Clavier DAB

Code PIN : Pourquoi devez vous passer par un distributeur ?

Dans différents articles, nous vous avons expliqué le fonctionnement online et offline lors des paiements. A présent, nous vous proposons d’explorer une autre fonctionnalité de votre carte. Elle est cependant liée directement au terminal de paiement présent chez le commerçant.

Pourquoi après un changement de code PIN devez-vous passer par un retrait ? Ou tout simplement, pourquoi vous pouvez activer votre nouvelle carte uniquement dans un DAB ?

La vérification et validation du code PIN

Le code PIN vous est demandé dans 2 situations en France. Lors d’un retrait et lorsque vous insérez la carte dans le terminal de paiement du commerçant.

Le code PIN se vérifie de plusieurs méthodes lorsque vous le saisissez :

  • Vérifié par la puce en l’envoyant en clair (Plaintext PIN verification performed by ICC)
  • Vérifié par la puce en l’envoyant de manière chiffrée (Enciphered PIN verification performed by ICC)
  • Vérifié par le réseau / banque en l’envoyant de manière chiffrée (Enciphered PIN verified online)

La méthodologie pour valider le code PIN est décidée par l’émetteur de votre carte selon ses préférences. L’ordre se nomme techniquement CVM List (Cardholder Verification Methods) et il est donc dans l’ICC (Integrated Circuit Card) la puce donc pour faire simple.

Comme précisé, l’émetteur de votre carte décide du CVM qu’il souhaite à l’exception des retraits d’espèces.
Lors de retraits d’espèces, ce sont les réseaux qui décident. Par conséquent, les retraits sont en Enciphered PIN verified online. Le PIN n’est donc pas vérifié par votre carte mais par le réseau et/ou votre banque.

Le terminal du commerçant est obligé de respecter le choix de l’émetteur. Sauf si techniquement il ne supporte pas l’une des méthodes demandées par l’émetteur de votre carte.

Lorsque vous insérez votre carte, un dialogue s’effectue entre la puce et le terminal afin de choisir la méthode de vérification qui sera retenue. Le choix est conditionnel par ordre de préférence de l’émetteur. Donc si la première échoue, on passe à la suivante et ainsi de suite. Si aucune méthode n’est retenue, alors la transaction est abandonnée sans même que vous soyez sollicité pour saisir le code PIN.

Dès que la validation du PIN est opérée par l’ICC ( la puce ) on parle donc de PIN Offline. Quand elle est effectuée par le réseau de votre carte et/ou votre banque, on parle alors de PIN Online.

Une cohérence doit donc exister entre le paiement Offline et le PIN Offline. Si l’émetteur préfère le paiement Offline, il doit donc mettre en prioritaire « Plaintext PIN verification performed by ICC » ou « Enciphered PIN verification performed by ICC » afin que le terminal de paiement reste en hors ligne.

Les méthodes de vérification du code PIN

Les cartes émises par les banques traditionnelles vont avoir cet ordre :

  1. Enciphered PIN verified online – If unattended cash
  2. Enciphered PIN verification performed by ICC
  3. Plaintext PIN verification performed by ICC
  4. Enciphered PIN verified online
  5. Signature (paper)
  6. No CVM Required

Explication de texte :

Pour un retrait, le PIN doit être vérifié en Online (1). Dans le cas d’un paiement, la carte préfère un contrôle Offline avec un chiffrement du PIN (2), le cas échéant, l’échange du PIN en clair avec la puce (3).

Si ces 2 méthodes ne sont pas disponibles, la carte suggère le PIN Online (4). Si ce n’est toujours pas compatible, elle suggérera la vérification par signature (5). Si toutes les méthodes précédentes échouent, alors elle propose de ne pas vous authentifier (6).

Les petits lecteurs de cartes que vous trouvez sur les distributeurs de pain par exemple, proposent le sans contact, mais vous pouvez insérer la carte. Par conséquent, si la carte ne propose pas la méthode « No CVM Required » vous ne pourrez pas payer en y insérant la carte, le TPE n’ayant aucune autre méthode disponible.

Le fonctionnement des TPE en France

En France, mais c’est également le cas dans plusieurs pays Européens, les TPE n’acceptent pas de faire du PIN Online. Ils ne font donc que du contrôle avec l’ICC (la puce).

Ce choix est lié à la préférence du pays de traiter les paiements en offline. Par conséquent, faire du PIN Online était un message contradictoire.

Ces positions ne sont pas figées. Par exemple en France, des travaux sont en réflexion pour intégrer du PIN Online dans les terminaux de paiements. Il faudra encore quelques années pour un déploiement massif d’une telle fonctionnalité au sein des TPE présents dans les commerces.

Le PIN Online n’est donc possible que dans les distributeurs de billets. Ces derniers sont obligatoirement en PIN Online et ce sera ainsi partout dans le monde.

Le fonctionnement des TPE dans des pays comme l’Allemagne

A l’inverse de la France, nous trouvons des pays comme l’Allemagne qui prennent en charge le PIN Online.

Par conséquent, si dans la CVM List l’émetteur a indiqué « Enciphered PIN verified online », alors le terminal de paiement fera la validation du code PIN avec le réseau (VISA / Mastercard) et/ou votre banque. A aucun moment le terminal ne va donc utiliser la puce de votre carte pour vérifier le code PIN.

Toutefois, si l’émetteur de la carte met en prioritaire l’une des méthodes basées sur l’ICC, alors le terminal fera du PIN Offline et ne réalisera un contrôle du PIN qu’avec la puce.

C’est ce mode de fonctionnement qui doit être déployé en France. Il permet de supporter toutes les méthodes et simplifier certaines actions et utilisations de la carte.

PIN Online et Sans Contact

Si vous voyagez, vous avez peut-être déjà remarqué qu’en posant votre carte afin de payer en Sans Contact, le terminal vous demande de renseigner votre code PIN pour finaliser la transaction.

C’est l’un des intérêts du PIN Online, la suppression de la limite du Sans Contact. Au-delà du seuil de sécurité sans authentification, on demande de renseigner le code PIN. Il est ainsi envoyé au réseau qui va vérifier qu’il est valide. La transaction peut ainsi aboutir ou être refusée en cas de besoin.

Si vous vous rendez dans des pays comme l’Allemagne avec une carte Française, vous serez sollicité pour le code PIN dès que vous payez au-delà de 25€.

Le Sans Contact avec PIN Online est une méthode d’authentification pour le Sans Contact qui est vouée à se généraliser. Elle est universelle et permet un gain de temps : celui d’insérer et retirer la carte du TPE. C’est également une sécurité supplémentaire, car vous gardez ainsi toujours votre carte en main.

PIN Online et personnalisation du code PIN

Plusieurs acteurs du secteur financier proposent de personnaliser le code PIN de votre carte bancaire. Lorsque la personnalisation intervient pré-production, le code PIN souhaité est directement configuré dans l’ICC.

Il arrive cependant que des émetteurs proposent de définir ou personnaliser le code PIN post-production. En général ils vous demandent de faire un retrait pour valider le nouveau code PIN et non un simple paiement.

Modification du code PIN

La modification du code PIN sur la carte fonctionne avec un système de script émetteur. Les émetteurs peuvent envoyer, lorsque le paiement ou le retrait sont acceptés, un script qui doit être appliqué sur la puce de votre carte.

Ce script permet non seulement de personnaliser le code PIN, mais aussi de modifier des valeurs de votre carte bancaire concernant par exemple le paiement offline. Chaque script émetteur est calculé spécifiquement pour une carte précise au travers d’un jeu de clés pour le chiffrement. Il est donc impossible d’appliquer un script d’une autre carte à votre, chaque carte ayant sa clé.

Comment fonctionne un script EMV ?

Nous allons vous détailler le fonctionnement d’un script sur une carte N26, bunq ou ING

Après avoir sélectionné le code PIN souhaité, vous devez passer en France par la case DAB. Seul un DAB en France passera outre le PIN actuellement en place sur votre carte pour ne vérifier que celui présent sur le réseau Mastercard. Un terminal de paiement faisant du PIN Offline, il va refuser votre nouveau PIN.

Si votre retrait aboutit, le script EMV est lancé sur votre puce. Vous récupérez la carte avec le nouveau PIN souhaité. Vous pouvez à présent payer en magasin avec votre nouveau code PIN.

Comment modifier son code sans retirer ?

On vous donne une astuce si vous préférez éviter le retrait d’espèces, ou si vous n’avez tout simplement pas 10 ou 20€ sur le compte afin que le retrait puisse fonctionner.

Certains DAB, à la Banque Populaire par exemple, vous demandent le code PIN afin de choisir le montant souhaité. Avec ce parcours (PIN avant le montant), le script émetteur est appliqué sur votre carte même si vous ne terminez pas l’opération de retrait.

Cela est tout simplement lié au fonctionnement du DAB qui fait le contrôle de PIN Online en amont du retrait. Une fois que le DAB vous indique que le PIN est accepté et vous propose de choisir le montant à retirer, annulez l’opération et récupérez votre carte. Vous avez à présent votre nouveau PIN configuré sans retrait. Vous pouvez l’utiliser chez les commerçants.

Modifier son code chez un commerçant

Allez une dernière astuce pour la route. Cette fois, vous devez connaître le PIN actuel de votre carte. Imaginons que votre PIN actuel soit 1234. Vous l’avez modifié dans l’application de votre banque en 9876.
Il n’est pas nécessaire alors de passer par un DAB. Vous pouvez tout simplement aller chez un commerçant et payer en utilisant votre ancien code PIN (1234). Si le paiement est réalisé en Online, alors le TPE appliquera le nouveau code PIN sur votre carte (9876) et vous pourrez n’utiliser que lui lors des prochains paiements.

Cette méthode impose de savoir si le paiement est passé en online ou en offline. Nous ferons un article pour détailler les tickets de paiements, mais sachez que si le paiement a été fait en online, vous avez le symbole « @ » qui apparaît sur le ticket à côté du « C » (un peu au-dessus du montant). Si vous n’avez que le « C » alors c’est un paiement offline.

La méthode la plus pratique reste toutefois le passage sur un DAB, vous êtes ainsi certain que le nouveau PIN est en place.

Hors de France, si l’émetteur a mis dans sa CVM en prioritaire « Enciphered PIN verified online », alors c’est équivalent au passage dans un DAB en France. C’est donc plus simple mais cela veut surtout dire que votre carte est à autorisation systématique.

La gestion des erreurs de code PIN

Lorsque vous saisissez le code PIN de votre carte, un compteur d’erreur est prévu. Par mesure de sécurité, votre carte sera bloquée après 3 saisies erronées. Certains émetteurs vont jusqu’à 5 erreurs possibles.

Ce blocage côté puce n’existe qu’en PIN Offline. En PIN Online, ce sera un blocage de la carte côté émetteur ou réseau. Si le blocage est posé côté réseau ou émetteur, il sera nécessaire de vous rapprocher de ces dernièrs pour débloquer la carte : Même avec le bon PIN en Offline, les paiements resteront refusés par sécurité.

En PIN Offline, plusieurs banques (Crédit Mutuel, Monabanq, Banque Casino, ING, bunq,…) proposent le déblocage automatique à la suite d’un retrait effectué avec le bon code PIN. Elle sera alors débloquée au lieu d’être capturée contrairement aux autres banques. Vous pouvez ainsi débloquer votre carte en toute autonomie sans devoir en payer une nouvelle.

Conclusion

Le PIN Online est une tendance qui va se généraliser sur les TPE, du moins pour la prise en charge. Les émetteurs devront cependant éviter de le mettre en prioritaire afin que vous ne soyez pas en autorisation systématique lors de chaque paiement.