EELV : un système de vote trop primaire

Primaire EELV

Ce week-end, les verts organisaient une primaire pour désigner leur candidat à la présidentielle. Désigné à l’aide d’un vote électronique payant qui a laissé quelques électeurs sur le carreau, privé de leur droit de vote et accessoirement de 2 euros. Ce problème n’intéresse pas que les personnes concernées, il intéresse plus largement pour l’aspect technique et réglementaire. C’est pour cette raison principale que nous allons aborder ce sujet.

« Nous avons le regret de vous informer que, suite à des contrôles de sécurité opérés par notre prestataire, et ce conformément aux CGU, votre inscription à la Primaire des écologistes et votre droit de vote pour ce scrutin ont été suspendus. Comme indiqué dans nos CGU, aucun remboursement ne sera effectué. »

L’explication des organisateurs de cette primaire

A certains médias, les organisateurs expliquent que le problème ne serait pas du côté de leur prestataire, mais du côté banque. Un contrôle sur les cartes bancaires a donc exclu plusieurs centaines de participants à cet exercice citoyen.

Les bases

Votre numéro de carte bancaire

Rappelons rapidement qu’un numéro de carte bancaire est composé de 16 chiffres.

Les 6 premiers chiffres forment la séquence BIN. Cette dernière permet d’identifier le réseau de la carte, l’émetteur de celle-ci, le type de carte… Ces éléments ne sont donc pas nominatifs, et ne permettent absolument pas d’identifier un individu.

Ensuite nous avons 9 chiffres, avec de plus en plus souvent, les 3 premiers qui sont une séquence fixe pour définir explicitement un pays d’identification du détenteur de la carte. On peut donc dire que dans les 9 chiffres qui suivent le BIN, seuls les 6 derniers sont aléatoires.

Enfin, nous avons un dernier chiffre pour composer la séquence de 16 chiffres d’une carte Visa, CB ou Mastercard. Ce dernier chiffre est une clef de contrôle, un contrôle reposant sur l’algorithme de Luhn. En clair, ce dernier chiffre permet de certifier que les 15 autres qui précèdent sont cohérents avec le contrôle. On retrouve ce mécanisme de contrôle dans le numéro de sécurité sociale ou l’IBAN Français sous le nom « clé ».

Accepteur et acquéreur

Établissons quelques mots importants pour la suite de notre explication. EELV est ici un accepteur, c’est-à-dire un commerçant qui propose à un client de payer par carte bancaire. L’accepteur doit se lier avec un acquéreur, c’est-à-dire une passerelle sur laquelle vous allez entrer vos informations de carte et qui effectuera les étapes du paiement. Nous simplifions au maximum en nous limitant aux rôles d’accepteur et d’acquéreur.

Les acquéreurs renvoient des informations à l’accepteur lorsqu’un paiement abouti, mais également en cas d’échec ou d’abandon. Ces éléments servent donc à finaliser la commande et confirmer ainsi le règlement de cette commande. Parmi ces informations, on retrouve la traduction du BIN, c’est-à-dire la banque émettrice, le type de carte, le pays de celle-ci, le type de débit… Mais aussi des éléments visant à lutter contre les fraudes.

Certains acquéreurs retournent aux commerçants les 4 ou 6 premiers chiffres d’une carte, et les 4 derniers. Cet élément nommé « PAN » dans les retours ne permettra JAMAIS d’identifier un détenteur de carte bancaire. Par conséquent, effectuer un contrôle sur ce simple élément est un non-sens ! Un commerçant n’aura jamais en retour les 16 chiffres de la carte bancaire, il y a obligation d’occulter la séquence par l’acquéreur et désormais on voit même certains ne fournir que les 4 derniers chiffres.

Comment éviter les doublons en se basant sur les numéros de la carte bancaire ?

L’utilisation du token

La première et la plus évidente, c’est d’utiliser le token qui est généré par les acquéreurs en remplacement du numéro de carte. Un acquéreur ne peut fournir à l’accepteur (donc EELV) les 16 chiffres, mais il peut fournir un « token » composé de lettres et de chiffres reposant sur le numéro de la carte et son expiration.

Le token apporte plusieurs intérêts, déjà, l’accepteur ne peut pas renverser le token pour retrouver un numéro de carte bancaire. Ce token permet également de s’assurer que cette carte est totalement unique sur le système de l’acquéreur, et donc de recouper toutes les transactions effectuées avec la carte.

Couplé le PAN partiel et la date d’expiration de la carte

Imaginons que le système d’EELV soit dans l’incapacité de travailler avec le token. Leur unique solution repose donc sur le PAN partiel de la carte bancaire. Ils auraient donc dû coupler le PAN partiel à l’expiration de la carte, ce qui aurait très fortement limité le risque de collision possible sur ce paramètre de limitation, vu le nombre de participations déclarées.

Limiter le nombre de transactions pour une même carte chez l’acquéreur

Une dernière solution, et probablement la plus enfantine, était de limiter le nombre de transactions chez l’acquéreur avec la même carte. En clair, définir une règle de sécurité interdisant sur 7 jours d’utiliser plus de 3 fois la même carte bancaire. C’est l’acquéreur qui refusait alors s’il y avait un tel usage, et EELV pouvait donc partir du principe que si l’acquéreur répondait un « OK » pour la transaction, la personne disposait alors d’un droit de vote.

Un procédé plus que douteux chez EELV

Ce qui nous étonne dans le comportement d’EELV, c’est qu’ils ont les éléments nécessaires lorsque vous revenez sur leur site après avoir effectué votre transaction.

Ils avaient donc la possibilité de savoir immédiatement s’ils étaient face à une « participation multiple » et pouvaient ainsi annuler l’autorisation de paiement. Le « client » ne serait pas débité et aurait pu réitérer l’inscription avec une autre carte bancaire par exemple.

Techniquement, ils pouvaient même mettre une capture à 5 jours imaginons, et ne débiter les cartes qu’après un contrôle ultérieur. Si le contrôle ne permettait pas d’accepter la participation, ils se dégageaient de l’autorisation et le client n’était donc pas débité.

Vu de la simplicité de ces actions, utilisées au quotidien par des commerçants sans aucune connaissance informatique, nous avons le sentiment que capter ces 2€ est volontaire peu importe la finalité. Comme nous l’indiquions, au moment de l’autorisation ils pouvaient annuler, ne pas débiter, ou alors faire un remboursement automatique et donc le « client » serait débité et remboursé derrière.

Comment récupérer ces 2€ ?

Les personnes lésées n’auront pas réellement de marge de manœuvre. La banque du participant à cette primaire peut sortir sa carte « litige commercial » et renvoyer son client à contacter EELV pour le remboursement. Mais en toute logique, ce serait à EELV d’annuler toutes les transactions de manière automatisée.

La seule piste pour le participant, c’est d’introduire un « chargeback » en escroquerie auprès de sa banque. Avec ce motif, la banque peut ainsi conduire une procédure auprès du réseau (Visa, Mastercard ou CB) afin de l’informer d’un litige grave sur cette transaction. Le réseau peut ainsi exiger que l’accepteur transmette toutes les preuves de la finalité de cette transaction. Si EELV a révoqué le droit de vote, le réseau pourra valider le motif « escroquerie » et ainsi invalider la transaction en déclenchant le remboursement des 2€.

Cette possibilité sera bien plus couteuse que 2€ à EELV, car lorsque les motifs « escroqueries » sont validés par le réseau, une enquête se met en œuvre, et l’accepteur doit justifier chaque transaction une à une. Après cette enquête, une amende sera prononcée contre EELV pour non-respect des procédures.

En restant réaliste et faisant la part de la théorie versus la réalité, quasiment aucun des participants lésés ne va entamer une telle action auprès de sa banque. La majorité va déjà évoquer une franchise de 50€, et pour 2€, il sera vite rappelé au client de l’établissement financier que son temps, celui de l’établissement valent plus que 2€. Donc la finalité de la démarche sera plus couteuse que s’asseoir sur 2€.

Conclusion

Ce procédé utilisé par EELV est archaïque et déprécié depuis plus de 10 ans chez les accepteurs.

Une telle méthode de filtrage a été considérée comme stupide depuis que les organisateurs de spectacles ont cherché à limiter le nombre de places qu’un même détenteur de carte est en mesure d’acheter. Leur but, éviter des opportunistes qui achètent en masse et revendent sur des marchés parallèles à des valeurs plus élevées que la valeur faciale du ticket d’entrée.

Il n’aura fallu que quelques heures à ces géants de la billetterie en ligne pour comprendre à quel point cette limitation était stupide et la retirer. Mais visiblement, plus de 10 ans après, EELV remet le couvert.

Pour les personnes lésées, nous n’avons pas de solution simple et efficace pour 2€. Éventuellement tenter le mail et demander le remboursement, bien qu’il soit anormal que l’action émane du lésé.