Cryptogramme dynamique, de quoi parle-t-on ?

Temps de lecture : 8 minutes

Lorsque vous effectuez un paiement à distance ou que votre carte est saisie manuellement sur un Terminal de Paiement Électronique, vous êtes sollicité pour communiquer « les 3 derniers chiffres au dos de la carte »

En réalité, derrière cette phrase qu’on a l’habitude d’entendre ou de lire, le commerçant fait référence à un « cryptogramme » associé à votre carte, une sorte de clef de sécurité. Depuis son apparition, ce cryptogramme imprimé sur le plastique de votre carte est statique. Il ne changera que si vous changez de carte bancaire.

Pour améliorer cette situation, la société NID (Nagra ID, racheté depuis par Oberthur Technologies en 2014 et qui a elle-même changée de nom pour s’appeler IDEMIA à présent, on sait, c’est compliqué, alors retenez juste IDEMIA), a eu l’idée de mettre en place une dynamique dans ce cryptogramme afin qu’il change régulièrement.

La mise en œuvre du cryptogramme dynamique :

En lieu et place du cryptogramme classique, un écran a été intégré afin d’afficher un code qui change aléatoirement toutes les heures. Une « puce » est synchronisée avec votre banque au moment de la production de votre carte. Votre banque sait à tout moment quel est le code qui doit s’afficher sur l’écran de la carte bancaire et ainsi approuver ou refuser le code qui lui est communiqué lors de votre paiement. Si le code ne correspond pas, la banque refuse le paiement, si le code correspond la transaction est traitée.

CVC2, CVV2, CID, CSC et cryptogramme c’est la même chose :

Le terme « cryptogramme » est le plus fréquemment utilisé car il est plus parlant, mais en réalité, le terme exacte pour une carte Mastercard c’est CVC2 (Card Validation Code), une VISA c’est le CVV2 (Card Verification Value), une American Express on parle de CID (Card Identifier Digits).

Le CSC c’est la traduction anglaise de « cryptogramme » qui veut dire Card Security Code.

Pour faire plus simple, sur les sites en langue française, vous allez retrouver le terme « Cryptogramme » et les sites en anglais, on vous parlera de « CSC numbers ». On résume aussi le cryptogramme à la définition informatique CVx2 (le « x » étant utilisé comme un joker pour parler tant de VISA que de Mastercard).

La présence du Motion Code dans le marché bancaire :

On vous rajoute encore un nouveau terme avec « Motion Code », en réalité c’est la dénomination commerciale chez IDEMIA pour parler du Cryptogramme Dynamique. En France, dès 2015 les banques se sont intéressées au service, et on le retrouve chez BNP, BPCE, Crédit Mutuel et Société Générale à ce jour. C’est proposé soit sous forme d’une option qui vient s’ajouter au coût de votre carte bancaire ou alors c’est intégré dans le prix d’une carte bancaire qui se veut « premium ». Orange Bank a fait l’annonce du déploiement de cette technologie courant 2019.

En dehors de l’hexagone, il faut dire que cette fonctionnalité n’intéresse pas grand monde, et nous allons y revenir plus tard en détail. La France est donc le plus important marché pour le Motion Code, voilà c’est dit, et vous ne trouverez probablement que très peu de personnes qui connaissent son existence.

Les variantes du Cryptogramme Dynamique :

Bien que le Motion Code soit breveté et donc sous distribution exclusive IDEMIA, d’autres variantes existent, et elles sont même plus intéressantes à notre goût, car elles sont plus efficaces contre la fraude.

En France, La Banque Postale a sortie en 2016 un service nommé « Talk To Pay ». Ce service vous génère un cryptogramme à usage unique qui ne sera valide qu’une seule fois. Afin de l’obtenir, il faut utiliser l’application de La Banque Postale ou une extension dans votre navigateur. C’est via ces canaux sécurisés que vous obtiendrez votre sésame pour le paiement.

Le cryptogramme au dos de votre carte ne sert à plus rien, et si quelqu’un en fait usage, vous êtes alerté instantanément via un appel téléphonique. Vous êtes ainsi informé que quelqu’un vient de tenter un règlement avec le cryptogramme indiqué au dos de votre carte.

Côté Fintech, on retrouve bunq qui n’impriment aucun cryptogramme sur la carte. Il faut donc lancer l’application bunq afin d’avoir le code du moment (il change toutes les 5 minutes). Toutefois, bunq propose de le rendre à nouveau statique et vous assigne alors un cryptogramme qui ne changera plus jusqu’à ce que vous effectuiez un renouvellement manuel via votre application bunq.

L’intérêt de ces 2 variantes, c’est qu’en cas de perte ou de vol de votre carte bancaire, la personne en ayant pris possession n’aura aucun cryptogramme, alors qu’avec le Motion Code, la personne aura le cryptogramme.

L’idée de bunq de permettre de le rendre statique ou dynamique est très judicieuse, car le dynamisme du cryptogramme peut s’avérer rapidement contraignant et bloquant même.

Les effets de bords et les contraintes du Cryptogramme Dynamique :

Sur le papier, l’idée c’est de vous vendre une sécurité supplémentaire. En réalité, c’est surtout une sécurité supplémentaire pour votre banque et non pour vous. Le Cryptogramme Dynamique vous obligera à avoir avec vous votre carte bancaire, il sera donc impossible de l’avoir en mémoire dans un outil comme 1Password et de l’utiliser à distance.

Certains services (ils ne devraient pas) enregistrent votre numéro de carte, son expiration et le cryptogramme, lorsque vous allez vouloir payer via ces derniers, la transaction sera refusée. D’autres services vont créer une variante numérique de ces informations (on parle de token) afin de ne rien conserver en clair. Mais de la même façon quand ils voudront faire usage de ce type de token, le paiement sera refusé.

La Banque Postale permet de débrayer le service « Talk To Pay » si vous êtes trop souvent confrontés à ces situations mais cela nécessite une procédure postale.

bunq a simplifié la chose : Un tour dans l’application et le cryptogramme devient statique. Vous pouvez soit le remettre en dynamique, soit générer un nouveau cryptogramme quand vous le désirez.

Ces effets de bords du cryptogramme expliquent probablement (en plus du coût) le manque d’engouement en dehors de l’hexagone pour cette technologie. Surtout que, comme déjà précisé, en cas de perte ou de vol le Motion Code n’apporte aucune sécurité supplémentaire. Sans oublier le fait qu’il est possible de contourner l’usage du cryptogramme et donc du Motion Code lors d’un paiement.

Les paiements fonctionnent même avec un cryptogramme expiré :

Lorsque vous prenez un abonnement chez Spotify, Netflix, Deezer,… vous renseignez les chiffres de votre carte, communiquez l’expiration et fournissez le cryptogramme.

Le service va vérifier votre carte, puis se contentera de ne conserver que les chiffres et l’expiration. Il pourra donc initier des paiements sur votre carte sans fournir le cryptogramme.

C’est pareil pour Max ou Curve qui agrègent votre carte bancaire. Ils ne vont utiliser le cryptogramme qu’au moment de l’ajout de votre carte et n’en feront plus jamais usage car ils ne le conservent pas.

Donc même si vous avez une carte à Cryptogramme Dynamique ou Unique, il ne sera nullement une protection contre la récurrence des paiements (même si le montant change, tout comme la fréquence). Le commerçant pourra donc débiter votre carte même si un nouveau cryptogramme y est associé.

Certains sites marchands,hors Europe généralement, ne sollicitent de votre part que les 16 chiffres et l’expiration, même pour une première transaction. Là encore, le cryptogramme dynamique n’apportera aucune protection supplémentaire.

La protection des paiements à distance :

Une seule méthode est efficace lors de paiements à distance afin de vous protéger contre les fraudes ou les paiements itératifs non souhaités : bloquer ce type de paiement.

La quasi totalité des banques et Fintech vous proposent de bloquer les paiements à distance. On parle de transaction CNP (Card Not Present), c’est à dire qu’on fait usage des informations sans lire la puce ou la piste de la carte bancaire.

Ces paiements à distance incluent donc les transactions faites par internet, téléphone, courrier, email ou même saisie manuelle sur un terminal. Au travers de cette fonctionnalité vous pouvez ainsi vous prémunir de transactions non autorisées. Attention toutefois, car les paiements récurrents seront aussi refusés, préférez donc une carte virtuelle comme la P@yweb, la Virtualis ou l’E-Carte Bleue qui permettront au commerçant de débiter votre compte tout en ayant la fonction « paiement à distance » désactivée sur votre carte physique.

Si votre banque ne propose pas ces fonctionnalités, vous pouvez aussi opter pour le collage d’un sticker sur le cryptogramme. Une solution plus définitive consiste à le gratter après l’avoir noté, ainsi même en cas de perte (sous réserve que la confection de la carte ne l’ai pas fait ressortir à l’avant) aucun tiers ne pourra le découvrir.

La réglementation dans tout ça :

Vous êtes protégé contre les opérations frauduleuses. On entend ici par fraude, une transaction que vous n’avez jamais effectuée et pour laquelle il n’existe aucune relation commerciale avec le commerçant.

Vous découvrez des transactions à distance alors que votre carte est toujours en votre possession. Un tiers a donc probablement su relever le cryptogramme de votre carte lorsque vous en avez fait usage. A partir de là, vous devez former opposition sur votre carte déjà afin de vous protéger de toutes opérations futures et en parallèle adresser une demande à votre banque, en détaillant les opérations contestées.

Conformément au Code Monétaire et Financier (CMF) et son article L133-19 votre banque devra vous rembourser ces transactions, elle devra même extourné les frais (si elle en a perçus) conformément à l’article L133-18 du même code.

Votre commerçant émane d’un pays situé dans l’Espace Économique Européen (pays de l’Europe + Norvège, Islande et Liechtenstein) vous avez 13 mois (L133-24 du CMF) pour faire appliquer l’article L133-19 du CMF. Si votre commerçant se trouve hors de cette zone, le délai est ramené à 70 jours (L133-1-1 du CMF).

Notez au passage, que votre banque ne peut retenir contre vous la franchise de 50Eur dans cette situation (articles L133-19 et L133-20 du Code Monétaire et Financier).

Si lors de la découverte de ces transactions vous constatez que vous n’êtes plus en possession de votre carte, vous devez immédiatement signaler la disparition à votre banque. Le Code Monétaire et Financier vous protège dès que l’opposition est formulée de toutes les opérations futures en accord avec l’article L133-20.

Pour les opérations antérieures, vous devez expliquer la situation à votre banque et demander à votre banque le remboursement des opérations que vous contestez conformément à l’article L133-19 du Code Monétaire et Financier.

Si votre banque peut démontrer votre négligence (par exemple authentification 3DSecure sur un site internet), vous devrez supporter une franchise de 50EUR pour l’ensemble du sinistre.

Il est important de souligner que le remboursement des transactions n’éteint pas l’enquête de la banque qui diligentera des recherches pour obtenir les données des transactions. Si au cours de cette enquête, il s’avère que vous avez menti, que vous avez fraudé, que vous avez communiqué la carte et/ou le code à un tiers, la banque reprendra la totalité des fonds remboursés et initiera une procédure judiciaire à votre encontre.

Par conséquent, ne vous amusez pas à contester une opération de paiement dont vous êtes à l’origine ou qui résulterait d’un litige commercial avec le commerçant. Cela constitue une fraude et vous êtes passible d’une amende assortie à une peine d’emprisonnement, donc ne vous amusez pas à ça !

Conclusion :

Vous aurez compris que l’intérêt d’avoir un cryptogramme relève plus de l’effet gadget que d’une réelle protection dans la mesure où vous êtes déjà protégé par la réglementation. Les commerçants doivent d’avantage s’enrôler au dispositif 3DSecure afin qu’ils puissent vous protéger des transactions frauduleuses et se protéger eux par la même occasion. A ce jour, beaucoup préfèrent ne pas proposer cette procédure de vérification et donc porter la  responsabilité car 3DSecure coupe bien souvent la spontanéité d’un achat, voir l’abandon du panier.

En tant que détenteur d’une carte bancaire, nous vous recommandons, si votre banque propose un service de carte virtuelle, de bloquer les paiements à distance et utiliser une carte virtuelle.

Vous pouvez gratter ou coller une pastille sur le cryptogramme si vous avez la crainte qu’un commerçant indélicat ou un fraudeur en prenne connaissance.

Il est important de rester serein et ne pas vous armer de couches de sécurités comme le Motion Code dans la mesure où le Code Monétaire et Financier est là. Il vous protège et est là pour garantir vos droits et faire porter la fraude ainsi que le risque à votre banque.

Cette protection ne vous dispense pas d’êtres vigilant et de ne pas faire confiance aveuglement aux sites qui vous proposent de vous rembourser ou payer des factures avec un lien cliquable dans un mail !

Restez méfiant. Connectez-vous toujours au site de votre fournisseur pour ensuite aller payer et ne cliquez pas sur les liens contenus dans vos mails pour cela, ce sont généralement des liens de Phishing.