Carte Bleu paiement par tokenisation

[ZorKas]

Bonjour,

Aujourd'hui le paiement par carte bleu que ce soit par le mode sans contact (NFC) ou bien pour une somme supérieure à 50€ imposant le code spécifique à 4 chiffres pose un souci de sécurité, pourquoi ,

- Lors d'un paiement chez un commerçant le numéro de carte bleu + la date de validité + le cryptogramme est transmis d'où un risque de détournement

Pour palier le problème, le secteur compte sur le développement des tokens dans le monde en ligne. Utilisés pour digitaliser nos numéros de carte dans nos montres ou nos téléphones, ces tokens qui sont des alias digitaux cryptés du numéro de carte classique, permettent de faire des achats sans partager le numéro de carte réel avec le commerçant.

La tokénisation : comment ça marche ?

- Les cartes Mastercard intègrent une API qui transforme les données bancaires du titulaire de carte en jeton numérique (token).
- Les informations sensibles de vos clients sont stockées dans notre base de données sécurisée et cryptée.
- Pour chacune de vos transactions ou remboursements, vous utilisez ce jeton unique. Le programme Mastercard met en relation le jeton aux données associées à la carte et déverrouille automatiquement l'autorisation et le règlement.
- Vous ne stockez que le jeton et non les données confidentielles : pas de risque d'atteinte à votre réputation.

Définition de la tokénisation des cartes

Il s'agit d'un système utilisé pour sécuriser les cartes de crédit qui consiste à transformer les données de vos clients en tokens cryptés, en un seul clic. Elles sont remplacées par une série de chiffres générés de manière aléatoire et peuvent être transmises sur internet ou sur les différents réseaux nécessaires au traitement du paiement. L'outil de tokénisation est de plus en plus utilisé, en raison de la sécurité qu'il offre pour éviter la duplication des données du titulaire de la carte au niveau numérique, un peu comme la puce d'une carte physique.
Comment fonctionne la tokénisation des cartes?

Ce processus remplace les informations les plus sensibles du titulaire de la carte de débit ou de crédit par un jeton, qui permet de sécuriser les données de la carte du client. Lorsqu'elle est appliquée à la sécurité des données, la tokénisation est le processus qui remplace un élément des données sensibles par un équivalent sensible qui n'a pas de signification ou de valeur extrinsèque.

Pour vous aider à comprendre plus facilement, voici le processus de tokénisation:

- Le système reçoit les données confidentielles. Dans ce cas, les informations personnelles du titulaire de la carte (nom, prénom, numéro de compte, IBAN...).
- Les données sont stockées de manière centralisée. Par exemple: une base de données.
- Le système de tokénisation crée un token et l'associe avec les données stockées. Il ne s'agit pas d'un token confidentiel, mais d'un compagnon ou d'un alias du token.
- Le token est placé dans le flux opérationnel et remplace les informations confidentielles qu'il représente dans toutes les opérations.

De plus en plus d'entreprises numériques basent leurs modèles sur des abonnements quotidiens, hebdomadaires, et même annuels. Et les informations des cartes sont entrées une seule fois, ce qui génère des tokens et permet de traiter directement les paiements futurs.

Vous voulez commencer à recevoir des paiements en toute sécurité? Utilisez-vous un système de protection des données sur les cartes de vos clients? Disposez-vous d'un type de certification sur les protocoles de sécurité?
Différences entre la tokénisation et le cryptage des cartes de débit et de crédit

Ces deux techniques ont leur place dans la technologie des paiements. Cependant, nous pouvons trouver quelques différences majeurs entre les deux:

- Alors que la tokénisation remplace les données les plus sensibles du titulaire de la carte, le cryptage ou le chiffrement des champs de données crypte les données de la carte source et les décrypte à sa destination finale. Les Réseaux Privés Virtuels (VPN) en sont un exemple.
- Bien qu'ils aient tous les deux leur place dans les technologies de paiement, la tokénisation apparaît comme la principale alternative la plus sécurisée pour protéger les informations de la carte du consommateur.
- Les tokens ne sont pas réversibles avec une clé de décryptage, comme c'est le cas avec le cryptage. De plus, il réduit considérablement la portée de la PCI DSS (Norme de sécurité de l'industrie des cartes de paiement). Elle est obligatoire pour toutes les entreprises qui acceptent ou traitent des données de cartes de débit ou de crédit.

La protection des données confidentielles est devenue un enjeu de plus en plus important dans l'e-Commerce. Et plus encore, depuis que la nouvelle Directive sur les Services de Paiement, mieux connue sous le nom de PSD2, est entrée en vigueur. Son principal objectif est de développer le marché des paiements en ligne au sein de l'Union Européenne (UE), pour renforcer la sécurité et prévenir la fraude.

Pour comprendre la Création d'un token

Lorsqu'il souhaite obtenir un token, le portefeuille électronique ou le portable NFC HCE demande au Token Requestor de réaliser une demande d'émission de tokens au fournisseur en lui communiquant au minimum :

- le numéro de carte réel du porteur ;
- la date d'expiration de la carte ;
- son identifiant (Token Requestor ID).

Note : d'autres données peuvent être envoyées comme un score de risque de fraude, le niveau de vérification souhaitée ou l'emplacement du token (puce, Secure Element local, ...). Ces champs ont été écartés de l'article par soucis de simplicité mais n'hésitez pas à poser des questions si besoin.

En cas de réponse positive, le fournisseur génère un token commençant par son BIN (celui acquis par le fournisseur) et stocke dans son coffre-fort la correspondance entre le token et les données de la vraie carte. Il envoie en retour :

- le numéro du token ;
- la date d'expiration du token ;
- le cryptogramme du token.

Ces informations seront stockées précieusement dans le portefeuille ou dans le mobile NFC (paiement HCE en mode déconnecté).



Création de token

Paramétrage du token

La banque du porteur (émetteur), le réseau bancaire et le Token Requestor peuvent intervenir sur le cycle de vie (activation, désactivation, suspension, ...) des tokens. Pour ce faire, il leur suffit d'effectuer une demande de maintenance au Token Requestor qui se charge de modifier le statut dudit token.
Utilisation du token



Compensation

Lorsque l'accepteur réalise sa télécollecte, il envoie à l'acquéreur les données du token. Ses données sont ensuite envoyées au réseau concerné pour faire l'objet d'une compensation avec l'émetteur. Comme dans le cas de l'autorisation, le réseau appellera le Token Provider afin qu'il détokenise les données. Le reste est classique.

Ce service risque d'être incontournable dans les mois à venir.En effet, comme évoqué dans les paragraphes ci-dessus, ce service nécessite relativement peu d'évolution de la part des acteurs monétiques. D'autant que l'utilisation d'un numéro de carte unique apporte un vrai plus en matière de sécurité et cela permettra aux différents acteurs concernés de réduire leur périmètre PCI-DSS. Comme dans la vraie vie, les coffres-forts ont intérêt à être bien sécurisés puisque à ne pas douter, ils risquent d'attirer fortement les convoitises.

En cas d'utilisation du service de tokenisation lors d'un paiement (paiement mobile, paiement sur Internet, ...), les données bancaires propres à la carte du porteur sont remplacées par un token, comme suit :

    le champ "numéro de carte" contient celui du token ;
    le champ "date d'expiration" contient celle du token.

Par ailleurs, deux nouveaux champs font leur apparition :

    le cryptogramme du token ;
    l'identifiant unique du Token Requestor.

Une fois les données acquises par l'accepteur, une demande d'autorisation est envoyée  au Serveur d'Autorisation de la banque Acquéreur (SAA). L'acquéreur envoie l'autorisation sur le réseau qui l'achemine ensuite au Token Requestor. Ce dernier consulte son coffre-fort, afin de la "détokeniser". Ce processus inverse consiste à remplacer les données du token par celles de la véritable carte. Ainsi, les champs de la demande d'autorisation sont modifiés comme suit :

    le champ "numéro de carte" récupère celui de la carte réelle du porteur ;
    le champ "date d'expiration" récupère celle de la carte réelle du porteur ;
    le informations relatives aux tokens (numéro du token et date d'expiration) sont recopiés dans deux champs spécifiques.

Dès lors ce traitement effectué, l'autorisation est envoyée au serveur d'autorisation de la banque émetteur (SAE). L'émetteur effectue ses contrôles de manière classique et fournit une réponse.

Suite à réception, le réseau maquille l'autorisation en recopiant le numéro du token et sa date d'expiration dans les champs "numéro de carte" et "date d'expiration" et supprime les champs spécifiques relatifs au token (numéro et  date d'expiration du token). Puis, la réponse à la demande d'autorisation continue son chemin en sens inverse jusqu'au point accepteur.

Personnellement à ce jour j'utilise le logiciel Samsung Pay (Android) sur le modèle A52 5G ce dernier possède  la cryptographie dite empreinte digitale + reconnaissance faciale avec en cas de vol localisation du portable (GPS) avec suppression à distance de toutes les données de paiement

Zorkas

[ZorKas]

Bonjour,

Voici la liste non exhaustive des moyens de paiement utilisant les tokens (pay) à ce jour:

- https://www.samsung.com/fr/apps/samsung-pay/ (que je possède sur smartphone Samsung A52 5G)
- https://pay.google.com/intl/fr_fr/about/
- https://www.apple.com/fr/apple-pay/
- Etc...

[ZorKas]

Pour bien comprendre le fonctionnement:

Une carte virtuelle pour payer avec son mobile

Récemment, une catégorie de cartes virtuelles est venue enrichir l'offre des banques de détail : celles qui sont utilisées par les applications de paiement mobile comme Apple Pay, Paylib ou Samsung Pay. Plus précisément des clones numériques de votre carte bancaire, appelés dans le jargon des « tokens ».

Un des avantages de ces tokens, c'est qu'ils peuvent être utilisés indépendamment de la carte bancaire plastique. Même si cette carte bancaire n'existe plus ou pas encore : par exemple si elle n'a pas encore été fabriquée, ou si elle doit être remplacée, à la suite d'une opposition. Grâce à ces tokens, on peut payer sur le champ avec son mobile, sans contact et sans limite de montant, même si on vient juste d'ouvrir son compte et qu'on n'a pas encore reçu sa nouvelle carte. On peut aussi continuer à continuer à payer avec son smartphone, même si on a fait opposition sur sa carte plastique perdue ou volée.



PS: Mon épouse n'utilise plus que ce moyen de paiement car elle se sent en sécurité lorsqu'il y à du monde autour d'elle, pour moi la question ne se pose pas 

[Magneto]

Bonjour Zorkas

intéressent, je ne connaissais pas.
Par contre, si je comprends bien, cela sous entend de passer par une application native, comme celle de Samsung ou Apple Pay .

C'est complètement transparent pour l'utilisateur.

[ZorKas]

Bonjour Magneto,

Pour faire simple:
- Je te confirme que c'est totalement transparent pour l'utilisateur, en fait tu utilises une carte virtuelle qui remplace celle "physique"
- A chaque paiement (sans contact uniquement) le serveur génère un "Token" (jeton) qui est utilisable qu'une fois l'autorisation de paiement effectué (en bref les jetons sont détruits au fur et à mesure)
- Aucune donnée n'est présente de la carte bleu physique (n° de carte bleu-date de validité -cryptogramme) sur le smartphone, seul l'ID de la carte virtuelle sert de transaction

Il faut comprendre que lors du paiement par carte bleu sans tokenisation, le numéro de carte bleu + la date de validité + le cryptogramme sont transmis au commerçant puis les données sont dirigées au serveur de paiement CB.
A ce stade même si les données sont dites sécurisées aucune protection n'est appliquée sur les données physiques de ladite carte bleu, plus est le fait d'utiliser le mode NFC n'est pas exempt de piratage (même à faible portée)

Moi-même et mon épouse utilise dorénavant ce mode de paiement et vraiment c'est un avantage énorme surtout de ne plus saisir son code à 4 chiffres
Le montant des 50€  (paiement sans contact) n'est plus alloué par ce mode car le plafond c'est celui autorisé par la banque par semaine d'utilisation, par exemple pour ma part c'est 2500€ (plafond de sécurité) donc un achat d'un montant de 1850€ sera possible en une fois.

Je possède un Samsung A52 5G avec le programme Samsung pay qui génère les "Tokens", la reconnaissance biométrique (faciale + empreinte) sert de déverrouillage pour le paiement, c'est un jeu d'enfant. En cas de perte ou de vol ce modèle utilise l'effacement des données à distance + la localisation du téléphone que l'on déclenche sur le serveur de Samsung https://findmymobile.samsung.com/ , j'ai réalisé les tests en me déplaçant de mon domicile (+ de 50 kms) et là franchement la précision est de 7 mètres (environ), donc au cas ou il suffit de données l'ID + le pass aux forces de l'ordre pour qu'il aille le récupérer  D'ailleurs la fonction blocage du téléphone est activable à distance

Une grosse avancée sur la sécurisation des paiements par CB en fait   

ZorKas

[Magneto]

Bonjour Zorkas

effectivement c'est une sécurité supplémentaire.
Par contre, je ne comprends pas l'intérêt par rapport à une carte virtuelle n'autorisant qu'un seul paiement pour une somme définie. Même si les données sont interceptées, elles ne seront pas utilisable.

Ce qui m'embête, c'est de passer par le téléphone. J'essaye au max, de faire mes achats du net en passant par le PC que je trouve plus sécurisé. Maintenant, en ce qui concerne le paiement sans contact, chez les commerçants, c'est bcp mieux que la CB. Mais ce ne sont pas tous les commerçants qui acceptent se type de paiement.

[ZorKas]

Bonjour Zorkas

effectivement c'est une sécurité supplémentaire.
Par contre, je ne comprends pas l'intérêt par rapport à une carte virtuelle n'autorisant qu'un seul paiement pour une somme définie. Même si les données sont interceptées, elles ne seront pas utilisable.

Le principe étant le renouvellement de jeton crypté à chaque paiement donc même en cas de tentative de détournement les jetons utilisés sont inactivés, le prochain jeton ne peut être connu par avance car c'est au moment du paiement que ce dernier est généré puis après accord par le serveur celui-ci est désactivé (après paiement). La carte virtuelle reste en lieu et place car elle est la seule reconnu par le serveur, celle physique (coordonnées) sert de relation avec la banque sur un serveur hautement sécurisé

Ce qui m'embête, c'est de passer par le téléphone. J'essaye au max, de faire mes achats du net en passant par le PC que je trouve plus sécurisé. Maintenant, en ce qui concerne le paiement sans contact, chez les commerçants, c'est bcp mieux que la CB. Mais ce ne sont pas tous les commerçants qui acceptent se type de paiement.

Pour le net la confirmation du DSP2 (authentification forte va être obligatoire au 1 janvier 2022) https://www.certeurope.fr/blog/dsp2-et-authentification-forte-que-prevoit-la-directive-europeenne/
en fait une obligation d'avoir une notification sur son smartphone afin de confirmer l'identité de l'acheteur
Pour les commerçants récalcitrant c'est leur choix mais vu qu'ils doivent changer leurs terminaux pour êtres aux normes de sécurité la seule raison qu'il reste pour eux c'est de baisser le rideau. Pour info dans ma commune, tous les commerçants sont équipés du paiement sans contact.
Une autre information c'est la protection de la carte bleu physique par une cage de faraday c.à.d une enveloppe de protection évitant la propagation des données sans contact (que l'on trouve chez plusieurs vendeurs ex: https://www.amazon.fr/Lot-Protection-Carte-cr%C3%A9dit-CONTACT/dp/B00OUZIPZI/ref=sr_1_1_sspa?__mk_fr_FR=%C3%85M%C3%85%C5%BD%C3%95%C3%91&dchild=1&keywords=enveloppe+faraday+carte+bleue&qid=1629187081&sr=8-1-spons&psc=1&spLa=ZW5jcnlwdGVkUXVhbGlmaWVyPUFaMkFQUk00QjdMMFImZW5jcnlwdGVkSWQ9QTA1NTU0ODhWTFFRR1Y0Q0syU1AmZW5jcnlwdGVkQWRJZD1BMDQ1NTc3MjI5R0kwNVVEM1FMVVcmd2lkZ2V0TmFtZT1zcF9hdGYmYWN0aW9uPWNsaWNrUmVkaXJlY3QmZG9Ob3RMb2dDbGljaz10cnVl ) , toutes mes cartes physiques sont protéger avec ce type là

Après bien sur c'est chacun sont approches sur la façon de faire pour gérer la protection des paiements, il n'y à aucune obligation, c'est juste une discussion ouverte sur les moyens actuels mis à disposition qui je pense reste intéressant

ZorKas

[Magneto]

Bonsoir

effectivement le sujet est  intéressant...

Que veux tu dire par:

La carte virtuelle reste en lieu et place car elle est la seule reconnu par le serveur, celle physique (coordonnées) sert de relation avec la banque sur un serveur hautement sécurisé

Imaginons que tu fasses un achat par internet. Pour X raison, ce dernier ne convient pas et tu demandes au web marchand de te rembourser, ne vas tu pas avoir un soucis ?

Pour info dans ma commune, tous les commerçants sont équipés du paiement sans contact.

Quand tu parles de terminaux sans contact, tous ne sont pas fonctionnel avec ce système. Par exemple pour Apple Pay, je vois peux de commerçant arborant le logo.

Si je comprends bien. Pour bénéficier de ce système, il faudra payer avec l'application Samsung ou Apple Pay. Donc le telephone remplacera la CB pour le paiement sans contact.

J'utilise moi aussi un protège CB.

[ZorKas]

Que veux tu dire par:
Imaginons que tu fasses un achat par internet. Pour X raison, ce dernier ne convient pas et tu demandes au web marchand de te rembourser, ne vas tu pas avoir un soucis ?

Pour l'achat sur internet je sais pas car j'utilise PayPal, voir ici en ce qui concerne Samsung Pay: https://www.samsung.com/fr/apps/samsung-pay/
Pour l'achat auprès des commerçants aucun souci la carte virtuelle possède les 4 derniers chiffres qui sont différent de la carte physique exemple CB > 1234 CP > 3214 ce qui permet de transmettre les chiffres de la carte virtuelle au commerçant pour procéder au remboursement

Quand tu parles de terminaux sans contact, tous ne sont pas fonctionnel avec ce système. Par exemple pour Apple Pay, je vois peux de commerçant arborant le logo.

Apple Pay est une application propre à Apple comme Samsung Pay et Google Pay. Le principe de paiement par tokenisation utilise le NFC (sans contact) mais sans la barrière des 50€ because identification ultra sécurisé avec vérification en temps réel de la crédibilité de l'acheteur au niveau du compte (montant disponible et alertes de dépassement)
Le paiement par NFC est une norme utilisée par les logiciels précités applicable à tous les terminaux

Si je comprends bien. Pour bénéficier de ce système, il faudra payer avec l'application Samsung ou Apple Pay. Donc le telephone remplacera la CB pour le paiement sans contact.

Exactement, sur mon smartphone Samsung 2 cartes sont enregistrées, la mienne et celle de ma femme + les cartes de fidélité des magasins
En fait lors du paiement sans contact tu choisi ta carte auparavant en faisant glisser avec le doigt celle que tu désire pour le débit sur compte. Perso ma femme qui est totalement réfractaire aux nouvelles technologies à ce jour elle ne sort plus sa carte physique car taper le code avec du monde autour d'elle la stresse.

J'utilise moi aussi un protège CB.

C'est bien