La carte bancaire biométrique, une évolution de l’outil historique de paiement

Dans un précédent article, nous abordions le déploiement de la carte bancaire biométrique. Vous allez bientôt pouvoir payer avec votre empreinte digitale via votre carte bancaire. Le lancement est à présent acté pour 2021 et débute dans quelques semaines.

Comment se déroule l’enregistrement de l’empreinte ?

Vous pourrez associer votre empreinte digitale à votre carte bancaire, en agence ou à domicile. Dans le cas d’une activation à domicile, votre banque vous délivre un boitier configuré spécifiquement pour votre carte bancaire. Il suffit alors d’insérer la carte dans le boitier de mise en service et suivre les indications. Il est recommandé d’enrôler le pouce droit pour les droitiers, et le gauche pour les gauchers.

L’opération ne prend que quelques secondes. Selon le modèle de la carte, il est possible d’ajouter jusqu’à 2 empreintes. Mais c’est un non-sens monétique, seule l’empreinte du pouce est suffisante, d’autant que le capteur est nettement plus précis que TouchID d’Apple et fonctionne avec les doigts mouillés ou humides.

L’empreinte est alors stockée dans une zone mémoire sécurisée de la puce. Elle n’est stockée nulle part ailleurs, et ne sera accessible que via la puce elle-même, à l’instar du code PIN. Impossible donc de l’extraire de la puce, au mieux, tout comme le code PIN, il sera possible de l’écraser pour la remplacer par une autre.

Selon la politique de la banque, une fois l’empreinte associée à votre carte, l’enclave est définitivement fermée. Par conséquent, aucun écrasement ne sera possible. S’il fallait remplacer l’empreinte, cela se ferait au travers d’un remplacement de carte bancaire.

La carte devra être activée après cet enrôlement, il faudra donc l’insérer et saisir le code PIN. Il est fortement recommandé de recourir à l’usage d’un distributeur de billets pour cette activation.

Comment se déroule un paiement ?

Le capteur d’empreinte est situé là où se trouvent habituellement les 4 derniers chiffres d’une carte embossée. Par conséquent, le pouce se positionne très naturellement à cet endroit, il n’y aura pas d’habitude à prendre ou à changer. Vous approchez simplement votre carte de la zone « sans contact » du TPE pour effectuer le règlement.

Habituellement, avec une carte en « sans contact », il suffit de rester 1s à proximité du TPE afin que la transaction aboutisse (émission du bip). Dans le cas d’une carte biométrique, ce délai est plutôt de 2 à 3s un peu comme un paiement mobile. Ce délai est nécessaire à l’alimentation de votre carte en énergie par le TPE et à la signature de votre transaction pour cette dernière.

La carte n’est pas pourvue d’une batterie, elle tire son énergie du Terminal de Paiement Electronique. Ce principe repose sur le norme ISO 14443, embarquée sur tous les TPE compatibles avec le « sans contact ».

Vous avez un signal sonore (bip) et visuel (diodes du TPE) qui indique que le dialogue TPE carte est finalisé. Le processus d’autorisation du paiement peut alors être initié par le TPE qui dispose de tous les éléments.

Nous soutenir

Sans publicités et sans liens sponsorisés, notre contenu est accessible gratuitement pour tous.

Quels sont les montants éligibles en sans contact ?

Avec une carte bancaire biométrique, la limite du « sans contact » dépend à la fois des plafonds de votre carte, mais également de la limite du TPE. Le comportement sur les montants maximums est strictement identique à celui déjà existant lors d’un paiement mobile. Tout comme pour un paiement mobile, un TPE peut se trouver limiter à un seuil maximum au-delà duquel il ne prend pas de règlement « sans contact » et cela peu importe l’équipement. Dans la majorité des pays, on fixe une limite à 10 000€, ce qui est bien supérieur aux montants moyens et aux plafonds des cartes en règle générale.

Le « sans contact » de votre carte ne fonctionne pas si l’empreinte n’est pas positionnée sur le capteur. Par conséquent, impossible de payer un montant entre 1ct et 50€ contrairement aux cartes classiques. Dès le 1er centime, votre empreinte sera nécessaire pour régler en sans contact.

Il n’y a pas de limite globale comme pour les cartes dépourvues de biométrie. Rappelons qu’en application des règles monétiques européennes, il est interdit de laisser une carte fonctionner au-delà de 150€ ou 5 paiements en sans contact, entre 2 authentifications du client. L’authentification peut se faire en insérant la carte et saisie du PIN, ou via l’application de son établissement bancaire en réinitialisant la limite.

Quel est le coût de cette technologie pour le client ?

Chaque banque se positionnera sur le segment financier qu’elle jugera opportun. Pour l’heure, nous savons que certains groupes comme le Crédit Agricole ne vont réserver cette technologie qu’aux cartes Mastercard Gold et Mastercard World Elite. Les cartes bancaires biométriques du Crédit Agricole adopteront un mode portrait et non paysage. Il est à noter également que seules ces 2 finitions en débit différé seront proposées au lancement.

BNP Paribas a également indiqué que le lancement se fera sur leurs cartes Visa Premier et Infinite. Les cartes classiques ne seront pas éligibles à la biométrie.

Le groupe Crédit Mutuel / CIC, La Banque Postale et la Société Générale seront également de la partie pour cette carte biométrique. Toutefois, chez Crédit Mutuel, les cartes classiques seraient éligibles à la biométrie, nous avons pu voir des cartes des tests non Gold/Premier ou World Elite/Infinite. Ces 2 groupes bancaire n’ont pas encore officialisés, tout comme HSBC leur date de lancement.

Comme toujours, les coûts figurant au catalogue des tarifs sont négociables. Par conséquent, si vous êtes éligibles et intéressés par cette technologie, n’hésitez pas à discuter prix avec votre chargé de clientèle.

Y a-t-il un nombre limite de tentatives pour le paiement via la biométrie ?

Tout comme le code PIN, vous avez une configuration au sein de votre carte qui limite le nombre d’échec. Pour le code PIN, cette valeur est généralement de 3 et peut aller jusqu’à 5. En biométrie, on sera sur une fourchette entre 5 et 10 tentatives avant que la biométrie ne soit désactivée.

Lorsque la biométrie est désactivée, la carte continue de fonctionner normalement. Seuls les paiements « sans contact » sont alors bloqués de façon matérielle par la puce de votre carte bancaire.

Il est possible de rétablir le sans contact. Pour cela, chaque banque aura son scénario. Elle pourra débloquer automatiquement la biométrie dès qu’un paiement carte insérée + PIN est accepté. Le déblocage pourra également se faire avec le concours d’un employé de la banque à distance, ou via l’application, nécessitant un retrait pour réactiver la fonction. Autre parcours possible, repasser par le boitier d’ajout de l’empreinte avec un code communiqué par la banque et à usage unique. Dans les cas les plus extrêmes, cela passera par un remplacement de votre carte bancaire.

Notez que tant que votre carte n’est pas à moins d’1cm d’un TPE, le capteur d’empreinte est inactivé. Par conséquent, aucun risque de bloquer la biométrie en manipulant votre carte bancaire, ou en la montrant à un tiers.

Nous soutenir

Sans publicités et sans liens sponsorisés, notre contenu est accessible gratuitement pour tous.

La carte bancaire est-elle embossée ?

La technologie biométrique ne change strictement rien aux dimensions de votre carte. Elle conserve la même épaisseur, longueur et largeur. Toute la technologie tient entre les 2 bords en plastique de votre carte bancaire.

Une conséquence de ce travail sans épaissir la carte, c’est que l’ensemble des composants électroniques sont nichés un peu partout à l’intérieur du support. Il est donc impossible d’embosser ces cartes bancaires. Elles seront gravées ou imprimées à la place d’un embossage.

Tous les émetteurs doivent d’ailleurs revoir le design de leur carte afin de trouver une intégration visuelle du capteur d’empreinte digitale.

Le carte est-elle à autorisation systématique ?

Bien que la carte adopte cette technologie de biométrie, elle ne sera pas pour autant à autorisation systématique. Votre banque pourra donc appliquer la même configuration que sur une carte bancaire classique. Donc oui le « offline » est présent en version « préféré », elle reste une carte standard, même en sans contact avec la biométrie. Vous pourrez payer en sans contact au-delà de 50€ en « offline » et donc parer à toutes les situations de frictions.

La carte peut-elle s’utiliser avec le code PIN ?

Dès que la carte est insérée, la biométrie ne fonctionne pas. Vous devez donc recourir à la saisie du code PIN obligatoirement. Il n’est donc pas possible d’insérer la carte dans un TPE dépourvu de sans contact et maintenant le pouce sur le capteur. Il faudra saisir votre PIN à 4 chiffres dans cette situation. La biométrie, et la dispense de faire son code PIN n’est donc compatible qu’avec un paiement sans contact.

Nous soutenir

Sans publicités et sans liens sponsorisés, notre contenu est accessible gratuitement pour tous.

Quel intérêt quand on a Apple Pay, Google Pay ou Samsung Pay ?

Une carte bancaire reste plus compacte qu’un mobile, et résiste très bien à l’eau. Elle n’a pas besoin de batterie, elle est donc autonome. Vous n’avez donc pas à vous encombrer d’un mobile, il peut rester chez vous.

Le fait que la biométrie repose sur l’empreinte facilite le paiement, surtout en cette période sanitaire avec des masques. Il est plus tentant pour un voleur de vous dérober un mobile qu’une carte bancaire.

La carte étant en « offline préféré » avec un cobadge CB, vous n’aurez aucun délai d’autorisation, même sur des TPE non reliés en xDSL. C’est l’un des points forts, pouvoir payer en sans contact, en tous lieux et toutes situations. Elle apporte donc la résilience et la sécurité des puces en faisant sauter les plafonds du sans contact. Rappelons qu’un mobile est interdit de « offline » car la sécurité de cet outil de paiement n’est pas au niveau d’une carte, en conséquence de quoi, les réseaux interdisent son usage « offline ».

Des FinTechs / Néobanques vont-elles proposer cette carte biométrique ?

Pour le moment, aucune FinTech n’a montré d’intérêt pour proposer cette nouvelle technologie à leurs clients. Étant donné que celle-ci à un coût, il n’y a que peu d’espoirs qu’elle soit proposée un jour.

On voit que sur la technologie du Motion Code (cryptogramme changeant toutes les heures au dos de la carte), aucune ne s’est lancée dans l’aventure. Seule Orange Bank s’y était lancée avant d’abandonner le projet, bien qu’Orange Bank est une banque en ligne et non une FinTech ou Néobanque au sens que l’entendent les clients.

Quelle est la durée de vie de cette carte bancaire biométrique ?

Il n’y a pas de batterie pour alimenter le capteur d’empreinte, contrairement à la carte avec le Motion Code. Par conséquent, la carte pourra avoir une durée de validée de 2 à 5 ans, selon le souhait de votre établissement bancaire. Le capteur d’empreinte est censé être résistant, bien sûr, il ne faudra pas s’amuser à plier sa carte bancaire dans tous les sens. Une mauvaise manipulation de votre carte vous conduira à un renouvellement anticipé.

Conclusion

Dans les banques ayant officialisé le lancement, on voit que seules certaines catégories de clients seront éligibles. Il faudra disposer d’une Mastercard Gold ou d’une World Elite au Crédit Agricole et qu’elle soit à débit différé. A défaut de pouvoir prétendre à ces 2 critères, impossible de commander une carte biométrique en remplacement.

Il n’y a pas de raison technique qui empêche un établissement de proposer ce service sur ses cartes classiques. C’est un choix financier avant tout, c’est-à-dire qu’une partie de la cotisation carte peut englober le coût de cette technologie biométrique.

Nous avons eu l’occasion depuis plusieurs mois d’utiliser cette carte. Il n’y a eu aucun incident de parcours, et les commerçants sont encore plus stupéfaits qu’un paiement mobile ou montre.

Avec des doigts mouillés ou humides, voir même fraichement désinfectés avec une solution hydroalcoolique, le capteur a su reconnaître notre empreinte digitale. Pour le moment, les 2 leaders de la sécurité produisent ces cartes, il s’agit d’IDEMIA (Oberthur, Safran & Morpho) et de Thales (Gemalto).