Comment fonctionnent les cartes de crédit à puce et NIP

Un vendeur de journaux de rue (à gauche) utilise son appareil à puce et code PIN à l'extérieur de la station de métro South Kensington à Londres, 2013 Les cartes à puce et PIN sont largement utilisées en Europe.

Chaque titulaire de carte de crédit en Amérique connaît le rituel de paiement "glisser et signer". Alignez la bande magnétique, glissez la carte, appuyez sur "OK" pour le montant à facturer, puis signez votre griffonnage illisible à l'écran. Le système de balayage et de signalisation est si courant aux États-Unis que les voyageurs américains sont souvent choqués d'apprendre que presque aucun autre pays ne le fait encore de cette façon. La norme internationale de sécurité des cartes de crédit s'appelle "puce et code PIN", et elle se trouve désormais dans les portefeuilles américains.

Avec les cartes à puce et PIN, les données de la carte de crédit sont stockées sur une minuscule puce informatique - pas une bande magnétique - et les clients saisissent un PIN à quatre chiffres (numéro d'identification personnel) au lieu de signer l'écran.

Les cartes de crédit à puce et à code PIN ont fait la une des journaux aux États-Unis en décembre 2013 lorsque des pirates ont volé les informations de carte de crédit et de débit de 40 millions de clients cibles, ainsi que les noms et adresses e-mail de 70 millions de plus [source :Harris]. Le magasin d'artisanat Michaels et le détaillant Neiman Marcus ont également été victimes de violations massives de données. Les experts en sécurité pensent que les pirates ont installé à distance des logiciels malveillants sur les caisses des entreprises qui volaient les données de carte de crédit chaque fois qu'un client glissait une carte [source :Hu].

À la suite de la violation de données, Target s'est engagé à faire passer ses cartes de crédit et de débit de marque de magasin à la nouvelle technologie à puce et à code PIN [source :Harris]. Visa et Mastercard ont annoncé des plans similaires pour passer des bandes magnétiques à la puce et au code PIN d'ici octobre 2015 [source :Gara].

Que signifiera le changement de carte de crédit pour le consommateur américain moyen ? Les cartes à puce et PIN sont-elles vraiment plus sûres que les pistes magnétiques ? Et si vous vouliez une carte à puce avec NIP maintenant? Les magasins américains les acceptent-ils même ?

Commençons par un bref historique de la technologie puce et code PIN et de son fonctionnement réel.

Que sont les cartes de crédit à puce et NIP ?

Une carte de crédit allemande affiche une puce informatique plutôt qu'une bande magnétique. Les cartes à puce et NIP comme celle-ci deviendront la norme aux États-Unis.

Les cartes de crédit à puce et NIP représentent une importante mise à niveau technologique par rapport aux cartes de crédit traditionnelles à bande magnétique. Au lieu d'intégrer les numéros de carte de crédit et les informations sur le titulaire de la carte dans une bande magnétique, toutes les données sont contenues dans une minuscule puce informatique intégrée à la carte.

La technologie puce et code PIN existe depuis 1984, lorsque les banques françaises ont commencé à tester les cartes à puce. En 1996, les principales sociétés de cartes de crédit au monde ont collaboré pour créer une nouvelle norme plus sécurisée basée sur la technologie française. Dans l'industrie, les cartes à puce et à code PIN sont appelées cartes EMV, un acronyme pour Europay, MasterCard et Visa, les trois cartes de crédit. entreprises qui ont développé les premières spécifications technologiques internationales pour les cartes à puce et PIN [source :EMVCo].

La puce informatique à l'intérieur d'une carte à puce et NIP fonctionne comme un petit ordinateur. Non seulement la puce peut stocker des données, mais c'est aussi un processeur de données. L'une des raisons pour lesquelles les cartes à puce et PIN sont si sécurisées est que la puce utilise la cryptographie pour protéger les données sécurisées lors de la communication avec un lecteur de carte [source :EMVCo]. La puce elle-même n'a pas de source d'alimentation, mais elle entre en action lorsqu'elle entre en contact avec un terminal de caisse.

La manière la plus courante d'utiliser une carte à puce et PIN consiste à insérer l'extrémité de la carte dans une fente d'un lecteur de carte. Selon le type de terminal, vous saisirez ensuite un code PIN à quatre chiffres ou signerez un reçu imprimé. Il existe également des bornes d'encaissement dites "sans contact" où il suffit de tenir la carte près du lecteur pour activer la puce. La même technologie de puce est utilisée dans les téléphones portables pour permettre les paiements mobiles en déplacement.

L'un des avantages de la technologie puce et code PIN est que le lecteur de carte n'a pas besoin d'être connecté à un téléphone ou à une ligne Internet pour traiter la charge. Avec les cartes à bande magnétique, le lecteur de carte doit "parler" avec la compagnie de carte de crédit avant d'autoriser la charge. (Auparavant, les caissiers appelaient la charge par téléphone.) Dans les endroits où les réseaux de téléphonie sont lents, les terminaux à puce et à code PIN peuvent fonctionner hors ligne, traitant la charge à l'aide de la puce seule, puis autorisant les charges en masse à la fin de le jour [source :Gara].

Examinons maintenant de plus près le problème de la fraude par carte de crédit et comment la puce et le code PIN réduisent le vol.

Cartes de crédit à puce et NIP et sécurité

Un lecteur de carte de crédit typique dans les magasins Target donne au client la possibilité d'entrer un code PIN ou de signer. Avec la violation massive de carte de crédit que Target a connue, elle est passée aux cartes de magasin à puce et à code PIN.

La violation de données de Target au cours de la saison des achats des Fêtes 2013 a été le plus grand incident de vol de carte de crédit et de fraude de l'histoire du commerce de détail. Les pirates — qui n'ont jamais été attrapés — ont mis la main sur les données personnelles de millions de clients de Target [source :Floum]. Cela a servi de signal d'alarme aux entreprises américaines concernant les coûts de la fraude par carte de crédit, à la fois pour leurs résultats et leur réputation.

Les consommateurs américains représentent un quart des achats par carte de crédit dans le monde, mais sont victimes de 50 % des fraudes par carte de crédit dans le monde [source :Floum]. Aux États-Unis, le taux a doublé depuis le début des années 2000 avec la diffusion des cartes à puce et PIN dans toute l'Europe [source :Schneider].

Comme l'ont démontré les pirates de Target, les données encodées dans la technologie de bande magnétique à l'ancienne sont relativement faciles à voler. Les cartes de crédit à bande magnétique sont également beaucoup plus faciles à contrefaire que les cartes à puce et à code PIN. Et les cartes à bande magnétique n'offrent presque aucune protection contre le type de vol d'identité le plus élémentaire :voler le portefeuille ou le sac à main de quelqu'un. Étant donné que les cartes à bande magnétique ne nécessitent aucun code PIN, un voleur peut simplement griffonner une fausse signature. Votre signature "numérique" ressemble-t-elle à la vraie ? - et s'éloigner.

La principale raison pour laquelle les cartes à puce et NIP sont plus sûres que les cartes à bande magnétique est qu'elles nécessitent un NIP à quatre chiffres pour l'autorisation. C'est le moyen le plus simple de savoir que le titulaire de la carte est le véritable propriétaire de la carte. De plus, étant donné que toutes les données et communications sont protégées par cryptographie, cela rend les cartes à puce et PIN infiniment plus difficiles à pirater.

Cependant, ni les cartes à bande magnétique ni les cartes à puce et NIP n'offrent une protection suffisante contre les achats frauduleux en ligne. En fait, au Royaume-Uni, alors que la fraude par carte de crédit en magasin a considérablement diminué, la fraude liée à l'utilisation de la carte de crédit par téléphone ou Internet a explosé [source :Bell].

En Europe occidentale, plus de 80 % de toutes les cartes de crédit sont dotées de la technologie à puce et à code PIN, et 99,9 % des lecteurs de cartes sont équipés pour les lire. Au Canada et en Amérique latine, le taux d'adoption des cartes à puce et NIP est d'environ 54 % [source :EVMCo]. Les États-Unis ont résisté au changement, faisant des consommateurs américains et de leurs cartes de crédit le « fruit à portée de main » pour les pirates. Mais plus maintenant.

Puce et code PIN en Amérique

Pourquoi les États-Unis sont-ils l'un des derniers pays au monde à adopter les cartes de crédit à puce et NIP ? Tout d'abord, l'Amérique dispose d'une solide infrastructure de télécommunications, ce qui facilite l'autorisation instantanée des achats effectués avec une carte à bande magnétique, de sorte que la capacité hors ligne n'est pas si attrayante. Deuxièmement, la fraude par carte de crédit était historiquement concentrée dans d'autres pays, ce qui les a rendus plus désireux d'adopter la technologie de la puce et du code PIN.

Enfin, il en coûtera aux détaillants et aux banques américains environ 8 milliards de dollars pour effectuer le changement, entre la mise à niveau des cartes de crédit elles-mêmes ainsi que celle des lecteurs utilisés dans les établissements de vente au détail [source :Schneider]. (Il en coûte environ 2 $ pour produire et distribuer une carte magnétique et 15 à 20 $ pour produire et distribuer une carte à puce et PIN [source :Bell].) Et le marché des cartes de crédit aux États-Unis est si vaste et complexe — plus de 15 000 Les banques américaines émettent des cartes — qu'il est plus difficile de mettre en œuvre des changements à grande échelle que dans les pays dotés d'un système bancaire et de crédit plus centralisé [source :Ghahremani].

Mais, des attaques très médiatisées comme celle de Target et la concentration croissante de fraudes par carte de crédit aux États-Unis ont changé d'avis. Les deux plus grandes sociétés américaines de cartes de crédit, Visa et MasterCard, ont mis en place une feuille de route pour passer aux cartes de crédit à puce et PIN d'ici octobre 2015. Visa et MasterCard n'obligeront pas les banques et les commerçants à émettre les nouvelles cartes, mais ils les retiendront responsable des fraudes qui se produisent avec des cartes à bande magnétique plus anciennes [source :Gara]. En prévision du changement, de grands détaillants comme Wal-Mart et Target ont déjà investi dans des terminaux de paiement capables de traiter les cartes à puce et PIN [source :Schneider].

Pour plus d'informations sur le fonctionnement des cartes de crédit, comment éviter le vol d'identité et des conseils pour voyager à l'étranger, consultez les articles HowStuffWorks sur la page suivante.