Dans un article récent intitulé, « Les skimmers jouent-ils carte sur table ? Le piratage des distributeurs automatiques « , nous vous expliquions qu’il est facile de perdre votre argent à cause des astuces utilisées dans les fraudes à la carte bancaire. La principale raison pour laquelle cela continue à se produire est le système de sécurité rudimentaire des cartes bancaires qui date des années 70. Les données sur la bande magnétique sont écrites en texte clair et le code PIN, un code court à 4 chiffres qui peut être facilement volé est la seule barrière de protection qui permet d’assurer la sécurité de votre compte bancaire.
Pas besoin de préciser que l’industrie financière, qui perd actuellement des sommes d’argent immenses à cause des fraudeurs, fait de son mieux pour déployer des technologies de sécurité des transactions plus avancées.
Désormais, le projet le plus efficace de tous en matière de technologie est celui des cartes à puce (ou cartes EMV). Après leur prolifération massive en Europe et au Canada, le nombre de cas de clonage de carte dans ces régions à considérablement diminué. Les voleurs de données de cartes bancaires qui utilisent des skimmers sont partis aux États-Unis et en Asie où les cartes EMV ne sont pas beaucoup utilisées.
Néanmoins, si le système EMV est avancé en matière de protection des cartes bancaires, il n’est pas infaillible et ne peut pas protéger contre toutes les menaces – surtout si les techniques de skimming continuent d’évoluer. Ces dernières finiront peut-être par fonctionner sur plusieurs types de cartes.
Mais à quoi ressembleront ces cartes bancaires du futur ? Nous vous donnons un aperçu.
Mot de passe et réponse
La solution la plus évidente est d’ajouter une couche de sécurité supplémentaire – telle qu’une authentification à deux facteurs qui est désormais très répandue sur Internet.
Sur le Web, ce système fonctionne réellement. Au moment de payer en ligne, en plus du code de sécurité CVV2 au dos de votre carte, l’utilisateur doit également rentrer un mot de passe à usage unique qui lui a été envoyé par SMS sur son téléphone mobile, qu’il peut imprimer dans un guichet automatique ou qui a été généré par un dispositif autorisé par une banque. Une authentification à deux facteurs peut également être utilisée pour différentes transactions hors ligne si celles-ci impliquent des sommes d’argent importantes.
Les cartes bancaires disposant d’un système d’affichage intégré utilisent une méthode d’authentification similaire. Dans ce cas, la carte bancaire est équipée d’un mini-ordinateur intégré, d’un écran LCD et d’un clavier numérique. En plus de générer des mots de passe à usage unique, ce système est capable d’afficher le solde du compte, l’historique des transactions, etc.
Card with keypad adds additional layer of #security http://t.co/5G9O5L1DvH READ how #MasterCard adopted tech http://t.co/CzCD2X8ZYV
— Mastercard News (@MastercardNews) March 17, 2014
Bien que les premières cartes interactives soient apparues il y a maintenant 5 ans, seules quelques banques en Europe, aux États-Unis et dans les pays asiatiques les plus développés les proposent à leurs clients.
Carte à la demande
Dynamics, une compagnie américaine, fournie une solution encore plus originale. La carte ne possède pas de bande magnétique dans le sens propre du terme. Cette dernière est générée sur demande par un dispositif intégré et l’utilisateur doit d’abord rentré un mot de passe via un clavier intégré.
Nick Brazzi from @Lynda calls our security-focused interactive payment card his favorite tech at #CES2015. http://t.co/WrNdM9IbDf
— Dynamics Inc (@dynamicsinc) January 8, 2015
Si vous ne connaissez pas le mot de passe, la bande magnétique ne sera pas générée et par conséquent, la transaction ne pourra pas être exécutée. De plus, ce type de carte ne possède pas 16 chiffres : une partie de la séquence numérique n’est pas imprimée sur le plastique mais s’affiche sur un écran une fois que le propriétaire de la carte rentre le mot de passe.
Puis-je avoir votre doigt ?
Un mot de passe peut être un moyen efficace de protéger votre carte mais il ne servira à rien sur un utilisateur étourdi n’est pas capable de le garder secret. Nous connaissons tous les histoires des » petits malins » qui écrivent leur code PIN sur leur carte bancaire pour ensuite la perdre.
L’authentification biométrique est une solution radicale à ce problème. Zwipe, une compagnie norvégienne, en association avec Mastercard, est actuellement en train d’essayer une carte bancaire disposant d’un scanner d’empreinte digitale. La seule chose dont vous avez besoin pour approuver la transaction est de placer votre doigt sur la zone de contact et – adieu code PIN !
La physique quantique nous vient en aide
Malgré des décennies de recherche, des ordinateurs quantiques capables de fonctionner parfaitement restent un rêve. Mais il y a une lueur d’espoir : certaines fonctionnalités des technologies quantiques serviront à créer des identifiants impossibles à imiter.
Des études de l’université de Twente et de l’université technologique d’Eindhoven (toutes deux situées aux Pays-Bas) ont prévu d’utiliser un système de sécurité quantique pour les cartes bancaires et les cartes d’identité. Bien qu’il ne s’agisse que d’expériences en laboratoire pour le moment, leur modèle de système de sécurité basé sur la physique quantique est développé sous le nom de QSA (Quantum Secure Authentification).
Security researchers are using quantum physics for fraud-proof credit cards: Quantum-Secure Authentication me… http://t.co/JTuB8EUxOb
— The INQUIRER (@INQ) December 18, 2014
Une minuscule partie de la carte en plastique est recouverte d’une couche extrêmement fine d’oxyde de zinc (rien de magique ici – il est aussi appelé » zinc blanc « ). Cette partie est ensuite bombardée de photons émis par un laser. Quand ils rentrent en contact avec les nano particules, les photons se réfléchissent dans la couche d’oxyde de zinc. Ce processus altère les propriétés optiques de la couche de particules, formant ainsi une clé unique.
Donc, si quelqu’un utilise une séquence d’impulsions laser sur une telle carte (c’est-à-dire, » pose la question « ), il recevra une réflexion spécifique (c’est-à-dire, la » réponse « ). Une combinaison de » question et réponse » uniques est stockée dans le système de données de la banque et sera utilisée pour identifier la clé.
Si un criminel essaie de pirater une combinaison de question et réponse pendant une transaction, cela ne fonctionnera pas. N’importe quel détecteur photoélectrique additionnel implanté dans le système détruirait l’état quantique d’une partie des photons et corromprait tout le processus.
Une autre méthode permettant de pirater ce système de sécurité présuppose la falsification des cartes en conservant leur taille exacte, leur situation géographique et d’autres paramètres inscrits dans les nano particules afin de produire une copie conforme et c’est presque impossible à réaliser dû à l’extrême complexité du processus.
Les développeurs de QSA affirment que, malgré la complexité du processus, cette technologie est relativement simple et peu coûteuse à mettre en place en utilisant des technologies et des méthodes facilement accessibles.
Pas de précipitation
Il y a peu de chances que les banques mettent en place les systèmes de sécurité cités ci-dessus dans un futur proche. L’industrie financière est plutôt conservatrice et rend coûteux le déploiement à grande échelle de nouvelles technologies.
Cela étant dit, nous sommes presque certains que l’innovation en matière de méthode de paiement apparaitra premièrement au sein de services alternatifs comme par exemple, les nouveaux systèmes de paiement Apple Pay ou Google Wallet ou les prometteurs Coin, Wocket et Plastc (nous parlerons d’eux plus tard).
De plus, il est essentiel que ces merveilles technologiques ne soient pas déployées en vain à cause d’imperfections dans leur mise en place comme c’est souvent arrivé avec les cartes EMV. Le principal problème de sécurité ici est que dans le cas où un terminal ne réussit pas à lire les données de la puce sécurisée, on se tourne alors vers la bande magnétique qui est restée pour éviter les problèmes d’incompatibilité ; ce qui revient à jeter par la fenêtre tous ces efforts en matière de sécurité.