mystère BIN

Vous êtes plusieurs à avoir posé diverses questions qui tournent autour du BIN ou IIN de la carte bancaire. Ces questions font suite à la diffusion d’une vidéo par Cédric BK, connu sur les réseaux sociaux comme un passionné des fintech.
Plutôt que de répondre au travers de plusieurs Questions/Réponses, nous avons préféré faire un article dédié au BIN/IIN de la carte bancaire, et reprendre les différentes interrogations.

Qu’est-ce que le PAN d’une carte bancaire ?

Une carte Visa, Mastercard, CB, Maestro ou V Pay, pour ne citer que les principaux réseaux, est composée de 16 chiffres. On parle de PAN pour Primary Account Number.
2 chiffres ont un rôle bien précis dans ce PAN :

Le MII

Le premier chiffre désigne le réseau de votre carte. On parle de MII pour Major Industry Identifier. Nous retrouvons le 4 pour Visa, le 5 pour Mastercard. Dans certains cas, ce 1er chiffre ne permet pas d’identifier le réseau. Le 6 par exemple est utilisé par Maestro, mais également par Discover. Le 3 est partagé par American Express et Diners Club.
Les deux plus gros réseaux étant Visa et Mastercard, ils ont leur chiffre dédié et il n’est pas mutualisé.

La clé de contrôle

L’autre chiffre important, c’est celui à la fin de votre numéro de carte bancaire à 16 chiffres. C’est en réalité une clé de contrôle, on parle de Formule de Luhn. Ce chiffre est donc une clé permettant de confirmer que la saisie des 15 premiers chiffres ne comporte aucune erreur.
On retrouve cette même formule dans le numéro de sécurité sociale ou l’IBAN Français, les 2 derniers chiffres correspondent au calcul de la Formule de Luhn sur les caractères entrés.

Protégez votre PAN

Vous aurez donc compris que la combinaison des 4 derniers chiffres de votre carte est presque unique. Le risque de collision, est très rare sur un même réseau et une expiration. Il est donc possible aux services de sécurité de retrouver rapidement votre carte à partir des seuls 4 derniers chiffres. D’ailleurs, sur les réseaux sociaux, ne diffusez jamais plus que 6 chiffres. Car si vous diffusez une partie du début et les 4 derniers, il devient alors possible d’inverser la Formule de Luhn de reconstituer le PAN complet.
Pour une American Express, n’allez jamais au-delà de 4 chiffres. Son PAN est composé de 15 chiffres. Du chiffre 5 au 11, c’est votre numéro de compte carte chez American Express. Du 12 au 14, c’est le numéro de carte associé au compte. Le 15 correspond à la clef de contrôle.
Retenez surtout que sur une Visa ou Mastercard, on peut montrer sans risque les 6 premiers chiffres. Il faut masquer tout le reste, y compris les 4 derniers chiffres. Il n’y a pas de risque de fraude en laissant apparent les 4 derniers. Ne pas les diffuser rend impossible l’identification de votre carte aux personnes habilitées.
Pour les autres réseaux comme American Express, ne dépassez jamais les 4 premiers chiffres, et n’affichez jamais les 5 derniers chiffres de votre carte.

BIN/INN qu’est-ce que c’est, et quelle différence ?

BIN est la contraction de Bank Identification Number, pour IIN, c’est l’acronyme de Issuer Identification Number.
Entre IIN et BIN, il n’y a pas de différence. En fait les 2 veulent dire la même chose. A l’origine on parlait de BIN lorsqu’il y avait encore très peu d’acteurs sur le secteur de la carte bancaire. Au fil des années, avec la montée en puissance des cartes bancaires, le découpage des cartes a été revu. On a renommé BIN en IIN qui semblait plus cohérent. On doit donc parler d’IIN normalement.  Mais BIN est resté dans la littérature et l’usage, un peu comme l’expression « carte bleue » en France.
Les monéticiens de l’équipe utilisent BIN. Ils prennent également un malin plaisir à confirmer l’adage « Faites ce que je dis, ne faites pas ce que je fais ». Nous utiliserons donc IIN dans la suite de l’article afin de vous habituer à la bonne terminologie.

Lire un IIN

Au commencement, l’IIN était composé des 6 premiers chiffres de votre carte bancaire. A présent, et avec l’évolution des canaux de distributions, l’IIN est constitué des 9 premiers chiffres de votre carte bancaire. Dans le secteur, certains extrémistes nous préparent à monter sur 13 chiffres. Bon d’ici là 100% de l’internet sera en IPv6, autant vous dire qu’on sera tous morts avant.
Pour ne pas vous encombrer l’esprit, nous allons nous intéresser qu’aux IIN Visa et Mastercard. Nous laissons de côté les autres réseaux comme American Express.
Le 1er chiffre de votre IIN, on en a parlé c’est le MII. Les 5 chiffres, idéalement 8 chiffres, qui suivent, font partis d’un socle qui peut nous renseigner sur votre carte bancaire.

Les informations disponibles dans l’IIN

Au travers de l’IIN nous pouvons entre autres choses savoir :

  •  Le réseau de votre carte : Visa, Mastercard.
  • Le mode de débit de votre carte : Débit ou Crédit.
  • Le niveau de votre carte : Commercial, Prepaid, Classic, Gold…
  • La devise de votre carte : EUR, GBP…
  • Le code ISO du pays émetteur
  • Le profil du porteur : Particulier, Société, Gouvernement…
  • L’entreprise responsable de la carte : Nom de l’entreprise propriétaire de la carte.
  • L’entreprise délivrant la carte :Le distributeur par exemple dans le cas d’un « BIN Sponso »
  • Le type de produit et le nom du produit
  • Le type de numéro

Première information importante, il n’existe que 2 types de cartes, soit elle est « DEBIT », soit elle est « CREDIT ». Vous n’aurez jamais sur une base officielle d’autre indication de cette information pour le type de carte.
Si la carte est « COMMERCIAL », « PREPAID » ou « GIFTS », ce sera alors son niveau de carte. C’est pour cela que vous pouvez avoir une carte marquée « DEBIT » et « PREPAID ». C’est le cas pour Monese, ou historiquement pour Curve, Revolut et bien d’autres acteurs de la Fintech.
En type de produit et nom du produit, Visa va donner par exemple Visa Electron, Visa V PAY, Visa Classic, Visa Business, Visa Gold, Visa Platinum, Visa Infinite, Visa Infinite Privilege, Visa Infinite Business…
En type de porteur, il sera indiqué consumer, business ou government. Ce qui permet ainsi de savoir si la carte est délivrée à une personne physique, morale ou une agence d’un gouvernement.
Le type de numéro nous indiquera s’il s’agit d’un numéro de carte réel (qu’il soit physique ou virtuel n’est pas précisé), ou s’il s’agit d’un numéro de carte dématérialisé comme celui dans un xPay.
Il faut donc traduire la base IIN afin d’associer les cartes à un usage professionnel ou privé. Une carte peut avoir un type de porteur en particulier, et pour autant un statut commercial en type de produit. Il est donc important de la mettre en forme afin de l’utiliser de la manière la plus cohérente que possible.
Pour Mastercard, les choses sont plus simples. Déjà pour le type de produit et le mode de paiement, Mastercard utilise « MCC » pour Mastercard Credit, « DMC » pour Debit Mastercard, « MSI » pour Maestro et « CIR » pour Cirrus. Cela simplifie déjà grandement la compréhension du type de carte.
Ensuite, Mastercard utilise une zone dédiée à la marque de la carte permettant ainsi de savoir si c’est une carte World Elite, Gold, Classic…On retrouve également l’information exacte si c’est une carte avec un interchange pour les particuliers, ou pou les professionnels. Dernier détail, c’est dans la zone de la marque que Mastercard précise s’il est question d’une carte prépayée, cadeau, commerciale… L’information peut se trouver concaténée à une mention World par exemple.

Des données brutes enrichies

Les bases sont donc « brutes » et c’est une volonté aussi des réseaux afin d’éviter que certaines intégrations stigmatisent trop facilement certains types de cartes, par exemple les cartes de débit qui seraient à contrôle de solde. Chez Mastercard, il est impossible de faire la nuance entre un débit au fil de l’eau (carte d’une banque classique), ou une carte de débit avec un contrôle de solde avec séquestre. Les deux seront marquées « DMC » dans la base IIN diffusées par Mastercard en SFTP quotidiennement.
Ce sont donc des prestataires tiers qui vont « enrichir » les données, et affiner les éléments afin de catégoriser certaines cartes comme des cartes « business », souvent c’est le rôle du PSP afin de permettre à un e-commerçant de filtrer les cartes qu’il veut bien accepter.
L’IIN permet donc d’avoir un certain nombre d’éléments sur votre carte. Dans la pratique, ce sont très majoritairement des paiements à distance (ex : par internet) qui appliquent des contrôles sur l’IIN.  Cela permet  aux e.marchands de réduire les fraudes et filtrer les cartes qu’ils souhaitent accepter. Dans les commerces physiques, vous avez plus de chance de tomber sur un trèfle à 4 feuilles, que d’être confronté à un TPE physique qui refuse un niveau de carte.
Si vous avez un refus dans un commerce, ce sera surtout une histoire de « unable to go online », ce que beaucoup nomment « offline ».

Les mises à jour des IIN par les réseaux

Les bases IIN sont diffusées par Visa, Mastercard, CB, American Express. Elles doivent êtres intégrées par les banques. Les bases IIN sont destinées exclusivement à un usage bancaire, en comprenant par exemples des PSP (Prestataire de Services de Paiement).
A aucun moment, ces bases IIN doivent faire l’objet d’une sortie de données. Toutefois, certains sociétés se sont spécialisées en protection contre la fraude. Elles obtiennent donc des copies de ces bases, mais bien souvent obsolètes. Ce qui conduit à mal identifier une carte bancaire et provoquer le refus d’acceptation de celle-ci.
Du côté de Visa, les bases IIN sont accessibles via 2 programmes, le VBASS (Visa BIN Attribute Sharing Service) et le PAAI (Payment Account Attributes Inquiry). C’est d’ailleurs surtout via le PAAI que les informations à jour et complètes sont disponibles. Le PAAI est destiné exclusivement aux banques. Le VBASS est un peu plus ouvert, car il autorise les PSP à y accéder.
Chez Mastercard, aucun nom à coucher dehors, c’est tout simplement BIN Lookup Table. Pour les 2 réseaux, la base IIN est mise à jour quotidiennement.

Des mises à jour payantes

Ces accès ne sont pas gratuits. Ils coûtent de l’argent et on ne parle pas en centaine d’euros. Ces bases ont une valeur financière très importante. Les sociétés tierces sont prêtes à payer cher pour avoir le contenu afin de le revendre à leur tour à d’autres entités.
Il n’y a donc aucune autre source d’information fiable ou même à jour sur les IIN des cartes bancaires. Mais vous pouvez trouver certains sites qui vous promettent de fournir des informations sur votre carte.

Des sites aux informations erronées

Binlist

Le site « BINLIST » est souvent cité, mais ce site est bourré de fausses informations. Le site l’indique d’ailleurs très clairement, mais en anglais « The data backing this service is not a table of card number prefixes. That would be unreliable and provide you with too little information. The data is sourced from multiple places, filtered, prioritized, and combined to form the data you eventually see. Some data is formed based on assumptions we make by looking at adjoining cards. Although this service is very accurate, don’t expect it to be perfect. »
Ce sont donc des données agrégées, mais essentiellement des données renseignées par les utilisateurs eux même via Github ( https://github.com/binlist/data ). En clair, chaque utilisateur va nommer et renseigner les caractéristiques de sa carte via un « pull ». BINLIST est donc un patchwork de données, alimenté par des utilisateurs. De ce fait, au vu du manque de qualité de ce service, aucune société ne l’exploite dans la mesure où il ne reflète pas la réalité.

Bindb

La société bindb ( https://www.bindb.com ) propose quant à elle un service déjà un peu plus fiable sur les cartes. Toutefois, elle utilise également les suggestions des usagers, mais elle contrôle via plusieurs sources les demandes de correction. C’est d’ailleurs cette base qui est exploitée par Curve, Revolut et d’autres pour qualifier les cartes que vous allez utiliser dans leur service respectif.
Comptez 9800$ pour 2 ans, afin d’avoir une base IIN à peu près correcte et avec des données relativement fiables, bien que des erreurs existent. Par exemple bindb a longtemps assigné les nouvelles cartes ING comme des cartes « COMMERCIAL ». Cela a occasionné des frais pour le TopUp chez Revolut, preuve que la base manque un peu de fiabilité concernant ses mises à jour.
Dans l’industrie monétique, il est reproché à bindb d’actualiser les données de ses clients (ex : Curve ou Revolut) avec des données qui ne reflètent pas celles présentent chez Visa ou Mastercard. L’explication donnée par bindb : en mettant les données suggérées par leurs clients, les données sont plus « proches de la réalité commerciale ».
Prenons un exemple avec Cuve, les cartes ayant pour IIN le 537591. Si on croit bindb, il s’agit d’une carte de débit classique. Or en réalité, et en cohérence avec la base Mastercard, ce BIN est une carte de débit commerciale. Nous ne sommes pas du tout sur le même segment de carte, et surtout pas sur les mêmes frais pour un commerçant.

Binbase

Il y a un autre prestataire qui s’avère bien plus fiable, sans pour autant être au niveau des bases IIN d’origine. Il s’agit de binbase ( https://www.binbase.com ).  Lui aussi est payant mais intègre les 9 chiffres, et va même jusqu’à 11 chiffres pour l’analyse de l’IIN.
Comptez 3000$ pour une base avec 2 ans de mises à jour, mais avec des IIN sur 6 chiffres seulement. Pour les 9 chiffres, il vous faudra débourser près de 15 000$ pour la base.

La fiabilité des bases publiques

Les bases que vous pouvez trouver sur des sites comme BINLIST sont clairement corrompues par les abondements opérés par des tiers. Si vous désirez vous approcher de la réalité, optez pour « binbase » et les quelques recherches gratuites qui seront proposées. Pour « bindb », le problème c’est qu’ils laissent leurs clients alimenter les bases diffusées et donc créer des incohérences entre celles de Visa ou Mastercard et leur base IIN.

Les réponses à quelques questions :

Maintenant que les bases sont posées, nous allons répondre à quelques interrogations.

IIN 435044 : l’IIN Infinite de Revolut

Regardons l’IIN 435044 qui correspond à l’IIN vendu comme « Infinite » par Revolut. Alors bindb indique « Infinite », forcément, Revolut est leur client.
Pour binbase, c’est en fait une Visa traditionnelle. On peut même constater, que Revolut a découpé son IIN 435044 en 100 enregistrements différents en assignant par exemple le 43504403 pour la Belgique.
La liste complète est payante, et nous ne pouvons légalement pas vous donner les autres entrées que celles présentées par binbase. La diffusion de la base est interdite, même partiellement.

Que veut dire « Business World Debit » chez Curve ou Shine ?

Le niveau « World Debit » est différent du niveau « World Elite » chez Mastercard. Comme nous vous l’indiquions, plus haut dans l’article, en « nom de la marque », Mastercard peut renseigner une information textuelle afin de préciser quel est le type de carte.
Le terme « business » indique donc que c’est une carte avec un interchange non régulé. Il va donc se situer en 0.90% pour les cartes émises en France, jusqu’à 2.75% pour certaines cartes émises en Europe. Ce taux est fixé par Mastercard pour chaque pays et selon le type de description pour la marque ainsi que la méthode de paiement (en ligne, en sans contact, en mode contact…).
La même nuance existe chez les particuliers, et nous allons prendre N26 en exemple. A l’origine, l’offre « Black » reposait sur une carte ayant pour licence « Word Elite ». Depuis le changement du nom de l’offre, avec « You », il s’agit en réalité d’une carte « World Debit » et non plus « World Elite ».
Nous allons revenir sur ces différences très rapidement dans un article dédié afin de soulager l’actuel et ainsi comprendre les différence entre « Infinite » et « Infinite » (non il n’y pas de doublon par erreur).

Est-ce que le IIN permet de savoir s’il y a du offline ?

Il est impossible de savoir avec un IIN si la carte comporte du « offline ». Cette information est uniquement embarquée à la fois dans la puce, mais également dans la piste magnétique de cette dernière.
L’émetteur de votre carte est libre de bouger les curseurs à la volée au travers d’un script EMV. Il est donc impossible de faire correspondre un IIN avec une telle capacité. Pour un même IIN, 2 clients peuvent ne pas avoir la même souplesse de « offline ». Cela demandant une certaine agilité et maitrise des scripts EMV, sachez que dans toutes les Fintechs, les seuils sont identiques pour tous les clients.
Comme nous le rappelions, l’IIN est surtout exploité dans le cadre des paiements à distance. La capacité de « offline » n’a donc strictement aucun intérêt dans la mesure où tous les paiements à distance (ex : internet) sont en « online ». Cela n’existe pas le « offline » dans un tel contexte. En monétique on parle de CNP pour Card-Not-Present.

Peut-il y avoir une différence d’interchange entre la carte et la base BIN ?

Pour rappel, le codage de l’interchange dans la puce est une spécificité européenne. Cela est obligatoire au sein de l’EEE. Mais ce n’est pas encore le cas en dehors, par exemple avec des cartes émises aux USA.
On parle d’IFR pour Interchange Fee Regulation, l’information est embarquée dans votre puce au travers du TAG 9F0A.
Sa valeur débute par 0001 pour indiquer que nous sommes sur un IFR Européen. S’en suivra un codage portant 01 pour les cartes de débit, 02 pour celles en crédit, 03 si c’est une carte commerciale, et 04 si nous sommes confrontés à une carte prépayée ou cadeau.
On rappelle que 01 = 0.20% d’interchange, 02 = 0.30% d’interchange, 03 = interchange non régulé et 04 = 0.20% d’interchange comme en débit.
Il peut effectivement arriver qu’une carte dans la base BIN soit marquée comme usage commercial, et dans sa programmation, elle embarque un codage en 01. Une décorrélation reste quelque chose de rare, mais il existe un cadre juridique autorisant la carte à s’annoncer 01 en Face-to-Face, c’est-à-dire en l’utilisant physiquement avec un TPE, et réclamer un interchange professionnel lors d’un paiement CNP.
Dans une telle configuration, l’émetteur de la carte est censé conserver la partie interchange configurée pour le canal de paiement. Dans les faits, ils gardent l’interchange le plus avantageux pour eux, à savoir le commercial.

Conclusion

Il est important de garder à l’esprit que les IIN sur 6 chiffres sont totalement obsolètes dans l’univers des Fintechs. Ces entités financières découpent les IIN sur au moins 9 chiffres afin d’assigner une plage à un programme.
Prenons un exemple chez Treezor. Si vous regardez les 6 premiers chiffres des cartes Lydia et Yeeld, ils sont identiques. Il faut aller au-delà de 6 chiffres pour savoir exactement à quel programme correspond le PAN, on parle de BIN Sponso.
Les plages IIN deviennent rares avec le volume de cartes en circulations. Il est révolu le temps où on assignait un rang de 6 chiffres par programme. Il est à présent demandé de travailler sur 9 chiffres, et recycler les anciens IIN non utilisés ou résiliés. Tout comme les IPv4, l’heure est à l’économie et à une meilleure gestion des séquences et des découpages, c’est pour cette raison que certains voient déjà un IIN sur 13 chiffres.
Mastercard, tout comme Visa recyclent également des plages IIN d’anciens clients afin de les assigner pour de nouveaux projets ou nouveaux clients. Cela se fait parfois dans la douleur, car justement les prestataires qui vendent des services de lutte contre les fraudes tournent avec des bases obsolètes. On rappelle que quotidiennement les réseaux actualisent les tables IIN. Donc les acteurs au plus proche des réseaux sont à jour dans la semaine.
Sachez également qu’on n’assigne pas un même IIN pour différentes catégories de cartes. Si on prend l’exemple de Revolut, le même IIN est utilisé sur les cartes virtuelles, les standards et certaines premiums qui n’embarquent pas la mention « Infinite », alors que les cartes en métal portent cette inscription. Dans une logique IIN, cette incohérence sur les supports physiques, mais également dans des xPay comme Apple Pay démontre que la carte marquée « Infinite » n’en est pas une mais qu’elle en adopte les codes. On reviendra sur ce point également dans un autre article, afin de vous expliquer exactement pourquoi la carte est marquée « Infinite » sur le support physique et dans Apple Pay.
Pour les bases « BIN », évitez les sites du genre « BINLIST », vous êtes assuré d’avoir des informations non fiables. Comme nous l’indiquions, l’alimentation est faite par des bénévoles, et les données ne sont pas confrontées à celles disponibles chez Visa ou Mastercard. Les véritables bases IIN ne sont pas en accès libre. Elles sont vendues, et cela à un coût très élevé, sans pour autant être à 100% digne de confiance. En France, c’est via le GIE CB que les acquéreurs (PSP par exemple) obtiennent des bases fiabilisées et ordonnées afin de traiter les paiements CNP.