Pourquoi leur numéro et leur code CVC sont-ils imprimés sur les cartes de crédit pour que tout le monde puisse les voir ?

En fin de compte, vous ne supportez pas le risque de fraude, donc vous ne fixez pas la tolérance au risque. Le code à trois chiffres, le numéro complet de la carte, la puce et le pin, la puce et la signature, la signature sur un reçu, les informations contenues dans la bande magnétique, etc. Votre banque vous dira qu'ils sont tous vraiment secrets et que vous devez les protéger, mais qu'elle vous les tatouerait au visage si elle le pouvait.

Le nom du jeu est la plus faible friction possible sur les transactions par rapport aux coûts de fraude acceptables.

Pourquoi le numéro à trois chiffres est-il imprimé sur la carte ? Parce que vous avez probablement la carte en main lorsque vous voulez l'utiliser. Ce code “secret” a été créé pour combattre et/ou prévenir la fraude de bas niveau, principalement liée à l'écrémage paresseux de la bande magnétique et à l'époque où les reçus étaient imprimés sur la carte. Ce numéro ne fait pas partie des données de la bande magnétique, et est uniquement destiné à être un secret pour la bande magnétique et les personnes qui pourraient se retrouver en possession d'un grand nombre de reçus d'impression (à l'époque des premières cartes de crédit) ou d'une base de données remplie de numéros de cartes de crédit. Il n'a jamais été conçu que pour offrir une preuve de faible niveau de la présence de la carte afin de lutter contre les cas où de grandes quantités de numéros de compte ont été prises ; il ne permet pas d'authentifier ou de sécuriser les transactions, ce n'est pas une somme de contrôle, c'est juste un numéro qui n'est pas dans la bande magnétique ou l'empreinte. Il est intéressant, mais pas surprenant, que le numéro ne soit pas simplement aléatoire ; il est dérivé du numéro de compte principal de manière cryptographique, d'une manière connue seulement de l'émetteur de la carte.

Pourquoi la banque ne fait-elle pas plus d'efforts pour protéger le numéro ? Parce que la banque veut que vous utilisiez la carte sans avoir à vous souvenir d'un numéro.

Pourquoi le numéro “secret” à quatre chiffres d'American Express figure-t-il au recto de la carte, même s'il n'est pas caché de manière sûre au verso, qui sait, mais il est clair que ce numéro n'est pas destiné à être protégé par quiconque pourrait avoir un accès physique à la carte.

Pourquoi la carte n'est-elle pas nue, mais pour marquer la marque avec les informations stockées en toute sécurité ailleurs ? Parce que deux endroits, c'est plus endroits et que vous pourriez ne pas utiliser la carte si vous devez déterrer le morceau de papier qui vous a été envoyé séparément avec le code à trois chiffres imprimé dessus, qui n'a manifestement jamais été destiné à être sécurisé.

La banque vous incite à utiliser la carte. Si vous n'utilisez pas la carte ou si vous utilisez la carte d'un concurrent, la banque ne gagne pas d'argent.

Si vous souhaitez sécuriser vos méthodes de paiement mieux que le niveau avec lequel la banque est à l'aise, vous êtes libre de le faire. Grattez les chiffres, enlevez la bande magnétique, peu importe ; bien que le fait de modifier la carte constitue probablement une violation de votre contrat de titulaire de carte. La banque ne fait pas cela parce qu'elle s'en moque.

Le but du code de sécurité n'est pas un code secret. Le but est de “prouver” que vous avez la carte physique en votre possession au moment de l'achat. Il n'est utilisé que lorsque le commerçant ne peut pas confirmer que vous avez la carte physique en votre possession. Il est utilisé lors d'un achat sur un site web, mais il est également utilisé dans un magasin physique lorsque la carte ne peut pas être scannée et que le numéro doit être tapé manuellement.

La raison pour laquelle elle est imprimée sur la carte est que quelqu'un d'autre que vous pourrait avoir besoin de la lire. Si vous la remettez à un caissier et qu'il ne peut pas scanner la carte pour une raison quelconque et doit taper le numéro, il peut retourner la carte et taper le code de sécurité, prouvant ainsi à l'ordinateur qu'il a la carte en sa possession. Elle n'a jamais été conçue pour être mémorisée, et si les utilisateurs de cartes mémorisent le code, celui-ci perd son efficacité en tant que preuve de la possession physique de la carte.

Vous pouvez faire valoir que le fait d'avoir le code imprimé sur la carte rend celle-ci moins sûre, et certains ont suggéré de gratter le code de la carte après l'avoir mémorisée, mais cela ne permettrait vraiment d'empêcher qu'un type spécifique de fraude par carte de crédit qui n'est pas aussi courant que d'autres méthodes de fraude.

En l'absence d'un véritable code PIN, il est de plus en plus courant d'utiliser le code postal de facturation comme autre validation, car il s'agit d'un numéro que le propriétaire de la carte a déjà mémorisé et qui n'est pas imprimé sur la carte.

Le principal objectif du code de sécurité est d'empêcher la réutilisation des informations de la carte piratée. La principale façon d'y parvenir consiste à exiger que les processeurs de paiement ne stockent pas ce code

Les commerçants, les prestataires de services et les autres entités participant au traitement des cartes de paiement ne doivent jamais stocker de données d'authentification sensibles après l'autorisation. Il s'agit notamment du code de sécurité à 3 ou 4 chiffres imprimé au recto ou au verso de la carte, des données stockées sur la bande magnétique ou la puce de la carte (également appelées “données complètes”) - et des numéros d'identification personnels (NIP) saisis par le titulaire de la carte. Ce chapitre présente les objectifs de la norme PCI DSS et les 12 exigences qui s'y rapportent Source - diapositive 11

Vous demandez pourquoi le numéro de la carte et le code de sécurité sont imprimés sur la carte. Dans les deux cas, faisons un peu d'histoire :

Le numéro de carte

Le numéro de carte (appelé PAN dans l'industrie) est juste un identifiant, il n'a aucune raison d'être secret. Il est nécessaire pour toute transaction, afin qu'une charge puisse être… rechargée sur le compte concerné, que :

• à un point de vente physique (POS), en utilisant l'ancienne méthode de “l'empreinte” (je ne sais pas si elle est encore utilisée quelque part). C'est la raison pour laquelle le numéro est en fait embossé, et non pas seulement imprimé (avec les autres détails nécessaires à la transaction : date d'expiration, nom du titulaire de la carte).

• dans un point de vente, à l'aide d'un terminal POS (“machine à carte de crédit”), qui lit soit la bande magnétique soit la puce de la carte, qui fournissent toutes deux le PAN et le reste des données sans aucune authentification ni cryptage.

• par téléphone ou sur papier (ce que l'on appelle “MOTO” dans le secteur : vente par correspondance / vente par téléphone), lorsque vous vous contentez de lire les détails par téléphone ou de les écrire sur le bon de commande.

• sur Internet, où vous devez lire le numéro de votre carte et le saisir dans un formulaire. Comment pouvez-vous commander quelque chose si vous ne pouvez pas lire le numéro de votre carte ?

Le PAN n'a jamais été considéré comme un secret. C'est juste un numéro de compte, exactement comme votre numéro de compte apparaît sur les chèques papier, pour savoir sur quel compte l'argent doit être prélevé.

Certaines personnes pensent que la clé (le dernier chiffre) est un (mauvais) dispositif de sécurité, alors qu'en fait elle ne sert qu'à protéger contre les erreurs de saisie (changement de chiffre, échange de chiffres…).

De nos jours, les gens commencent à penser qu'un PAN doit être secret, et cela a conduit à l'introduction de la “tokenisation” : au lieu d'envoyer le numéro de carte réel, un autre numéro de carte est envoyé à la place, qui est soit limité à un canal spécifique (et éventuellement à un appareil), soit même à une seule transaction.

C'est le cas par exemple pour Apple Pay : lorsque vous enregistrez votre carte avec son vrai PAN, la banque renvoie un token (un “faux” PAN) qui est utilisé à la place, et ne peut être utilisé que pour les paiements effectués avec Apple Pay sur cet appareil. Si jamais quelqu'un interceptait ce PAN, il ne pourrait rien en faire : il ne sera pas accepté pour ajouter une carte à Apple Pay, ne sera pas accepté en magasin, en ligne, par téléphone, ou n'importe où ailleurs.

Est-ce vraiment utile ? Dans un monde parfait où toutes les transactions sont authentifiées par d'autres moyens, cela ne devrait vraiment pas avoir d'importance, un PAN en soi devrait être inutile. En pratique, comme il existe des canaux qui permettent d'utiliser des méthodes d'authentification assez peu sûres, c'est une ligne de défense supplémentaire.

Notez que le besoin de tokenisation est probablement un peu plus important avec l'introduction du sans contact : vous pouvez lire le PAN de n'importe quelle carte sans contact sans même la toucher, il suffit de s'en approcher suffisamment.

Le code de sécurité

Le code de sécurité imprimé au verso de la carte (ou au recto, pour les cartes American Express) n'était pas présent à l'origine. Il a été ajouté pour éviter les scénarios de fraude suivants :

• un reçu de carte de crédit comportant le numéro complet de la carte (ainsi que le nom et l'expiration) a été jeté et récupéré par quelqu'un d'autre (cela était particulièrement vrai lorsque des imprimantes étaient utilisées, mais l'était également avant que les réseaux de cartes ne décident finalement qu'il était interdit d'imprimer le code PAN complet sur le reçu du client).

• une carte est “glissée” pour enregistrer le contenu de la bande magnétique, qui contient le PAN, l'expiration, le nom du titulaire de la carte, et plus encore…). Cela permettait aux personnes qui avaient un accès physique aux cartes (serveurs, caissiers…) d'enregistrer assez rapidement un grand nombre de cartes sans se faire remarquer.

Pour contrer cela, ce nouveau code a été ajouté, qui n'est pas sur le reçu (car il n'est pas embossé), et n'est pas non plus sur la piste magnétique.

Ce code n'est requis que pour les achats MOTO et en ligne, où vous ne pouvez pas voir si l'utilisateur a effectivement la carte (une transaction dite “carte non présente”), et vous voulez être un peu plus sûr que l'utilisateur a la carte.

C'est en effet assez facile à contourner : il suffit soit de faire une copie complète de la carte (recto-verso), soit de noter toutes les données. Mais dans de nombreux scénarios ci-dessus, il est un peu plus difficile pour un utilisateur malhonnête de le faire sans être remarqué.

(L'introduction de terminaux portables aide aussi beaucoup, car un utilisateur peut garder ses yeux – et ses mains – sur la carte à tout moment, mais surtout dans les restaurants aux États-Unis, ce n'est pas encore une pratique courante).

Le code de sécurité est également utile dans le cas où un site stocke les données de votre carte de crédit et que quelqu'un parvient à y accéder : en théorie, personne n'est autorisé à stocker le code de sécurité, de sorte qu'un pirate informatique n'obtiendrait que le PAN et l'expiration, et ne pourrait plus l'utiliser, mais, en pratique, beaucoup trop de gens stockent encore le code de sécurité. Le secteur est La poursuite de ces objectifs (c'est l'un des aspects de l'initiative PCI DSS), mais il reste encore beaucoup à faire.

La véritable protection vient des nouvelles mesures d'authentification (3D Secure) qui permettent un autre mode de vérification au-delà de ces données. Selon la banque (ou même la carte), elles pourraient impliquer :

• un mot de passe
• un mot de passe à usage unique (OTP) envoyé par SMS ou par un autre moyen
• une authentification biométrique (empreinte digitale, reconnaissance faciale, scan de l'iris…)
• le fait de parler à la puce de la carte en utilisant le lecteur de carte connecté à votre ordinateur (je ne suis pas sûr que cela ait été déployé quelque part) …

Notez que le code de sécurité est utilisé seulement pour les transactions en ligne/MOTO (transactions “carte non présente”). Les transactions avec carte présente utiliseront l'un ou l'autre :

• un autre code de sécurité qui se trouve sur la bande magnétique (bien que celui-ci soit facile à copier)
• la communication avec la puce (sur les cartes qui en ont une) afin que la carte s'authentifie.

L'intention derrière le système de crédit est d'utiliser la confiance entre les différentes parties dans une affaire opportune. Cependant, le monde cybernétique est loin d'être à l'épreuve des balles. La plupart des exploits sont généralement réalisés dans le cadre de la conception même et non dans un autre cadre. Mon conseil à tous ceux qui cherchent à se rendre quelque part dans la vie en utilisant des ordinateurs, est de s'en tenir à des compétences commercialisables comme la réparation d'écrans et de cartes logiques plutôt que le vol informatique. Il est beaucoup plus facile de montrer au monde ce qu'il faut du temps pour comprendre, c'est-à-dire l'ingénierie électrique, plutôt que de harceler les autres en leur prenant (vol de cartes de crédit). Il semble qu'à l'avenir, la cybersécurité reposera sur des machines pensantes qui prendront des décisions répétitives, à partir desquelles les gens pourront décider quelle direction est la plus bénéfique à long terme.

Il existait auparavant un système “Verified by Visa” dans lequel la carte de crédit Visa comportait un mot de passe que le consommateur conservait. Le mot de passe n'était pas sur la carte. Le système “Verified by Visa” était utilisé pour les transactions sur Internet. Les commerçants avaient la possibilité de proposer ce système.