La carte à puce et la norme EMV : où en sommes-nous?


Direction Informatique - 03/01/2006

Alain Philippe

Les institutions financières canadiennes se préparent à suivre l’Europe et les autres régions du monde dans la grande aventure de l’implantation de la carte à puce comme outil de transaction sécuritaire et efficace.

Bien que l’on annonce que de nombreux projets d’implantation mijotent de toutes parts, les questions entourant l’application des normes de fonctionnement et de sécurité restent pourtant un peu floues pour les futurs utilisateurs qui, depuis plus de vingt ans, entendent parler que les Français bénéficient des avantages de cette fameuse carte à mémoire.

Au Canada, le premier projet pilote verra le jour à l’automne 2007, regroupant les principaux émetteurs de cartes canadiennes. Le projet devrait permettre de faire tous les tests nécessaires pour l’obtention d’une certification pour la norme mondiale EMV (Europay, Master Card, Visa) et amorcer les phases de remplacement de toutes les cartes de paiement en circulation et de déploiement du réseau avec les 600 000 terminaux à renouveler, au cours des cinq années suivantes.

Mais avant même de parler de norme, il faudrait expliquer en quoi un système de paiement est efficace et quelles sont ses caractéristiques. Le bon fonctionnement de tout système de paiement repose sur trois prémisses de base : la fiabilité, l’interopérabilité et la sécurité.

Le système actuel qui repose sur l’utilisation de cartes à piste magnétique a prouvé qu’il répondait plutôt bien aux deux premiers critères. Il est fiable, car son taux de disponibilité est élevé et son taux d’erreur est faible, et il est interopérable, car le détenteur d’une carte peut maintenant s’en servir pour régler un achat chez un commerçant ou retirer de l’argent dans la majorité des pays à travers le monde. Par ailleurs, le système actuel répond de moins en moins bien au troisième critère, la sécurité. En effet, il est de plus en plus facile de copier ou de reproduire une carte à des fins frauduleuses.

Ainsi, l’idée principale derrière l’implantation d’un système de paiement par carte à puce est de recréer un environnement qui permette de garantir ces trois conditions – fiabilité, interopérabilité et sécurité – afin que toutes les cartes puissent fonctionner partout, et ce, malgré des paramètres différents pour chacun des pays émetteurs de cartes. Une fonction qui est particulièrement importante dans le cas des terminaux, qui doivent être capables d’interpréter les paramètres de chacune des cartes insérées.

Les contrôles d’accès

Depuis le début des années 1990, les institutions bancaires et fournisseurs de crédit ont constaté que les fraudeurs avaient facilement accès à la technologie leur permettant de reproduire les cartes à piste. Une situation qui, en raison de la multiplication des fichiers d’informations sur support informatique, a créé une augmentation du nombre de vols d’identité et, par conséquent, du nombre de fraudes par cartes. On se devait donc d’améliorer la situation.

C’est donc la problématique du contrôle de chaque transaction par le marchand, pour les fraudes et le crédit, qui a enclenché le processus de réflexion autour de l’idée d’accroître la sécurité des paiements par carte. C’est la crédibilité du système de carte à piste qui était attaquée, puisque la signature, une technologie archaïque et largement dépassée, ne pouvait se mesurer au degré de sécurité déployé par la technologie moderne de la puce, avec le NIP (numéro d’identification personnel) interne.

La naissance de la carte à puce

La création d’une carte à mémoire par Roland Moreno en 1974, dont la commercialisation de l’idée s’est transformée en carte à circuit intégré, a ensuite été appliquée aux cartes de téléphone, puis aux cartes santé, pour finalement bouleverser le monde bancaire avec la carte à puce. C’est en 1980 que le Groupement Carte à Mémoire est créé par un regroupement de banques françaises afin d’utiliser la carte à puce comme un nouveau moyen de paiement : ce qui deviendra la future carte bancaire.

Les cartes connaissent une croissance fulgurante à partir du milieu des années 1980. Que ce soit dans les télécommunications, les transports, les finances ou le marketing, la puce devient vite une technologie indispensable. Grâce à la Carte Bleue, on peut insérer la carte-mémoire dans un des supports pour flux monétaire, tels que des distributeurs automatiques de billets.

Ainsi, en cherchant constamment à améliorer les aspects de la sécurité des cartes, la France a réussi à réduire de façon importante le nombre de fraudes grâce à un microprocesseur, une technologie impossible à copier, et à différents contrôles de sécurité.

De la piste à la puce…

Dès 1995, la France met en circulation des cartes intelligentes avec un NIP codé dans la carte, par l’entremise d’une cryptographie sophistiquée, qui la protège des attaques extérieures et ne nécessite plus aucune authentification obligatoire par un serveur central de la banque.

Mais entre l’arrivée de la première carte à puce en France et l’implantation mondiale, plusieurs projets misant sur des technologies uniques ont donc été mis en place dans différentes régions du monde afin de revoir les processus de sécurité et peut-être changer la façon de faire les transactions. Le plus célèbre à voir le jour, le Projet Mondex, est né en Angleterre d’une initiative entre les banques NatWest et Midland, en partenariat avec la British Telecommunication, et visait à lancer un système mondial basé sur la première carte à puce renfermant de véritables « espèces électroniques ».

Bien que le début des travaux de développement de Mondex date de 1988, ce n’est qu’en 1993 que le lancement officiel du projet a eu lieu. Les premières espèces électroniques ont commencé à apparaître en 1990, alors que le Canada et l’Australie évaluaient la possibilité d’implanter de nouveaux systèmes. Mais en raison d’une technologie unique développée par les partenaires britanniques, l’implantation de ce projet s’est avérée trop coûteuse pour se faire de manière autonome. On conclut qu’il vaudrait mieux se regrouper afin d’organiser la mise en place d’une nouvelle norme mondiale. Ainsi est née la norme EMV.

Jusqu’à présent, seuls les États-Unis ont choisi de ne pas suivre le chemin de la EMV, préférant prendre une autre direction pour remplacer leur système de carte à piste.

Pourquoi avoir une norme mondiale?

Dans les années 1970, alors qu’on implantait le système de carte à piste en Amérique du Nord, on a mis en place une norme qui reprenait les trois caractéristiques de base (fiabilité, interopérabilité et sécurité), mais puisque la sécurité n’était pas toujours là, on a cherché à renforcer la norme en vigueur. Résultat : on avait toujours plus de clonage et de fausses cartes à piste en circulation.

Lorsqu’on a créé la nouvelle norme EMV, on faisait face à un double défi : d’un côté, on ne voulait pas perdre les acquis des 30 dernières années et de l’autre côté, les transactions réglementées par cette nouvelle norme devraient tenir compte des paramètres et exigences de la nouvelle méthode de paiement en ligne sur Internet. Et puisque les cartes sont émises selon des cycles de durée correspondant aux améliorations de la norme en place, il sera facile de les remplacer le moment venu.

L’établissement d’une norme unique permet à tout terminal situé dans n’importe quelle région du monde de lire les cartes à puce et de remplir les demandes des utilisateurs et des réseaux afin que tout soit sécuritaire et disponible. C’est une norme qui permettra également de faciliter les processus de modification des informations de l’utilisateur contenues dans la carte.

La plus grande différence avec la carte à piste est que l’intelligence de la puce est dans la carte. Ce qui veut dire qu’elle n’a pas besoin d’être reliée à un réseau pour permettre l’authentification des données puisque le NIP est validé dans la carte, même lorsqu’on fonctionne hors ligne, comme c’est le cas en Europe.

La norme EMV est assez souple pour permettre une implantation spécifique pour chaque pays qui l’adopte; en retour, tous les pays doivent être en mesure d’interpréter correctement les paramètres de toutes les cartes, quel que soit le pays d’origine. Il y a donc une implantation spécifique de la norme EMV pour chacun des pays du monde qui a choisi de se conformer avec ces pratiques en matière de transactions financières.

Cependant, les grands émetteurs propriétaires de la norme (Visa, Master Card et JCB) tendent à uniformiser de plus en plus ces implantations. Enfin, une norme évolue au fil des ans, pour s’ajuster aux modifications de l’environnement et des technologies, comme la cryptographie, un processus qui entraîne la capacité pour toutes les cartes d’utiliser les clefs secrètes de chiffrement des informations.

Bientôt, nous serons tous EMV

Après 15 ans d’essais et erreurs, la communauté financière convient aujourd’hui que, malgré la réticence des Américains, la norme EMV s’imposera comme modèle de référence pour les prochaines décennies, car elle répond aux trois critères de base : fiabilité, interopérabilité et sécurité. Elle a été développée et elle est supportée par une large part de la communauté financière internationale, incitant de nombreux pays à l’adopter. Elle est évolutive et permet une infinité d’adaptations. Et surtout, on en compte déjà plus de 300 millions en circulation dans le monde !




Tags: ,