paiement par carte biométrique

Carte bancaire biométrique

Temps de lecture : 4 minutes

La presse commence à communiquer sur la carte biométrique découvrant enfin les expérimentations qui durent depuis plusieurs mois avec IDEMIA et diverses banques Européennes. On voit maintenant grandir les critiques sur cette future carte et les légendes, sans compter les oppositions avec des solutions de paiement mobile.

Un petit rappel sur les solutions de paiement mobile :

Il existe 3 méthodes de paiement mobile :

  • L’enclave avec un élément sécurisé (ApplePay, SamsungPay et GooglePay sur Nexus).
  • L’émulation d’une carte (Paylib, LyfPay,…).
  • La sécurisation via carte SIM (M-Carte du Crédit Mutuel/CIC, KIX de la BNP, Orange Cash / Orange Bank de Wirecard,…).
La solution SIM Centric :

Dans ces 3 solutions, 1 seule a été jugée par les réseaux (Visa, Mastercard, CB, AMEX,…) comme suffisamment sécurisée et du niveau de la carte bancaire classique. C’est la sécurisation via la carte SIM qu’on nomme SIM Centric. Cette solution permettait donc de réaliser des paiements sans qu’il soit nécessaire de recourir à un contrôle bancaire systématique.

L’émulation HCE :

La solution reposant sur l’émulation d’une carte qu’on nomme HCE est formellement interdite en utilisation hors ligne. Par conséquent, les réseaux ont pris les dispositions afin qu’il soit impossible de réaliser un paiement en l’absence de contrôle bancaire sur le paiement.

L’enclave ou Secure Element embedded :

Concernant l’enclave, qu’on nomme Secure Element embedded, dans l’idée, on est très proche du niveau de sécurité du SIM Centric concernant les données pour le paiement. La différence vient de la méthode d’authentification du titulaire.

Chez Samsung Pay ou Apple Pay, le contrôle repose sur le fait que le téléphone atteste à l’élément de sécurité que l’authentification a bien eu lieu. Mais, à aucune moment, l’élément de sécurité n’en a la preuve (contrairement au SIM Centric). Par conséquent, le hors ligne n’est pas approuvé par les réseaux.

Le but ici étant de vulgariser, nous n’allons pas rentrer dans le détail du fonctionnement technique. Mais la conclusion est qu’Apple Pay est techniquement moins sécurisé qu’une carte bancaire ou un paiement SIM Centric.

« La carte bancaire est moins sécurisée que le paiement mobile » :

Cela est totalement faux, c’est une légende. Chaque paiement avec une carte est signé au travers d’une clef unique que seule la banque peut renverser pour s’assurer que c’est bien sa carte et non une copie. Vous perdez votre carte, des paiements en sans contact sont effectués, alors la banque vous rembourse immédiatement (Ce qui ne sera pas vrai avec un mobile débloqué par un tiers).

Le sans contact des cartes est limité par deux plafonds, un montant maximum unitaire par paiement (30€ sur les nouvelles cartes), dans certains pays, comme l’Allemagne, le sans contact est limité à 25€ et au-delà, le sans contact est possible mais vous êtes invité à saisir le code PIN de la carte.

La carte biométrique :

La carte biométrique apporte une évolution majeure. La limite disparaît et grâce à l’empreinte digitale, le sans contact pourra toujours fonctionner sans autorisation bancaire. L’authentification sera faite au travers de la lecture de l’empreinte.

Cette nouvelle carte va aussi permettre de refaire l’éducation des clients et des commerçants. La carte devra être tenue en main par son titulaire lorsqu’un paiement sans contact sera effectué ou avec la carte insérée. Il sera donc révolu le temps où le commerçant prenait la carte pour un paiement « sans contact » ou pour l’inserer et vous tendre le terminal pour faire votre code PIN.

Une mise à jour des TPE :

Il va y avoir un temps d’adaptation nécessaire et une mise à jour nécessaire également des terminaux. Les TPE vont devoir connaître cette nouvelle méthode d’authentification (comme ce fût le cas pour le mobile). La mise à jour des TPE ne sera pas une opération majeure. C’est une actualisation mineure qui est déjà en cours de déploiement depuis 2017 dans la norme EMV.

Rumeurs et infos en tout genre :

La disparition du code PIN :

Le code PIN sera toujours possible. La carte va gérer l’authentification par empreinte mais elle proposera toujours le code PIN. Par exemple si le terminal de paiement n’est pas à jour ou si la carte est insérée entièrement dans l’équipement ; citons un distributeur de billets par exemple.Donc votre carte proposera une nouvelle méthode d’authentification en complément du traditionnel code PIN.

Une pile dans la carte bancaire :

Aucune batterie n’est nécessaire, l’alimentation de la carte est prévue par la norme ISO 14443. Cela veut dire que c’est le terminal de paiement qui alimentera la carte lors de son utilisation (carte insérée ou sans contact).

Le coût de la fonctionnalité :

Bien qu’il soit encore inconnue, le coût ne serait rien de plus que le paiement d’une licence reversée à IDEMIA pour le développement de cette solution. On est clairement sur un coût bien inférieur à celui d’Apple Pay.

La différence c’est qu’Apple interdit à la banque de facturer le client pour l’utilisation du service. Mais la banque doit quand même payer Apple en plus du coût de chaque carte virtualisée dans Apple Pay (génération du token).

La rapidité du paiement :

Le paiement sera plus rapide qu’un paiement mobile, car comme nous vous l’expliquions, la robustesse de la carte à puce permet de réaliser des paiements sans avoir recours à un contrôle bancaire. Cette capacité à préférer le hors ligne est également bénéfique à l’acceptation car les rejets sont quasiment inexistants et donc la carte fonctionne partout.

Carte biométrique VS Paiement mobile :

Les banques ne vont pas s’orienter vers cette solution pour réduire la part du paiement mobile. Le paiement mobile est plus que confidentiel et cela partout dans le monde. En France il y a pléthore de solutions pour le paiement mobile. Pourtant au quotidien, à l’exception de quelques usagers qui en font une utilisation quotidienne, il n’est pas encore rentré dans les habitudes des français.

La carte bancaire biométrique est une solution complémentaire afin de couvrir les attentes d’un panel de client ne voulant pas du paiement mobile en solution de paiement.

La différence, contrairement à Apple Pay où tous les clients de la banque payent pour ce service, c’est que seuls les clients voulant la carte biométrique payeront pour cette fonctionnalité.

La carte biométrique sera tout aussi fiable que les cartes actuelles comme le montre les essais depuis fin 2017 à Chypre.

C’est donc un non sens de critiquer ce nouvel outil de paiement qui est là pour répondre à des attentes qui ne sont pas satisfaites via le paiement mobile. Et comme nous l’indiquions, les clients non usagers de la carte biométrique ne vont pas payer pour ceux qui utilisent cette carte, alors qu’en Apple Pay tous doivent contribuer même s’ils ne l’utilisent pas et n’ont pas d’iPhone par exemple.

Le cryptogramme dynamique est proposé à ce jour par 2 groupes bancaire à savoir Crédit Mutuel/CIC et Société Générale. Ce dernier s’est déjà prononcé sur la commercialisation de la carte biométrique. Il y a fort à parier que Crédit Mutuel (CM11) & CIC souscrivent à cette licence IDEMIA pour proposer le service à ses clients.