Europay Mastercard Visa

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Europay Mastercard Visa, abrégé par le sigle EMV, est depuis 1995 le standard international de sécurité des cartes de paiement (cartes à puce). Il tire son nom des organismes fondateurs :

rejoints au sein de l'organisme EMVCo (basé aux États-Unis) par :

Cette nouvelle technologie, dont la première version des spécifications est parue en 1996, tire profit de la puce intégrée à la carte.
En France, depuis fin 2006, l'ancien système national Cartes Bancaires (CB) utilise désormais les cartes au standard EMV et l'ensemble du parc des terminaux de paiement électroniques (ou TPE) a été aménagé.

Principales caractéristiques :

Avantage de l'EMV[modifier | modifier le code]

La norme EMV spécifie l'interopérabilité entre les cartes EMV à microprocesseurs (cartes à puces) et les terminaux de paiement EMV à travers le monde. Le passage à la Norme EMV sur les cartes de paiement apporte les deux avantages suivants :

  • Amélioration de la sécurité (entraînant une réduction de la fraude).
  • Un contrôle plus précis pour les transactions par carte bancaire «hors ligne» (c'est-à-dire sans demande d'autorisation bancaire).

L'un des objectifs initiaux de la norme EMV était de permettre le déploiement de cartes "multi-applicatives", c'est-à-dire que plusieurs applications peuvent tenir sur une seule et même carte, par exemple :

  • Une application "débit" pour débiter le compte courant.
  • Une application "crédit" pour débiter la réserve de crédit associée distincte du compte courant.
  • Un porte-monnaie électronique (Moneo, etc...).


Le choix de l'application peut être effectué, soit de manière automatisée (c'est-à-dire sans intervention du porteur, en paramétrant l'application qui sera prioritaire), soit en demandant le choix au porteur (par exemple, "Comptant" ou "crédit")
La norme EMV apporte une très nette amélioration de la sécurité pour les transactions par carte à puce par rapport aux transactions par piste magnétique, où la seule sécurité dans ce cas reste uniquement le contrôle de la signature du titulaire et une inspection visuelle de la carte (pour vérifier la présence de l'hologramme, la cohérence des numéros...). L'EMV permet l'utilisation d'un code PIN et des algorithmes cryptographiques tels que DES, Triple-DES, RSA et SHA afin de permettre à la carte et au terminal de s'authentifier mutuellement. Ces opérations cryptographiques prennent relativement peu de temps. Elles peuvent être complétées par une demande d'autorisation bancaire (systématique à l'étranger). Le renforcement de la protection contre la fraude a permis aux banques et émetteurs de cartes de crédit de « transférer les responsabilités » vers les commerçants. Ceux-ci sont maintenant responsables (depuis le 1er Janvier 2005 en Union Européenne) de toute fraude qui résulte de transactions sur les systèmes qui ne sont pas compatibles avec la norme EMV.
Bien que n'étant pas la seule méthode d'authentification possible, la majorité des implémentations de cartes et terminaux de paiement EMV exigent la saisie d'un code PIN (code confidentiel), au lieu ou en plus de la signature du reçu papier. À noter, l'obligation de saisie du code PIN dépend de la configuration de la carte et des terminaux. À l'étranger, il sera peut-être simplement demandé de signer. En France, pour les transactions supérieures à 1 500 €, les deux modes d'authentification sont obligatoires.

Commandes EMV[modifier | modifier le code]

La norme ISO/IEC 7816-3 définit le protocole de dialogue entre la carte à puce et le lecteur. Selon cette norme, les données sont echangées selon le protocole APDU. Ce qui signifie que le lecteur envoie une commande à la puce, qui la traite et renvoie une réponse. L'EMV utilise les commandes suivantes:

  • application block
  • application unblock
  • card block
  • external authenticate (7816-4)
  • generate application cryptogram
  • get data (7816-4)
  • get processing options
  • internal authenticate (7816-4)
  • PIN change / unblock
  • read record (7816-4)
  • select (7816-4)
  • verify (7816-4).

Les commandes types "7816-4" sont définies par la norme ISO/IEC 7816-4. Ces commandes sont utilisées par différents types de cartes à puce comme par exemple les cartes SIM pour la téléphonie mobile.

Transaction EMV[modifier | modifier le code]

Une transaction EMV s'effectue selon les étapes suivantes :

  • Sélection de l'application EMV (CB, VISA...)
  • Initialisation de l'application
  • Lecture des données de l'application
  • Lecture des restrictions d'utilisation
  • Authentification des données hors ligne
  • Identification du porteur (Code confidentiel, Signature...)
  • Gestion du risque côté terminal
  • Analyse du risque et action terminal (Paiement accepté hors ligne, refusé hors ligne, Autorisation requise)
  • Première analyse du risque côté carte
  • Demande d'autorisation en ligne (le cas échéant)
  • Deuxième analyse du risque côté carte
  • Exécution du script final émetteur (mise à jour des paramètres carte, blocage...)


Sélection de l'Application EMV[modifier | modifier le code]

La norme ISO/IEC 7816 définit un processus de sélection de l'application. Cela permet à la carte de disposer d'applications totalement différentes, par exemple CB EMV, Moneo, ou même une application non bancaire, "privative". L'EMV permet de déterminer le type d'application présente dans la carte. Tous les émetteurs de cartes (Visa, MasterCard, etc.) doivent avoir un identifiant d'application qui leur est propre. La méthode de sélection de l'application tel que défini dans la norme EMV peut toutefois poser des problèmes d'interopérabilités entre la carte et le terminal.

Le champ application identifier (AID) est utilisé pour identifier l'application présente dans la carte. Les 5 premiers octets de ce champ permettent d'identifier l'émetteur (RID : registered application provider identifier) tel que défini par la norme ISO/IEC 7816-5. Il est suivi par le champ PIX (proprietary application identifier extension) qui permet d'identifier l'application propre à l'émetteur (Visa debit, visa electron de chez Visa par exemple). L' AID figure sur l'ensemble des reçus de carte de paiement EMV.

Emetteur RID Produit PIX AID
Visa A000000003 Visa classique (débit ou crédit) 1010 A0000000031010
Visa Electron 2010 A0000000032010
V PAY 2020 A0000000032020
Plus (Carte de retrait seulement) 8010 A0000000038010
MasterCard A000000004 MasterCard classique (crédit ou débit) 1010 A0000000041010
MasterCard 9999 A0000000049999
Maestro 3060 A0000000043060
Cirrus (Carte de retrait seulement) 6000 A0000000046000
MasterCard A000000005 Maestro délivrée uniquement au Royaume-Uni 0001 A0000000050001
American Express A000000025 American Express 01 A00000002501
LINK (UK) ATM network A000000029 Carte de retrait 1010 A0000000291010
CB (France) A000000042 CB (Carte bancaire française sans demande systématique d'autorisation) 1010 A0000000421010
CB (Carte bancaire française à demande systématique d'autorisation) 2010 A0000000422010
JCB A000000065 Japan Credit Bureau 1010 A0000000651010
Dankort (Danemark) A000000121 Debit card 1010 A0000001211010
CoGeBan (Italie) A000000141 PagoBANCOMAT 0001 A0000001410001
Discover A000000152 Diners Club/Discover 3010 A0000001523010
Banrisul (Brésil) A000000154 Banricompras Debito 4442 A0000001544442
Saudi Payments Network (Arabie saoudite) A000000228 SPAN 1010 A00000022820101010
Interac (Canada) A000000277 Carte de débit 1010 A0000002771010
Discover Card A000000324 ZIP 1010 A0000003241010
UnionPay A000000333 Debit 010101 A000000333010101
Credit 010102 A000000333010102
Quasi Credit 010103 A000000333010103
Electronic Cash 010106 A000000333010106
Zentraler Kreditausschuss (Allemagne) A000000359 Girocard 1010028001 A0000003591010028001
Euro Alliance of Payment Schemes(Italie) A000000359 PagoBANCOMAT 10100380 A00000035910100380
Verve (Nigeria) A000000371 Verve 0001 A0000003710001
The Exchange Network ATM Network A000000439 Carte de retrait 1010 A0000004391010
RuPay (India) A000000524 RuPay 1010 A0000005241010
ПРО100 (Russie) A000000432 Universal Electronic Card 0001 A0000004320001

Initialisation de l'Application EMV[modifier | modifier le code]

Le terminal envoie à la carte la commande get processing options. Après l'envoi de cette commande, le terminal fournit à la carte l'ensemble des informations dont elle a besoin et figurant dans une liste d'objets nommée processing options data objects list (PDOL). Cette liste est envoyée au terminal lors de la sélection de l'application. La carte envoie ensuite la liste des fichiers et enregistrements que le terminal doit lire (AFL : Application File Locator)

Sécurité informatique et carte EMV[modifier | modifier le code]

Un lecteur d'authentification CAP

Depuis peu de temps, il est possible d'utiliser sa carte de type EMV afin de s'authentifier de manière forte. Le nouveau protocole CAP (Chip Authentication Protocol) permet de générer un One Time Password.

Voir aussi[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]