carte. Les limites du CVC1 ou CVV1 est que si la totalité de la bande magnétique est copiée, la carte peut être dupliquée par exemple par l'employé indélicat d'un magasin à l'aide d'un outil électronique (skimming en anglais).
  • CVV2 ou CVC2 ou CVx2. Ce code de sécurité est souvent demandé par les commerçants afin de sécuriser une transaction à distance, que ce soit par internet, courrier, fax ou téléphone. Dans de nombreux pays d'Europe occidentale, à la suite d'une augmentation des tentatives d'utilisation frauduleuse de cartes de paiement, il est à présent obligatoire de fournir ce code [réf. nécessaire] lorsque la transaction est à distance
  • Les cartes de paiement sans contact fournissent leurs propres codes générés électroniquement, tels que le iCVV ou CVV dynamique.

Ces codes ne doivent pas être confondus avec le numéro de carte de crédit généralement apparaissant en relief sur la carte de paiement. Le numéro de carte de crédit lui-même fait l'objet d'un système de validation propre avec l'algorithme appelé Formule de Luhn qui sert à déterminer si le numéro de la carte est valide.

Ces codes ne doivent pas non plus être confondus avec le code PIN ou le mot de passe 3-D Secure connu sous le nom "MasterCard SecureCode" ou "Verified by Visa". Ces codes ne sont pas imprimés ou mis en relief sur la carte mais sont entrés manuellement au moment de la transaction.

Emplacement du code[modifier | modifier le code]

Le code de sécurité (CVV2 ou CVC2) est un groupe de 3 ou 4 chiffres imprimés au dos de la carte de paiement à droite de l'emplacement réservé à la signature, mais il n'est pas encodé dans la bande magnétique.

  • Les cartes de paiement MasterCard, Visa, Diners Club, Discover (États-Unis), et JCB (Japon) ont un code de sécurité à 3 chiffres. Ce code n'est pas en relief comme le numéro de la carte de paiement, il s'agit toujours des 3 derniers chiffres imprimés au dos de la carte à droite de l'emplacement réservé à la signature. Les nouvelles cartes de crédit Visa et Mastercard ont ce code dans un emplacement séparé à droite de l'emplacement de la signature, ceci afin d'éviter que les 3 chiffres ne soient raturés par la signature sur la carte. Ces codes ont un nom différent en fonction de l'émetteur de la carte de paiement :
    • "CVC2" (card validation code) chez MasterCard,
    • "CVV2" (card verification value) chez Visa,
    • "CID2" (card identification number) chez Discover (États-Unis).
  • Les cartes de paiement American Express ont un code de sécurité à 4 chiffres imprimé au recto de la carte au-dessus du numéro de la carte. Ce numéro n'est pas imprimé en relief comme le numéro de la carte. Ce code est appelé chez American Express :
    • "CID" (unique card code)

Avantages du système[modifier | modifier le code]

Comme le code de sécurité n'est pas inclus dans la bande magnétique, il n'est en général pas inclus dans une transaction qui a lieu en face à face chez un commerçant. Cependant aux États-Unis, quelques entreprises comme Sears ou Staples exigent ce code.

Pour les cartes American Express en Europe, l'usage du code de sécurité pour les transactions à distance a commencé en 2005. Ceci augmente le niveau de protection pour la banque et le titulaire de la carte, dans le sens où un commerçant malintentionné ne peut pas simplement capturer les données de la bande magnétique pour les réutiliser dans le cadre d'un paiement à distance ultérieur. Pour cela, le commerçant devrait noter le code CVV2 au moment de la transaction où il souhaite capturer les données de la bande magnétique, ce qui éveillerait les soupçons du titulaire de la carte.

Aux États-Unis, Visa interdit aux commerçants de conserver le code CVV2 après la transaction. Ainsi, même en cas de vol d'un fichier de transactions, les codes CVV2 n'y figurant pas, les voleurs ne pourront pas utiliser les numéros de cartes pour effectuer des transactions frauduleuses.

La norme PCI DSS (DSS = norme de sécurité des données (data security standard) et PCI = Conseil des normes de sécurité (Payment Card Industry)) interdit également le stockage du code de sécurité ainsi que d'autres données sensibles liées à l'autorisation de la transaction. Ceci, pour toute entité qui enregistre, traite, transmet des données de cartes de paiement[2].

Fournir un code de sécurité CSC a pour but de vérifier que le consommateur a bien la carte en sa possession. Connaître ce code prouve que le consommateur a vu la carte. À ce jour, aucun logiciel permettant de "craquer" ce système n'est connu.

Limites[modifier | modifier le code]

  • L'usage du code de sécurité ne protège pas contre les techniques de hameçonnage (phishing), dans lesquelles on fait croire au titulaire de la carte qu'il entre son code de sécurité ainsi que les autres données de sa carte sur un faux site. L'augmentation de l'hameçonnage a réduit l'efficacité du code de sécurité en tant que procédure anti-fraude. Il existe également des fraudes dans lesquelles l'auteur du phishing a déjà obtenu le numéro de carte de l'utilisateur (par exemple en piratant la base de données d'un commerçant) en leur envoyant ces données volées pour leur donner un faux sentiment de sécurité avant de leur demander de remplir un formulaire demandant le code de sécurité qui n'était pas enregistré dans la base de données volée[3].
  • Comme le code de sécurité ne doit pas être enregistré par le commerçant (après que la transaction pour laquelle le code de sécurité a été utilisé soit autorisée et terminée), un commerçant qui a besoin d'utiliser régulièrement une carte pour un abonnement n'est pas capable de fournir ce code de sécurité après la transaction initiale.
  • Certains fournisseurs de cartes n'utilisent pas encore le code de sécurité - même si MasterCard et Visa ont respectivement commencé en 1997 en 2001. Cependant, les transactions sans code de sécurité ont plus de chances d'être soumises à des contrôles anti-fraude plus poussés, et les transactions frauduleuses sans code de sécurité ont plus de chances d'être résolues en faveur du titulaire de la carte.
  • Il n'est pas obligatoire pour un commerçant de demander le code de sécurité pour effectuer une transaction, par conséquent une carte aura toujours le risque d'être utilisée frauduleusement si son numéro est entre les mains de l'auteur d'un hameçonnage.

Sécurisation par le titulaire de la carte[modifier | modifier le code]

La connaissance du cryptogramme visuel, jointe à la connaissance du numéro à 16 chiffres figurant au recto de la carte bancaire, permet au propriétaire de la carte, mais aussi à toute personne tierce, y compris délinquante, d'effectuer des achats en ligne depuis le compte bancaire du titulaire.

Il est donc conseillé d'apprendre par cœur ce cryptogramme avant de le faire disparaître par un léger « grattage » avec la pointe d'un couteau, d'une épingle ou d'un compas, avec obligation de ne pas dégrader la puce informatique ni la piste magnétique.[citation nécessaire]

Génération des codes de sécurité des cartes[modifier | modifier le code]

Les valeurs des codes CVC1, CVV1, CVC2 et CVV2 sont générées lorsque la carte est créée. Ces valeurs sont calculées en chiffrant le numéro de carte (PAN, Primary Account Number en anglais), la date d'expiration et le code de service avec une clé de déchiffrement (souvent appélée Card Verification Key ou CVK en anglais) seulement connue de la banque émettrice de la carte, puis en convertissant au format décimal le résultat[4],[5].

Notes et références[modifier | modifier le code]

Articles connexes[modifier | modifier le code]