Europay Mastercard Visa
, abrege par le
sigle
EMV
, est depuis
le standard international de securite des
cartes de paiement
(
cartes a puce
). Il tire son nom des organismes fondateurs :
rejoints au sein de l'organisme EMVCo (base aux Etats-Unis) par :
Cette nouvelle technologie, dont la premiere version des specifications est parue en
, tire profit de la puce integree a la carte.
En
France
, depuis fin
, l'ancien systeme national
Cartes Bancaires
(CB) utilise desormais les cartes au standard EMV et l'ensemble du parc des
terminaux de paiement electroniques (ou TPE)
a ete amenage.
Principales caracteristiques :
Le standard international EMV specifie l'
interoperabilite
entre les cartes EMV a
microprocesseurs
(
cartes a puces
) et les
terminaux de paiement
EMV a travers le monde. Le passage a EMV sur les
cartes de paiement
apporte les deux avantages suivants :
- amelioration de la securite (entrainant une reduction de la fraude) ;
- un controle plus precis pour les transactions par
carte bancaire
≪ hors ligne ≫ (c'est-a-dire sans demande d'autorisation bancaire).
L'un des objectifs initiaux des specifications EMV etait de permettre le deploiement de cartes ≪ multi-applicatives ≫, c'est-a-dire que plusieurs applications peuvent tenir sur une seule et meme carte, par exemple :
- une application ≪ debit ≫ pour debiter le compte courant ;
- une application ≪ credit ≫ pour debiter la reserve de credit associee distincte du compte courant ;
- un porte-monnaie electronique (Moneo,
etc.
).
Le choix de l'application peut etre effectue, soit de maniere automatisee (c'est-a-dire sans intervention du porteur, en parametrant l'application qui sera prioritaire), soit en demandant le choix au porteur (par exemple, ≪ comptant ≫ ou ≪ credit ≫).
Les specifications EMV apportent une tres nette amelioration de la securite pour les transactions par carte a puce par rapport aux transactions par piste magnetique, ou la seule securite dans ce cas reste uniquement le controle de la signature du titulaire et une inspection visuelle de la carte (pour verifier la presence de l'
hologramme
, la coherence des numeros...). L'EMV permet l'utilisation d'un
code PIN
et des
algorithmes cryptographiques
tels que
DES
, Triple-DES,
RSA
et
SHA
afin de permettre a la carte et au terminal de s'authentifier mutuellement. Ces operations cryptographiques prennent relativement peu de temps. Elles peuvent etre completees par une demande d'autorisation bancaire (systematique a l'etranger). Le renforcement de la protection contre la fraude a permis aux banques et emetteurs de cartes de credit de ≪ transferer les responsabilites ≫ vers les commercants. Ceux-ci sont maintenant responsables (depuis le
en Union Europeenne) de toute fraude qui resulte de transactions sur les systemes qui ne sont pas compatibles avec les specifications EMV.
Bien que n'etant pas la seule methode d'authentification possible, la majorite des implementations de cartes et terminaux de paiement EMV exigent la saisie d'un code PIN (code confidentiel), au lieu ou en plus de la signature du recu papier. A noter, l'obligation de saisie du code PIN depend de la configuration de la carte et des terminaux. A l'etranger, il sera peut-etre simplement demande de signer. En France, pour les transactions superieures a 1 500
€
, les deux modes d'authentification sont obligatoires.
La specification EMV s'appuie sur la norme
ISO/IEC 7816
pour les echanges entre le lecteur et la carte. En particulier, la partie 3 de la norme definit les protocoles de transmission pouvant etre utilises pour les echanges entre le lecteur et la carte a puce en mode contact, tandis que la partie 4 definit le format des echanges au niveau applicatif, base sur les
APDU
. Le lecteur est maitre du dialogue: il emet les commandes auxquelles la puce repond apres traitement.
L'EMV utilise les commandes suivantes (normalisees ou specifiques):
- application block ;
- application unblock ;
- card block ;
- external authenticate (7816-4) ;
- generate application cryptogram ;
- get data (7816-4) ;
- get processing options ;
- internal authenticate (7816-4) ;
- PIN change / unblock ;
- read record (7816-4) ;
- select (7816-4) ;
- verify (7816-4).
Les commandes types ≪ 7816-4 ≫ sont definies par la norme ISO/IEC 7816-4. Ces commandes sont utilisees par differents types de cartes a puce comme les
cartes SIM
pour la telephonie mobile.
Une transaction EMV s'effectue selon ces etapes :
- selection de l'application EMV (CB, VISA...) ;
- initialisation de l'application ;
- lecture des donnees de l'application ;
- lecture des restrictions d'utilisation ;
- authentification des donnees hors ligne ;
- identification du porteur (Code confidentiel, Signature...) ;
- gestion du risque cote terminal ;
- analyse du risque et action terminal (Paiement accepte hors ligne, refuse hors ligne, Autorisation requise) ;
- premiere analyse du risque cote carte ;
- demande d'autorisation en ligne (le cas echeant) ;
- deuxieme analyse du risque cote carte ;
- execution du script final emetteur (mise a jour des parametres carte, blocage...).
La norme
ISO/IEC 7816
definit un processus de selection de l'application. Cela permet a la carte de disposer d'applications totalement differentes, par exemple CB EMV, Moneo, ou meme une application non bancaire, ≪ privative ≫. L'EMV permet de determiner le type d'application presente dans la carte. Tous les emetteurs de cartes (Visa, MasterCard, etc.) doivent avoir un identifiant d'application qui leur est propre. La methode de selection de l'application tel que defini dans les specifications EMV peut toutefois poser des problemes d'interoperabilites entre la carte et le terminal.
Le champ
application identifier
(AID) est utilise pour identifier l'application presente dans la carte. Les
5 premiers
octets de ce champ permettent d'identifier l'emetteur (RID :
registered application provider identifier
) tel que defini par la norme ISO/IEC 7816-5. Il est suivi par le champ PIX (
proprietary application identifier extension
) qui permet d'identifier l'application propre a l'emetteur (Visa debit, visa electron de chez Visa par exemple). L'AID figure sur l'ensemble des recus de carte de paiement EMV.
Emetteur
|
RID
|
Produit
|
PIX
|
AID
|
Visa
|
A000000003
|
Visa classique (debit ou credit)
|
1010
|
A0000000031010
|
Visa Electron
|
2010
|
A0000000032010
|
V PAY
|
2020
|
A0000000032020
|
Plus (Carte de retrait seulement)
|
8010
|
A0000000038010
|
MasterCard
|
A000000004
|
MasterCard classique (credit ou debit)
|
1010
|
A0000000041010
|
MasterCard
|
9999
|
A0000000049999
|
Maestro
|
3060
|
A0000000043060
|
Cirrus (Carte de retrait seulement)
|
6000
|
A0000000046000
|
MasterCard
|
A000000005
|
Maestro delivree uniquement au Royaume-Uni
|
0001
|
A0000000050001
|
American Express
|
A000000025
|
American Express
|
01
|
A00000002501
|
LINK (UK) ATM network
|
A000000029
|
Carte de retrait
|
1010
|
A0000000291010
|
CB
(France)
|
A000000042
|
CB (Carte bancaire francaise de paiement et retrait)
|
1010
|
A0000000421010
|
CB (Carte bancaire francaise de paiement et retrait, a autorisation systematique)
|
2010
|
A0000000422010
|
CB (Carte bancaire francaise de retrait seul)
|
3010
|
A0000000423010
|
CB (Carte bancaire francaise de paiement seul)
|
4010
|
A0000000424010
|
CB (Carte bancaire francaise de paiement seul, a autorisation systematique)
|
5010
|
A0000000425010
|
JCB
|
A000000065
|
Japan Credit Bureau
|
1010
|
A0000000651010
|
Dankort (Danemark)
|
A000000121
|
Debit card
|
1010
|
A0000001211010
|
CoGeBan (Italie)
|
A000000141
|
PagoBANCOMAT
|
0001
|
A0000001410001
|
Discover
|
A000000152
|
Diners Club/Discover
|
3010
|
A0000001523010
|
Banrisul (Bresil)
|
A000000154
|
Banricompras Debito
|
4442
|
A0000001544442
|
Saudi Payments Network (Arabie saoudite)
|
A000000228
|
SPAN
|
1010
|
A00000022820101010
|
Interac
(Canada)
|
A000000277
|
Carte de debit
|
1010
|
A0000002771010
|
Discover Card
|
A000000324
|
ZIP
|
1010
|
A0000003241010
|
UnionPay
|
A000000333
|
Debit
|
010101
|
A000000333010101
|
Credit
|
010102
|
A000000333010102
|
Quasi Credit
|
010103
|
A000000333010103
|
Electronic Cash
|
010106
|
A000000333010106
|
Zentraler Kreditausschuss (Allemagne)
|
A000000359
|
Girocard
|
1010028001
|
A0000003591010028001
|
Euro Alliance of Payment Schemes (Italie)
|
A000000359
|
PagoBANCOMAT
|
10100380
|
A00000035910100380
|
Verve (Nigeria)
|
A000000371
|
Verve
|
0001
|
A0000003710001
|
The Exchange Network ATM Network
|
A000000439
|
Carte de retrait
|
1010
|
A0000004391010
|
RuPay (India)
|
A000000524
|
RuPay
|
1010
|
A0000005241010
|
GIM-UEMOA
|
A000000337
|
RETRAIT
|
01 000001
|
A000000337301000
|
Huit pays en Afrique de l'Ouest
|
STANDARD
|
01 000002
|
A000000337101000
|
Benin, Burkina Faso, Cote d'Ivoire
|
CLASSIC
|
01 000003
|
A000000337102000
|
Guinee-Bissau, Mali, Niger
|
PREPAYE ONLINE
|
01 000004
|
A000000337101001
|
Senegal, Togo
|
PREPAYE POSSIBILE OFFILINE
|
01 000005
|
A000000337102001
|
|
PORTE MONNAIE ELECTRONIQUE
|
01 000006
|
A000000337601001
|
GIMAC
|
A000000656
|
Carte de debit
|
1010
|
A0000006561010
|
ПРО100 (Russie)
|
A000000432
|
Universal Electronic Card
|
0001
|
A0000004320001
|
Edenred
|
A000000436
|
Ticket Restaurant (Belgique)
|
0100
|
A0000004360100
|
Sodexo
|
D250000012
|
Ticket Restaurant (France)
|
1010
|
D2500000121010
|
Apetiz
|
D250000012
|
Ticket Restaurant (France)
|
2000
|
D2500000122000
|
Le terminal envoie a la carte la commande
get processing options
. Apres l'envoi de cette commande, le terminal fournit a la carte l'ensemble des informations dont elle a besoin et figurant dans une liste d'objets nommee
processing options data objects list
(PDOL). Cette liste est envoyee au terminal lors de la selection de l'application. La carte envoie ensuite la liste des fichiers et enregistrements que le terminal doit lire
(AFL : Application File Locator)
Depuis
, il est possible d'utiliser sa carte de type EMV afin de s'authentifier de maniere forte. Le nouveau protocole CAP (
Chip Authentication Protocol
) permet de generer un
One Time Password
.