Europay Mastercard Visa

Europay Mastercard Visa , abrege par le sigle EMV , est depuis 1995 le standard international de securite des cartes de paiement ( cartes a puce ). Il tire son nom des organismes fondateurs :

Europay International (absorbe par Mastercard en 2002 ) ;
MasterCard International ;
Visa International ;

rejoints au sein de l'organisme EMVCo (base aux Etats-Unis) par :

depuis decembre 2004 , le japonais JCB International ^[
1
] ;
depuis fevrier 2009 , l'americain American Express ^[
2
] ;
depuis mai 2013 , le chinois UnionPay ^[
3
] ;
depuis septembre 2013 , l'americain Discover ^[
4
].

Cette nouvelle technologie, dont la premiere version des specifications est parue en 1996 , tire profit de la puce integree a la carte.

En France , depuis fin 2006 , l'ancien systeme national Cartes Bancaires (CB) utilise desormais les cartes au standard EMV et l'ensemble du parc des terminaux de paiement electroniques (ou TPE) a ete amenage.

Principales caracteristiques :

interoperabilite internationale (quel que soit l'emetteur de la carte et quel que soit le terminal de paiement) ;
verification et chiffrement de la cle personnelle par la puce ;
gestion plus ouverte de plusieurs applications sur la carte : debit/credit, points de fidelite , porte-monnaie electronique , authentification forte .

Avantage de l'EMV [ modifier | modifier le code ]

Le standard international EMV specifie l' interoperabilite entre les cartes EMV a microprocesseurs ( cartes a puces ) et les terminaux de paiement EMV a travers le monde. Le passage a EMV sur les cartes de paiement apporte les deux avantages suivants :

amelioration de la securite (entrainant une reduction de la fraude) ;
un controle plus precis pour les transactions par carte bancaire ≪ hors ligne ≫ (c'est-a-dire sans demande d'autorisation bancaire).

L'un des objectifs initiaux des specifications EMV etait de permettre le deploiement de cartes ≪ multi-applicatives ≫, c'est-a-dire que plusieurs applications peuvent tenir sur une seule et meme carte, par exemple :

une application ≪ debit ≫ pour debiter le compte courant ;
une application ≪ credit ≫ pour debiter la reserve de credit associee distincte du compte courant ;
un porte-monnaie electronique (Moneo, etc. ).

Le choix de l'application peut etre effectue, soit de maniere automatisee (c'est-a-dire sans intervention du porteur, en parametrant l'application qui sera prioritaire), soit en demandant le choix au porteur (par exemple, ≪ comptant ≫ ou ≪ credit ≫).

Les specifications EMV apportent une tres nette amelioration de la securite pour les transactions par carte a puce par rapport aux transactions par piste magnetique, ou la seule securite dans ce cas reste uniquement le controle de la signature du titulaire et une inspection visuelle de la carte (pour verifier la presence de l' hologramme , la coherence des numeros...). L'EMV permet l'utilisation d'un code PIN et des algorithmes cryptographiques tels que DES , Triple-DES, RSA et SHA afin de permettre a la carte et au terminal de s'authentifier mutuellement. Ces operations cryptographiques prennent relativement peu de temps. Elles peuvent etre completees par une demande d'autorisation bancaire (systematique a l'etranger). Le renforcement de la protection contre la fraude a permis aux banques et emetteurs de cartes de credit de ≪ transferer les responsabilites ≫ vers les commercants. Ceux-ci sont maintenant responsables (depuis le 1 ^er janvier 2005 en Union Europeenne) de toute fraude qui resulte de transactions sur les systemes qui ne sont pas compatibles avec les specifications EMV.

Bien que n'etant pas la seule methode d'authentification possible, la majorite des implementations de cartes et terminaux de paiement EMV exigent la saisie d'un code PIN (code confidentiel), au lieu ou en plus de la signature du recu papier. A noter, l'obligation de saisie du code PIN depend de la configuration de la carte et des terminaux. A l'etranger, il sera peut-etre simplement demande de signer. En France, pour les transactions superieures a 1 500 € , les deux modes d'authentification sont obligatoires.

Commandes EMV [ modifier | modifier le code ]

La specification EMV s'appuie sur la norme ISO/IEC 7816 pour les echanges entre le lecteur et la carte. En particulier, la partie 3 de la norme definit les protocoles de transmission pouvant etre utilises pour les echanges entre le lecteur et la carte a puce en mode contact, tandis que la partie 4 definit le format des echanges au niveau applicatif, base sur les APDU . Le lecteur est maitre du dialogue: il emet les commandes auxquelles la puce repond apres traitement.

L'EMV utilise les commandes suivantes (normalisees ou specifiques):

application block ;
application unblock ;
card block ;
external authenticate (7816-4) ;
generate application cryptogram ;
get data (7816-4) ;
get processing options ;
internal authenticate (7816-4) ;
PIN change / unblock ;
read record (7816-4) ;
select (7816-4) ;
verify (7816-4).

Les commandes types ≪ 7816-4 ≫ sont definies par la norme ISO/IEC 7816-4. Ces commandes sont utilisees par differents types de cartes a puce comme les cartes SIM pour la telephonie mobile.

Transaction EMV [ modifier | modifier le code ]

Une transaction EMV s'effectue selon ces etapes :

selection de l'application EMV (CB, VISA...) ;
initialisation de l'application ;
lecture des donnees de l'application ;
lecture des restrictions d'utilisation ;
authentification des donnees hors ligne ;
identification du porteur (Code confidentiel, Signature...) ;
gestion du risque cote terminal ;
analyse du risque et action terminal (Paiement accepte hors ligne, refuse hors ligne, Autorisation requise) ;
premiere analyse du risque cote carte ;
demande d'autorisation en ligne (le cas echeant) ;
deuxieme analyse du risque cote carte ;
execution du script final emetteur (mise a jour des parametres carte, blocage...).

Selection de l'Application EMV [ modifier | modifier le code ]

La norme ISO/IEC 7816 definit un processus de selection de l'application. Cela permet a la carte de disposer d'applications totalement differentes, par exemple CB EMV, Moneo, ou meme une application non bancaire, ≪ privative ≫. L'EMV permet de determiner le type d'application presente dans la carte. Tous les emetteurs de cartes (Visa, MasterCard, etc.) doivent avoir un identifiant d'application qui leur est propre. La methode de selection de l'application tel que defini dans les specifications EMV peut toutefois poser des problemes d'interoperabilites entre la carte et le terminal.

Le champ application identifier (AID) est utilise pour identifier l'application presente dans la carte. Les 5 premiers octets de ce champ permettent d'identifier l'emetteur (RID : registered application provider identifier ) tel que defini par la norme ISO/IEC 7816-5. Il est suivi par le champ PIX ( proprietary application identifier extension ) qui permet d'identifier l'application propre a l'emetteur (Visa debit, visa electron de chez Visa par exemple). L'AID figure sur l'ensemble des recus de carte de paiement EMV.

Emetteur	RID	Produit	PIX	AID
Visa	A000000003	Visa classique (debit ou credit)	1010	A0000000031010
		Visa Electron	2010	A0000000032010
		V PAY	2020	A0000000032020
		Plus (Carte de retrait seulement)	8010	A0000000038010
MasterCard	A000000004	MasterCard classique (credit ou debit)	1010	A0000000041010
		MasterCard	9999	A0000000049999
		Maestro	3060	A0000000043060
		Cirrus (Carte de retrait seulement)	6000	A0000000046000
MasterCard	A000000005	Maestro delivree uniquement au Royaume-Uni	0001	A0000000050001
American Express	A000000025	American Express	01	A00000002501
LINK (UK) ATM network	A000000029	Carte de retrait	1010	A0000000291010
CB (France)	A000000042	CB (Carte bancaire francaise de paiement et retrait)	1010	A0000000421010
		CB (Carte bancaire francaise de paiement et retrait, a autorisation systematique)	2010	A0000000422010
		CB (Carte bancaire francaise de retrait seul)	3010	A0000000423010
		CB (Carte bancaire francaise de paiement seul)	4010	A0000000424010
		CB (Carte bancaire francaise de paiement seul, a autorisation systematique)	5010	A0000000425010
JCB	A000000065	Japan Credit Bureau	1010	A0000000651010
Dankort (Danemark)	A000000121	Debit card	1010	A0000001211010
CoGeBan (Italie)	A000000141	PagoBANCOMAT	0001	A0000001410001
Discover	A000000152	Diners Club/Discover	3010	A0000001523010
Banrisul (Bresil)	A000000154	Banricompras Debito	4442	A0000001544442
Saudi Payments Network (Arabie saoudite)	A000000228	SPAN	1010	A00000022820101010
Interac (Canada)	A000000277	Carte de debit	1010	A0000002771010
Discover Card	A000000324	ZIP	1010	A0000003241010
UnionPay	A000000333	Debit	010101	A000000333010101
		Credit	010102	A000000333010102
		Quasi Credit	010103	A000000333010103
		Electronic Cash	010106	A000000333010106
Zentraler Kreditausschuss (Allemagne)	A000000359	Girocard	1010028001	A0000003591010028001
Euro Alliance of Payment Schemes (Italie)	A000000359	PagoBANCOMAT	10100380	A00000035910100380
Verve (Nigeria)	A000000371	Verve	0001	A0000003710001
The Exchange Network ATM Network	A000000439	Carte de retrait	1010	A0000004391010
RuPay (India)	A000000524	RuPay	1010	A0000005241010
GIM-UEMOA	A000000337	RETRAIT	01 000001	A000000337301000
Huit pays en Afrique de l'Ouest		STANDARD	01 000002	A000000337101000
Benin, Burkina Faso, Cote d'Ivoire		CLASSIC	01 000003	A000000337102000
Guinee-Bissau, Mali, Niger		PREPAYE ONLINE	01 000004	A000000337101001
Senegal, Togo		PREPAYE POSSIBILE OFFILINE	01 000005	A000000337102001
		PORTE MONNAIE ELECTRONIQUE	01 000006	A000000337601001
GIMAC	A000000656	Carte de debit	1010	A0000006561010
ПРО100 (Russie)	A000000432	Universal Electronic Card	0001	A0000004320001
Edenred	A000000436	Ticket Restaurant (Belgique)	0100	A0000004360100
Sodexo	D250000012	Ticket Restaurant (France)	1010	D2500000121010
Apetiz	D250000012	Ticket Restaurant (France)	2000	D2500000122000

Initialisation de l'Application EMV [ modifier | modifier le code ]

Le terminal envoie a la carte la commande get processing options . Apres l'envoi de cette commande, le terminal fournit a la carte l'ensemble des informations dont elle a besoin et figurant dans une liste d'objets nommee processing options data objects list (PDOL). Cette liste est envoyee au terminal lors de la selection de l'application. La carte envoie ensuite la liste des fichiers et enregistrements que le terminal doit lire (AFL : Application File Locator)

Securite informatique et carte EMV [ modifier | modifier le code ]

Depuis 2007 , il est possible d'utiliser sa carte de type EMV afin de s'authentifier de maniere forte. Le nouveau protocole CAP ( Chip Authentication Protocol ) permet de generer un One Time Password .

Voir aussi [ modifier | modifier le code ]

Articles connexes [ modifier | modifier le code ]

Liens externes [ modifier | modifier le code ]

Notes et references [ modifier | modifier le code ]

↑ (en) ≪ JCB JOINS MASTERCARD AND VISA AS THIRD OWNER-MEMBER OF EMV™ STANDARDS BODY ≫
↑ (en) ≪ EMVCO WELCOMES AMERICAN EXPRESS AS ITS FOURTH OWNER-MEMBER ≫
↑ (en) ≪ EMVCo Welcomes UnionPay as its Latest Member ≫
↑ (en) ≪ EMVCo Membership Grows With Discover ≫

Portail de la securite informatique

[1] (en) ≪ JCB JOINS MASTERCARD AND VISA AS THIRD OWNER-MEMBER OF EMV™ STANDARDS BODY ≫

[2] (en) ≪ EMVCO WELCOMES AMERICAN EXPRESS AS ITS FOURTH OWNER-MEMBER ≫

[3] (en) ≪ EMVCo Welcomes UnionPay as its Latest Member ≫

[4] (en) ≪ EMVCo Membership Grows With Discover ≫

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]