piste magnétique

La piste magnétique de votre carte est-elle compatible avec les paiements offline ?

Dans l’article précédent, nous vous avons expliqué le fonctionnement des paiements offline effectués à l’aide de la puce. Dans cette seconde partie, nous abordons les paiements offline sur piste magnétique ainsi que les xPay.

Le hors ligne sur piste magnétique

La capacité à faire du hors ligne sur une piste magnétique repose sur le code de service associé à votre carte.

Le Service Code est codé sur 3 chiffres, ces derniers vont préciser la restriction de votre carte.

La zone d’acceptation de votre carte ( le premier chiffre ) :

  • 1 : Usage international autorisé, sans préférence entre MagStripe et EMV.
  • 2 : Usage international autorisé, avec préférence pour EMV si terminal compatible.
  • 5 : Usage national uniquement, sauf accord spécifique, sans préférence entre MagStripe et EMV.
  • 6 : Usage national uniquement, sauf accord spécifique, avec préférence pour EMV si terminal compatible.
  • 7 : Pas d’utilisation MagStripe autorisé, sauf accord spécifique.

Le type d’autorisation ( le second chiffre ) :

  • 0 : Aucune préférence, hors ligne autorisé
  • 2 : Hors ligne interdit, l’autorisation de l’émetteur est obligatoire
  • 4 : Hors ligne interdit, l’autorisation de l’émetteur est obligatoire, sauf accord spécifique

Le type d’utilisation possible avec la carte ( le 3eme chiffre ) :

  • 0: Aucune restriction d’usage, mais le code PIN Online sera obligatoire
  • 1: Aucune restriction d’usage, pas de code PIN requis, la signature est autorisée
  • 2: Paiement de biens et services uniquement, aucun retrait autorisé
  • 3: Retrait uniquement avec code PIN Online obligatoire
  • 4: Retrait uniquement, pas de code PIN imposé, la signature est suffisante
  • 5: Paiement de biens et services uniquement, aucun retrait autorisé mais PIN Online obligatoire
  • 6: Aucune restriction d’usage, mais le code PIN Online est souhaité
  • 7: Paiement de biens et services uniquement, aucun retrait autorisé mais PIN Online est souhaité

Les cartes classiques émises en Europe sont configurées avec le Service Code 201 :

Cela indique donc qu’elles sont compatibles avec un usage international mais préfèrent l’utilisation de la puce si le TPE est compatible.(2)

Concernant l’autorisation, elles n’ont pas de préférence et sont compatibles avec le hors ligne (0).

En termine d’usage, aucune restriction, les paiements et les retraits avec la piste magnétique sont possibles sans obligation d’utiliser le PIN, la signature est suffisante (1)

Avec une configuration en 201, votre carte est ainsi compatible avec tous les TPE qui font usage de la piste magnétique pour la transactions (ex dans les avions, trains, bateaux, péages, parking, automates,…).

Côté Fintech, c’est le 221 qui est la norme chez ces dernières. On trouve même du 227 afin d’interdire la signature en mode d’authentification et les retraits, tout en imposant l’autorisation systématique.

Concernant les restrictions de paiements, ce sont les réseaux (Amex, Mastercard, Visa,…) qui les déterminent selon le commerçant, son activité, le pays ainsi que d’autres critères.

En Europe, Mastercard et Visa s’accordent sur un plafond à 150€ par transaction avec la piste sans usage du code PIN. Ce plafond est abaissé à 100€ sur certaines pompes automatiques par exemple (sans PIN ni signature). Il est nettement plus élevé lorsque la signature est requise.

Le porteur, c’est à dire vous, est protégé en cas de fraude ou copie de la carte bancaire. Il n’y a donc pas de risque de supporter une transaction, que ce soit un paiement ou un retrait, n’ayant pas nécessité la saisie de votre code PIN.

Pourquoi certains terminaux n’acceptent pas les paiements offlines ?

Vous avez compris que le hors ligne dépend du type de canal utilisé pour le paiement. Votre carte peut donc être compatible avec le hors ligne via la puce mais l’interdire via la piste. Par conséquent, elle va par exemple fonctionner en hors ligne sur les terminaux utilisant la puce et pas sur ceux utilisant la piste.

A cela, on rajoute la dérogation dont on parlait dans le Service Code. Les émetteurs de cartes peuvent solliciter de la part de certaines professions (exemple les concessionnaires autoroutiers) que les 6 premiers chiffres de leurs cartes soient mis en « liste blanche ».

Dans le cas où le commerçant accepte, il n’y est nullement tenu, il passera outre la configuration de votre carte. Cette dernière pourra donc fonctionner en hors ligne malgré que tous les paramètres l’interdisent. Le commerçant sera toutefois assuré d’être payé. Il ne s’agira pas d’un forçage mais d’un accord bilatéral pour cette dérogation entre lui et l’émetteur de votre carte.

Le forcage

On termine avec le forçage. Il s’agit d’une opération similaire à la dérogation, sauf que le commerçant s’expose à un risque d’impayé lorsqu’il va réclamer son argent. Le commerçant peut par exemple forcer son terminal à passer outre les configurations de toutes les cartes (ou seulement de certaines) et à tout de même effectuer le paiement.

Cela est souvent pratiqué dans le domaine de l’aviation. Les sociétés qui s’occupent de l’alimentaire en vol font ce forçage. Le risque étant qu’une fois au sol, la demande de paiement soit refusée. Elles sauront en général vous retrouver pour vous envoyer la facture grâce au numéro de vol et au siège.

Vous pouvez donc oublier l’idée de vouloir consommer en vol sans payer avec le blocage préalable de votre carte. D’ailleurs certaines Fintech/Néo passent outre votre blocage et mettront votre compte en débit, même si c’est issu d’un forçage, cela dépend de leur politique.

Là encore le hors ligne peut reposer sur différentes configurations du terminal de paiement. Il n’y a pas d’explication simple et immédiate, sans analyser le ticket de refus / acceptation, pour répondre à une question de pourquoi la carte est passée sur tel terminal et non l’autre.

Si votre carte passe en hors ligne, il y a une certitude, vous ne pouvez pas avoir immédiatement ou dans les secondes qui suivent une notification indiquant qu’un paiement vient d’être effectué. Votre solde n’est pas mis à jour et l’opération ne sera pas présente dans l’historique avant plusieurs heures/jours.

Apple Pay, Google Pay, Samsung Pay, Paylib,…

Techniquement, Samsung Pay et Apple Pay embarquent tous deux le même niveau de sécurité en matière de paiement. Les 2 solutions ont matériellement la capacité de faire du paiement hors ligne.

L’ensemble des réseaux (CB, Visa, Mastercard, Amex, Dicover, CUP, JCB,…) ont considéré que le niveau de sécurité ne relevait pas d’une authentification suffisamment forte pour accepter le hors ligne, contrairement à la carte bancaire physique.

Dans l’idée des utilisateurs, tout cela est sécurisé car il faut une reconnaissance biométrique. L’authentification forte repose sur la méthode de vérification et de signature de la transaction. Que ce soit chez Apple ou Samsung, l’authentification repose sur le fait que le « système » donne le « go » au paiement. A aucun moment un code n’est envoyé à l’élément de sécurité déployé par votre banque lors de l’ajout de la carte.

Le paiement mobile a vu le jour en 2012 en France chez BNP, Société Générale, CIC, La Banque Postale et Crédit Mutuel Alliance Fédérale. A cette époque, il fallait un mobile Windows ou Android, ainsi qu’une carte SIM NFC chez SFR, Orange ou Bouygues (uniquement Full MVNO comme Euro Information Telecom).

La banque renseignait votre numéro de mobile et l’opérateur que vous utilisiez. Suite à quoi, l’opérateur répondait avec l’IMEI du mobile et d’autres données permettant ainsi à la banque de vérifier la compatibilité. Si tous les critères étaient remplis, la banque pouvait générer la carte virtuelle qui serait déployée par l’opérateur.

Vous deviez installer une application de la banque (M-Carte chez Crédit Mutuel/CIC, KIX chez BNP, Paiement Mobile chez Société Générale / La Banque Postale). Une fois l’application chargée, elle s’occupait de vérifier si un élément de sécurité devait être déployé. En clair, si une commande de carte était à installer sur la SIM.

Dans l’affirmative, avec le concours de l’opérateur, par exemple Orange et IDEMIA qui gérait la partie élément de sécurité, une application était déployée dans la carte SIM grâce aux clefs de cette dernière détenue par l’opérateur.

Quand l’opération était terminée, vous disposiez du paiement mobile sans contact. Il suffisait de débloquer le mobile (empreinte, code,…) pour activer le paiement en dessous de 20€. Au delà de 20€, il fallait en plus du déverrouillage du mobile, saisir un code PIN communiqué par la banque. Il y avait donc une authentification forte. En plus de la biométrie reposant sur le système d’exploitation, il y avait l’envoi d’un code PIN à l’élément de sécurité sur la SIM afin qu’il autorise un paiement supérieur à 20€.

Avec ce dispositif, le hors ligne était totalement ouvert sur les mobiles car l’authentification forte était assurée. La banque poussait les mises à jour de cet élément de sécurité à distance afin de réinitialiser le nombre de transactions et les capacités de hors ligne.

Les terminaux de paiements n’avaient pas besoin d’un logiciel spécifique. C’est d’ailleurs le même qui est utilisé pour Apple Pay, Google Pay, Samsung Pay,…

Il fallait le concours des opérateurs. Free comme Bouygues n’ont pas participé, mais également l’implication des constructeurs de mobiles afin d’embarquer la librairie pour le SIM Centric.

Au final, cette authentification forte a eu raison du paiement mobile SIM Centric. Tous les équipements furent déconnectés fin 2017. L’assouplissement sur Apple Pay, Samsung Pay,… s’est imposé en contrepartie d’une autorisation systématique pour compenser cette lacune.

Google Pay, Paylib Sans Contact

Le système repose sur une technologie nommée HCE. Cette dernière interdit purement et simplement le hors ligne en raison de l’absence de l’intégralité des données de sécurité sur le téléphone. Le mobile n’est qu’une partie du processus de paiement. L’ensemble des informations est réunie au cours de l’autorisation online afin que la transaction puisse se faire. Par conséquent, le blocage du hors ligne est technique pour ces solutions.

Les règles étant ainsi éditées, il n’y aura pas de retour en arrière sur le mobile. Cela a probablement motivé Apple à sortir une carte physique pour palier aux situations où le mobile n’est pas compatible avec le hors ligne. Jamais un mobile ne sera en mesure de remplacer une carte, il ne sera que l’extension de cette dernière (qu’elle soit physique ou virtuelle) et restera donc un outil de paiement sans être pour autant le moyen de paiement.

Online ou Offline lequel dans l’avenir

La réponse est simple, car c’est également celle du présent, les 2 vont coexister car on ne pas faire que l’une ou que l’autre des autorisations de paiements. Chaque type de d’autorisation a son usage, son intérêt et couvre un besoin. Toutefois, couvrir le besoin impose d’assumer un risque potentiel, par exemple avec la piste.

Les banques traditionnelles prennent donc le risque afin de vous garantir un usage sans faille de la carte qu’elles délivrent. Les Fintech sont plus frileuses et préfèrent occasionner des refus que prendre des risques.

En domestique les accepteurs tentent de pallier à cette frilosité des fintech, donc vous ne devez pas rencontrer trop d’incidents mais hors du territoire domestique, cela se complique.

Conclusion

Nous avons plusieurs fois abordé le hors ligne dans les différents articles. Nous remarquons que suite à cette vulgarisation, le « hors ligne » est souvent utilisé n’importe comment dans les échanges. Cette possibilité de paiement est normée, encadrée. Il ne s’agit pas juste d’une question d’émetteur (votre banque par exemple) ou d’accepteur (le commerçant pour faire simple). Rentrent en compte également le type de paiement et la raison du paiement afin de fonctionner.

C’est donc un ensemble de paramètres et de réglages qui définissent si oui ou non votre carte va fonctionner en mode déconnecté via sa piste ou sa puce.Fort de leurs expériences et des retours, les banques manient avec précision ces réglages. Côté Fintech et Néobanque, le discours est plutôt axé sur «conservez une carte traditionnelle avec vous».