Passer au contenu

Toujours plus de sécurité avec les cartes bancaires nouvelle génération

Avec l’approche des achats de Noël, vient forcément cette question angoissante lorsque l’on s’apprête à effectuer un achat sur un site marchand en ligne : dois-je vraiment faire confiance à ce site et lui livrer mon numéro de carte ainsi que mon cryptogramme ? Ce fameux code à trois chiffres est en effet le sésame qui pourrait permettre à n’importe qui de dévaliser son compte en banque. Une solution existe : l’option crypto dynamique. Ici, le cryptogramme est remplacé par un écran affichant un code dynamique, qui est automatiquement modifié toutes les heures.

Cette option sécurise davantage les paiements effectués sur des sites marchands en ligne. Plutôt que de posséder une carte bancaire avec un simple cryptogramme, que quelqu’un pourrait retenir en vous voyant utiliser votre carte, ce dernier est remplacé par un petit écran affichant un code à trois chiffres. Ce dernier change alors automatiquement toutes les heures. Un écran qui est alimenté par une petite batterie dont la durée de vie est estimée à au moins 3 ans.

Se prémunir des hackers et se débarrasser de ses doutes lors de l’achat en ligne

Ce cryptogramme dynamique ne vient pas remplacer les traditionnelles mesures de sécurité que l’on trouve déjà sur les sites marchands, comme 3D Secure, qui envoie un SMS durant la transaction. Il permet simplement d’ajouter une couche de sécurité en plus et surtout d’être plus serein. Un pirate ou un hacker sera dans l’incapacité d’utiliser les informations de la carte bancaire qu’il pourrait avoir volé d’une manière ou d’une autre si le cryptogramme change en permanence.

Une expérience d’achat totalement transparente

Cela signifie également que l’ajout de l’option crypto dynamique ne modifie en rien les habitudes d’achat sur Internet, puisqu’il faut simplement entrer le numéro du cryptogramme affiché sur le dos de la carte. La banque, de son côté, se charge automatiquement et de façon transparente de vérifier que le code est bien le bon. C’est le même principe que l’authenticator de Blizzard ou que le Steam Guard de Steam.

Cette simplicité de fonctionnement cache pourtant un important dispositif technologique. La carte bancaire est désormais plus qu’un simple support d’une puce de paiement. Elle intègre des composants électroniques miniaturisés comme une horloge à quartz, une batterie lithium et un écran de liseuse. La sécurité a fait l’objet d’une attention toute particulière. Pour s’assurer que personne n’intercepte le cryptogramme dynamique lors d’un achat en ligne ou ne puisse le recalculer, une cryptographie basée sur les types de clés et algorithmes dont la sécurité est équivalente à ceux utilisés dans la cinématique de paiement de la Puce EMV est utilisée dans la carte et sur le serveur de vérification du cryptogramme. Les serveurs sont suffisamment rapides pour que l’utilisateur n’ait jamais besoin d’attendre leur réponse grâce à une parallélisation des tâches.

Disponible dès maintenant sur les cartes Visa

L’option crypto dynamique est disponible en exclusivité sur les cartes bancaires de Société Générale. Cliquez ici pour en savoir plus et pour obtenir votre carte en quelques clics.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

27 commentaires
  1. Et sinon la double confirmation ils connaissent pas ?
    – Acheter en ligne
    – Se connecter à sa banque en ligne
    – La transaction apparait et est en attente de validation
    – Je valide, l’argent part chez le vendeur

    Je ne comprend pas pourquoi aucune banque ne le fait ? Est-ce parce que tout le monde ne sait pas se connecter ou n’a pas accès à sa banque en ligne ? Cela peut être un frein mais ne vaut mieux-t-il pas mieux que les personnes qui ne s’y connaissent pas trop n’achète pas en ligne car ce sont eux les premier exposé aux arnaques… A moins que ca arrange tout le monde 😉

    1. Perso, au Crédit Mutuel j’ai une notification de mon appli de banque qui me demande de valider la transaction avec mon empreinte. Je préfère ça à devoir sortir ma CB pour chaque achat en ligne !

      1. Si t’a un smartphone avec déverrouillage par empreinte digitale, et que c’est inévitable un jour se produise une grosse fuite de données sur le serveur sur lequel sont stocké ces empreintes, je te laisse imaginer la cata …

        1. Les empreintes sont stockées uniquement sur l’appareil, pas à l’extérieur.
          Les applications n’ont accès qu’à un message “Empreinte OK” pour valider l’identification.

          De toute façon l’empreinte, c’est pas le code qu’on laisse le moins trainer…

          1. Mais bien sûr 🙂 Jusqu’a ce qu’un jour on se rende compte qu’elle était bien stockée ailleurs finalement ! 😉

    2. On connait, mais avec la carte n’est plus autonome, tout simplement.
      Ce qui n’est pas le principe même.

      De plus ta solution est irréalisable en l’état => problème d’accès des marchants aux différentes banques. Beaucoup de marchands le font, mais beaucoup ne le font pas 🙂

    3. au credit mutuel et au cic lors d’un achat en ligne avant de valider le paiement je recois un sms avec un code (3Dsecur) et avant ca j’avais une petite carte avec un tableau à 30 codes le site me demandait le code en case D3, ou B6 etc… pour valider.

      donc cette double verification existe depuis longtemps.

      au passage cette carte n’est pas une exclu SG au credit mutuel elle existe aussi

    4. Ben déjà, certaines banques facturent l’accès a ses comptes en lignes!!
      Et oui, bandes de voleurs! lol
      Mais sur le principe, je suis d’accords mais monsieur et madame tout le monde ne sont pas très familiers avec les outils informatiques!

        1. D’habitude j’ai pas trop de souci avec les publipostages sur le JdG, mais sur la sécu (un sujet qui m’importe) je me rends compte que l’info ressort assez mal. Serait-il possible de mettre “publication partenaire” en gras ? Ça m’empêchera pas de le lire si je suis intéressé.

          1. Je suis d’accord
            Quand je découvre à la fin de l’article que c’est une publication sponsorisée, ça me fait chier et je me retrouve avec un avis très négatif sur l’article, quand bien même il aurait pu être intéressant.

    1. Ahah bien vu !
      Moi qui me faisait déjà juste une joie de voir ENFIN cette techno annoncé depuis 15 ans disponible, je l’avais prise totalement pour une actus high-tech.
      Bon sinon on s’en fout c’est clairement pas à cause d’un article qu’on ira chez la SoGé 😀

  2. le code à 3 chiffres en clair sur la carte…
    en gros tu reçois ton code de retrait distributeur à 4 chiffres, sécurisé, dans un courrier séparé, te conseillant de le retenir de tête ou de le noter bien à part.
    Comme ça, le voleur s’il trouve la carte ne pourra jamais s’en servir !
    …Heureusement, ils ont inventé le code à 3 chiffres qui apparaît en clair au dos de la carte.
    Question : pourquoi pas écrire aussi directement le code à 4 chiffres au feutre sur la même carte ?

    Est-ce que c’est moi qui n’ai pas compris qqchose ou est-ce que ce sont vraiment des débilos ?

    1. je crois en effet que vous avez mal compris le but de ces 3 chiffre, il sont là uniquement si quelqu’un pirate votre numéro de carte (dans une DB d’un site qui le garde en mémoire par exemple). Du coup le pirate ne peut pas l’utiliser vu que les 3 chiffre changent constamment.

      Sauf chez Amazon qui est l’un des rare site que je connais qui ne demande pas ces chiffre..

      1. Je crois que vous avez mal compris sa question, je pense qu’il parlait du crypto originel. A 3 chiffre, présent depuis des années sur la CB.

        Il se réinterroge à mon avis sur le pourquoi il était sous cette forme à l’origine, et pas écrit sur la feuille du code à 4 chiffres. Ce qui pallierai à beaucoup de problème (exemple vol de carte, qui est un cas bien plus fréquent qu’un site frauduleux).

        Mais pas vraiment sur la question du “pourquoi on invente un nouveau qui change”

    2. Je t’avoue que j’en ai aucune idée. Principalement pour éviter de la gestion j’imagine.
      => Personne ayant perdu le crypto,
      => Personne âgées
      => Personne ne doit trouver ce crypto. Exemple dans certaines banques, la carte est scellée avant d’être délivrée.

      Je ne sais pas si c’est des contraintes techniques, ou réellement une raison logique je t’avoue.

      Après, moi j’ai pour habitude de le marquer et de l’effacer de ma carte.

    3. ce que j’ai loupé, c’est le fait que si ces 3 chiffres permettent d’aller sur internet, le voleur qui aurait trouvé cette carte ne possède pas le tel portable de l’hote, et ne pourra pas recevoir le SMS de validation avec le code.
      ( je n’ai toujours pas de CB pour raisons personnelles et militante )

  3. Perso, en étant chez Fortuneo, j’ai une option pour créer une carte bancaire valide à la volée, avec un montant choisi et un débit unique. Pour les transactions internet dont on est pas 100% sûr c’est le pied et c’est assez pratique.
    Dommage que d’autres banques ne le proposent pas, ça éviterait de payer ce genre de carte bancaire (faut pas croire que ces cartes seront moins chères, même si ce ne sont pas des technos et du matos de fou).

    1. Ca existe également au CIC, ça s’appelle Payweb il me semble. On choisit le montant voulu, et elle s’efface si non utilisé au bout d’un mois

      1. Crédit Mutuel (qui est derrière Fortuneo) le propose aussi sous ce nom. Peut être qu’ils ont mutualisé leur solution. En tout c’est bien efficace.

  4. Pour info :
    -Avec un lecteur (car-04), une goldwafer, et 2 logiciels (un hex editor et D*ckb*x), on peut copier la carte, casser son code pin, la recloner sur une goldwafer, et l’utiliser dans la limite dse l’appel a la banque.
    -Avec un smartphone sous android, on peut facilement capturer les paquets transmis entre le TPE et une carte sans contact. Reste “juste” a les decrypter.

    BREF. Tant que le cryptage en 768bits n’est pas renouvelé, les CB sont en fait tres mal sécurisée.

  5. Quand le code était statique on pouvait l’effacer de la carte, par sécurité.
    Avec ce système on ne peut plus l’effacer : sécurité zéro en cas de vol, c’est nul !

Les commentaires sont fermés.

Mode