la cyber-sécurité

Sécurité des cartes de paiement

Sécurité des cartes de paiement

Les cartes de paiement modernes sont équipées d’un certain nombre de solutions technologiques qui augmentent le niveau de sécurité de leur utilisation. D’une part, ces éléments de sécurité doivent bien protéger la carte et, d’autre part, ils doivent être facilement vérifiables par le commerçant, l’acheteur et l’émetteur de la carte (la banque). Ils doivent s’assurer que :

  • La carte est originale et n’a pas été falsifiée par des criminels ;
  • Son propriétaire est celui qui prétend avoir déjà été soigné.

Par conséquent, pour réduire les risques de fraude, les organismes de cartes et les banques utilisent un système de sécurité à plusieurs niveaux. Il est construit de manière à ce que ses zones individuelles soient complémentaires les unes des autres. Ce système comprend :

  • sécurité visuelle manifeste et cachée ;
  • sécurité électronique intégrée à la carte ;
  • Des mesures de sécurité protègent la transmission des données pendant le processus d’autorisation de paiement.

sécurité visuelle

La principale protection d’une carte de paiement contre la contrefaçon et l’utilisation non autorisée est la personnalisation, c’est-à-dire l’attribution de la carte à un client spécifique, à la banque et à l’organisation de la carte. Cette suite de sécurité comprend :

  • Numéro de carte à 16 chiffres (en relief au bas du visage);
  • Date d’expiration de la carte, spécifiée au format MM / AA – l’ancienne carte doit être réservée automatiquement ou rejetée par le guichet automatique ou au point de vente ;
  • nom et prénom du titulaire de la carte – la carte ne peut être utilisée que par la personne dont les données personnelles figurent sur le plastique ;
  • Le code CVC2/CVV2 à trois chiffres, qui est une fonction de sécurité dans les transactions à distance où un code PIN ne peut pas être utilisé. Il est déposé uniquement au dos de la carte et dans le système informatique de la banque ;
  • La signature du propriétaire (et dans le cas des cartes de visite – le nom de l’entreprise gravé). Les cartes non signées sont considérées comme invalides ;
  • Chaque carte de paiement doit également contenir le logo du système (par exemple VISA, Eurocard/Mastercard, PolCard, American Express).

Un fait intéressant est qu’une autre forme de sécurité est l’ordre exact de tous les éléments qui apparaissent sur la carte. Chaque vendeur, ainsi que l’appareil, reçoit des instructions de l’opérateur, dans lesquelles l’ordre des détails individuels est décrit. Par exemple, dans les directives PaySquare pour les vendeurs, il y a des informations selon lesquelles dans le cas des cartes de marque Mastercard, « Les quatre chiffres sous le numéro de carte doivent correspondre aux quatre premiers chiffres du numéro de carte et commencer par ‘5’, la carte numéro » doit être dans l’ordre en blocs quadrangulaires et est identique en taille et en forme.

Bien sûr, la personnalisation de la carte n’est pas sa seule sécurité. De plus, les émetteurs de cartes y apposent des marquages ​​spéciaux qui rendent difficile la contrefaçon de plastique. Cet ensemble de fonctions de sécurité comprend les éléments suivants : hologrammes, graphiques, impressions fines, ainsi que des caractères qui ne sont visibles que sous la lumière UV.

hologramme

Un hologramme est une étiquette optique tridimensionnelle, gravée sur une fine feuille sensible à la lumière laser. Le contenu de l’hologramme apparaît dans la bonne lumière et dans la bonne position de la carte. L’hologramme ne peut pas être retiré ou modifié car il est fondu dans le matériau de la carte à l’aide d’une méthode connue sous le nom de feuille d’estampage à chaud.

L’hologramme est l’une des meilleures caractéristiques de sécurité ouvertes des cartes de paiement. Un énorme avantage est la possibilité d’une vérification rapide par le commerçant qui ne nécessite pas d’appareils supplémentaires sur le lieu de la transaction, par exemple dans un magasin, un restaurant ou une station-service.

L’utilisation d’hologrammes est assez coûteuse (en raison du coût très élevé de la matrice), mais – paradoxalement – c’est ce facteur qui empêche les fraudeurs de créer des « faux ». Malheureusement, il y a des cas où les criminels investissent dans une presse à imprimer coûteuse et sont capables de produire des cartes avec un hologramme apparemment original.

Fun fact : il y a quelques années, la police polonaise a démantelé un gang qui avait ainsi formé plus de 2 000 personnes. Cartes de crédit, puis avec leur aide, les marchandises ont été volées pour au moins 1,5 million de PLN.

Graphiques de sécurité et impressions fines

Ces articles sont classés comme dispositifs de sécurité cotés car ils sont difficiles à voir à l’œil nu. Ce sont des graphiques très complexes, irréguliers et petits qui sont appliqués sur la carte lors du processus d’impression avec du ruban adhésif spécialisé.

Les micro-impressions ne deviennent visibles que sous la bonne lumière et à fort grossissement, de sorte que les revendeurs de cartes ne sont pas tenus de les vérifier. Ils sont souvent utilisés pour valider la carte à un niveau de recherche spécialisé lors d’enquêtes menées par les forces de l’ordre.

Caractéristiques de sécurité visibles dans les rayons UV

En règle générale, ce sont des symboles graphiques d’organismes de paiement, mais pas toujours. Parfois, les lettres sont aussi des lettres simples que le spectateur place à un endroit inattendu, par exemple dans le coin d’une carte, sous le revêtement recouvrant la bande magnétique, etc. Une encre spéciale est utilisée pour réaliser l’impression ultraviolette, qui a des propriétés chimiques qui rendent impossible la lecture d’un tel panneau à l’œil nu.

Fait amusant : sous la lumière UV, une lettre V supplémentaire apparaît sur la carte Visa entre les lettres « I » et « S ». Sur les cartes Mastercard – l’abréviation MC se trouve sur le côté gauche de la carte.

Si le commerçant de la carte émet des réserves quant à son authenticité, il peut vérifier cette garantie de manière indépendante (il ne s’agit toutefois pas d’une obligation impérative). Cependant, les opérateurs de terminaux indiquent toujours dans leurs instructions aux commerçants quelle est la composante UV sur un type de carte particulier, afin que les commerçants sachent où et quelle marque elle doit apparaître.

Signature Tape – Protection Spéciale

L’un des éléments exceptionnellement protégés de la carte est la sangle au dos, sur laquelle le titulaire de la carte en plastique appose sa signature. Cet endroit est équipé d’un certain nombre de dispositifs de sécurité différents tels que l’impression UV et/ou le gaufrage imbriqué.

 

De plus, sous l’imprimé miniature se trouve une couche de peinture blanche, qui est l’arrière-plan de la signature. Une tentative frauduleuse de supprimer ou de rayer le nom sur la barre supprime automatiquement le support, et le champ endommagé affiche ‘VOID’ (Mastercard) ou ‘Carte invalide’.

L’utilisation de nombreux éléments de sécurité est dictée par le fait que dans le cas de transactions hors ligne, c’est la signature qui permet aux vendeurs de vérifier l’identité du propriétaire du plastique. Cependant, comme nous le savons bien, les vendeurs regardent rarement notre carte lorsque nous payons avec. Tout d’abord, parce qu’une vérification approfondie de chaque carte prendra très longtemps, et deuxièmement – la première fois qu’ils essaieront de le faire, ils risquent de perdre le client pour toujours. Pour cette raison, les banques s’appuient davantage sur la sécurité à distance.

la cyber-sécurité

Cependant, comment vérifier à distance si la personne qui utilise la carte a le droit de le faire ?Dans le cas des transactions en ligne (telles que les retraits d’espèces aux guichets automatiques), la sécurité visuelle devient moins importante et la sécurité électronique devient plus importante. Grâce à eux, l’émetteur de la carte (la banque) peut s’assurer qu’une certaine opération a été ordonnée par le vrai titulaire de la carte et non par une fraude.

La principale sécurité de la carte est un code PIN (numéro d’identification personnel).C’est une sorte de « signature électronique » du propriétaire du plastique et elle est traitée par les institutions financières sur un pied d’égalité avec une signature manuscrite. Ce code à quatre chiffres vous permet d’effectuer des transactions dans les magasins et de retirer de l’argent aux guichets automatiques, tout en protégeant nos économies – bien sûr uniquement si nous prenons soin de leur sécurité et ne la partageons pas imprudemment avec des voleurs.

La sécurité électronique comprend également une bande magnétique et/ou une puce.C’est à ces endroits que se trouve le jeu de données codées sur le support en plastique. Les informations stockées dans la puce du processeur sont complémentaires à la sécurité visuelle de la carte et sont utilisées pour permettre des transactions à distance.

Carte à bande magnétique vulnérable à la fraude

La bande magnétique se compose de trois chemins, c’est-à-dire de champs magnétiques parallèles, qui sont lus par un en-tête magnétique situé dans un guichet automatique ou un terminal. La première piste contient le nom et le prénom du titulaire de la carte ainsi que les coordonnées du pays et de la banque qui a émis la carte. La deuxième piste contient le numéro de carte, sa date d’expiration et le code de service nécessaire pour effectuer correctement la transaction.En revanche, la troisième voie sert à enregistrer des informations bancaires privées.

Malheureusement, les fonctions de sécurité utilisées dans ce type de carte sont très faciles à déchiffrer. À l’aide d’un appareil appelé programmateur, les fraudeurs peuvent facilement copier le contenu de la bande et transférer les données sensibles de la carte sur sa copie. Une carte clonée fonctionne exactement comme la carte d’origine et les transactions sont effectuées avec celle-ci au profit de son propriétaire légitime.

Cartes à puce plus résistantes à la copie

Les cartes à puce qui ont remplacé les cartes à bande magnétique sont équipées d’un système de sécurité bien meilleur. En plus du microprocesseur, il contient également une ROM permanente sur laquelle le système d’exploitation est chargé. Nous excellons dans :

  • zone de lecture gratuite – contient les données cryptées du titulaire de la carte : son nom, prénom, numéro d’identification de la carte, date d’expiration, ainsi que le nom de l’institution financière qui l’a émise ;
  • Zone secrète – accessible après avoir entré le code PIN.Dans cette zone, des informations sur le fabricant de la carte et des données confidentielles sur l’utilisateur sont stockées ;
  • Espace de travail – où les données variables sont stockées (par exemple, la liste des transactions par carte, le solde du compte bancaire, les compteurs de transactions, etc.).

De plus, la puce est équipée d’un coprocesseur pour le codage, qui fonctionne sur la base d’algorithmes complexes. De plus, la communication entre le programme et le processeur peut également être cryptée, ce qui constitue une protection supplémentaire contre les attaques de pirates informatiques avancées.

En bref, la puce intégrée à la carte utilise des techniques de cryptage à plusieurs étapes et génère des données dynamiques uniques pour chaque transaction (ce que l’on appelle la signature de message). Par conséquent, il est presque impossible de copier les informations sur la carte à puce.

La sécurité couvre le processus d’autorisation

Lorsque nous payons avec une carte dans un magasin ou avec son aide nous retirons de l’argent à un guichet automatique, notre banque doit s’assurer que nous avons le droit de le faire et ne pas prétendre être le propriétaire légitime du plastique. Ce processus s’appelle l’autorisation et la transaction en ligne se déroule comme suit : un guichet automatique ou un terminal lit les données de la puce ou de la bande magnétique et les envoie à l’acheteur qui vérifie que la carte est valide. Si tel est le cas, l’acheteur doit saisir le code PIN, qui est toujours crypté dans l’appareil, et l’envoyer à la banque sous cette forme (même une personne travaillant au centre d’autorisation ne peut pas le lire). Si le code PIN est correct, l’ordinateur du centre de facturation autorise la transaction.

Il convient de noter que les systèmes d’autorisation des banques intègrent des mesures de sécurité supplémentaires pour aider à détecter la fraude, c’est-à-dire les transactions par carte non conventionnelles et suspectes.Si un paiement particulier diffère de l’algorithme de transaction typique qu’un client particulier effectue, par exemple à 13 heures, il paie avec une carte à Żabka, et après quelques heures achète une Mercedes en Floride, la banque peut décider de tomber entre de mauvaises mains et interrompre le processus d’autorisation (voire à l’insu du titulaire de la carte pour bloquer la carte).

Les transactions hors ligne sont autorisées quelque peu différemment, par exemple avec une carte sans contact. Dans ce cas, le guichet automatique ou le terminal ne contacte pas le centre d’autorisation de la banque et vérifie les données nécessaires pour effectuer lui-même la transaction. Comme mesure de sécurité supplémentaire, l’appareil vérifie automatiquement si une carte particulière n’est pas incluse dans la soi-disant cessation de vacances, c’est-à-dire la liste des cartes volées et restreintes. Dans ce cas, l’appareil arrête l’autorisation et affiche un message au concessionnaire qui doit conserver la carte à ce stade.

Nous avons discuté en détail du cheminement du processus de licence dans cet article.

Sécurité des paiements en ligne

La situation concernant la sécurisation des transactions en ligne est moins claire, au cours de laquelle le vendeur n’est pas en mesure d’évaluer visuellement l’authenticité de la carte, et la seule forme de vérification de l’identité du propriétaire du plastique est le code CVC2 / CVV2 à trois chiffres . Si un voleur vole notre carte, il n’a pas besoin de connaître le code PIN – tout ce qu’il a à faire est de fournir les détails sensibles de la carte et les paiements des achats seront débités de notre compte.

Une solution pour prévenir ce type de fraude est le service 3D Secure proposé par la plupart des banques polonaises. Il consiste en une confirmation supplémentaire de la transaction à l’aide d’un mot de passe à usage unique. Selon l’outil d’autorisation que nous utilisons, il peut s’agir d’un code provenant d’un SMS, d’une carte à gratter ou d’un jeton. Après avoir confirmé que la personne qui a effectué l’achat est bien le titulaire de la carte, la banque transmet la transaction pour obtenir l’autorisation normale.

Il convient de noter que les propriétaires de boutiques en ligne sont également tenus d’assurer la sécurité des transactions. Tout d’abord, ils doivent garantir à leurs clients que le transfert de données entre leurs ordinateurs personnels et le serveur sur lequel le site Web et la base de données sont hébergés dans le magasin est résistant aux pirates. L’outil principal qui permet une telle protection est un certificat SSL (Secure Socket Layer). Il a trois fonctions importantes :

  • Permet de crypter les données, grâce à une confidentialité totale ;
  • protège l’intégrité des données en transit – les données ne peuvent pas être modifiées par des tiers ou cette modification est détectée automatiquement ;
  • Les utilisateurs ont la garantie qu’ils ont atterri sur une page sécurisée et qu’ils n’ont pas été redirigés vers un site faux mais similaire à confusion.

L’information indiquant que la boutique en ligne possède un certificat SSL apparaît dans l’adresse du site Web : le préfixe « https » indique que le site Web utilise une connexion cryptée. L’icône supplémentaire est l’icône du cadenas ou le champ d’adresse vert.

Cependant, de nombreuses grandes boutiques en ligne utilisent un système de sécurité supplémentaire très strict, développé conjointement par les plus grands organismes de paiement. La norme dite PCI DSS (Payment Card Industry Data Security Standard) couvre 12 domaines importants liés au stockage, à l’envoi et au traitement des données qui identifient les cartes individuelles. Le non-respect des exigences PCI DSS peut entraîner de graves conséquences commerciales et financières pour la Société, et peut également entraîner son exclusion de la participation au service de carte de paiement.

sécurité future

ومع ذلك ، ربما – في المستقبل البعيد إلى حد ما – سيتم تنفيذ تدابير أمنية من شأنها أن تقلل محاولات تزوير البطاقات إلى الصفر تقريبًا وستجعل من السهل التحقق من هوية مستخدم البلاستيك.

اليوم ، تعمل أكبر منظمات الدفع بالفعل على بطاقات بيومترية تسمح بتحديد هوية شخص معين على أساس السمات الفسيولوجية الفريدة ، مثل نمط بصمة الإصبع ، وترتيب الأوعية الدموية ، ونمط قزحية العين أو هندسة اليد.

قد يكون الحل البديل هو البطاقات المصرفية على شكل شريحة مزروعة تحت الجلد بوحدة NFC ، والتي تُستخدم الآن في البطاقات غير التلامسية. لا يمكن تزوير هذه البطاقات أو انتحال صفتها بأي شكل من الأشكال ، لذلك ستكون نقطة ضعفها الوحيدة هي نقل البيانات.

يمكنك قراءة المزيد عن البطاقات التي تحتوي على رقم تعريف شخصي حيوي في هذه المقالة.

ملخص

Certes, l’introduction de la sécurité optique et des puces a empêché le clonage des cartes de paiement, mais les criminels n’ont pas abandonné. Aujourd’hui, la véritable bataille pour la sécurité des cartes de paiement se déroule dans le cyberespace, et les endroits les plus vulnérables aux attaques sont les canaux de transmission utilisés pour transmettre les données nécessaires au processus d’autorisation. L’interception des informations stockées dans le processeur de carte vous permet toujours de vous faire passer pour le propriétaire du plastique et d’effectuer des paiements sur son compte.

Cependant, parfois, les criminels n’ont pas à faire beaucoup d’efforts, car nous leur fournissons nous-mêmes – de manière imprudente – ces données. La fraude par carte de paiement représente actuellement 92 % de tous les délits contre les clients des banques. Par conséquent, au final, il convient de noter un autre élément de sécurité très important de la carte, qui doit être notre bon sens.كما يجب علينا أن نعتني بأمن بطاقات الدفع بأنفسنا ، ونستخدمها بطريقة حكيمة وحذرة.

شاهد المزيد

Paiement par carte en ligne

Articles similaires

Bouton retour en haut de la page