Cryptogramme visuel

Cryptogramme visuel
Code de sécurité au dos de cartes de paiement MasterCard, Visa et généralement composé d'un groupe de 3 chiffres à droite de l'espace dédié à la signature.
Sur les cartes American Express, le code de sécurité est imprimé, non gaufré en haut à droite sur le devant de la carte.

Le cryptogramme visuel désigne en général les 3 derniers chiffres présents au dos d'une carte de paiement.

Le terme le plus couramment utilisé est cryptogramme visuel[1], mais on trouve également les termes code de sécurité (card security code ou CSC en anglais), ou CVV (pour Card Verification Value), ou CVC (pour Card Verification Code), Verification Code (V-Code ou V Code), ou Card Code Verification (CCV). Tous ces termes désignent des procédés servant à la sécurisation des transactions par carte de paiement et fournissant une protection accrue contre l'utilisation frauduleuse des cartes de paiement.

Sommaire

Types de codes

Il existe différents types de codes de sécurité :

  • CVV1 ou CVC1, est chiffré dans la bande magnétique de la carte et est utilisé pour les transactions en personne. Le but de CVC1 ou CVV1 est de garantir que les données enregistrées sur la bande magnétique de la carte sont valides et ont été générées par la banque émettrice. Cette valeur est présentée dans chaque transaction et est vérifiée par la banque ayant émise la carte. Les limites du CVC1 ou CVV1 est que si la totalité de la bande magnétique est copiée, la carte peut être dupliquée par exemple par l'employé indélicat d'un magasin à l'aide d'un outil électronique (skimming en anglais).
  • CVV2 ou CVC2. Ce code de sécurité est souvent demandé par les commerçants afin de sécuriser une transaction à distance, que ce soit par internet, courrier, fax ou téléphone. Dans de nombreux pays d'Europe occidentale, suite à une augmentation des tentatives d'utilisation frauduleuse de cartes de paiement, il est à présent obligatoire de fournir ce code lorsque la transaction est à distance
  • Les cartes de paiement sans contact fournissent leurs propres codes générés électroniquement, tels que le iCVV ou CVV dynamique.

Ces codes ne doivent pas être confondus avec le numéro de carte de crédit généralement apparaissant en relief sur la carte de paiement. Le numéro de carte de crédit lui-même fait l'objet d'un système de validation propre avec l'algorithme appelé Formule de Luhn qui sert à déterminer si le numéro de la carte est valide.

Ces codes ne doivent pas non plus être confondus avec la code PIN ou le mot de passe 3-D Secure connu sous le nom "MasterCard SecureCode" ou "Verified by Visa". Ces codes ne sont pas imprimés ou mis en relief sur la carte mais sont entrés manuellement au moment de la transaction.

Emplacement du code

Le code de sécurité (CVV2 ou CVC2) est un groupe de 3 ou 4 chiffres imprimés au dos de la carte de paiement à droite de l'emplacement réservé à la signature, mais il n'est pas encodé dans la bande magnétique.

  • Les cartes de paiement MasterCard, Visa, Diners Club, Discover (États-Unis), et JCB (Japon) ont un code de sécurité à 3 chiffres. Ce code n'est pas en relief comme le numéro de la carte de paiement, il s'agit toujours des 3 derniers chiffres imprimés au dos de la carte à droite de l'emplacement réservé à la signature. Les nouvelles cartes de crédit Visa et Mastercard ont ce code dans un emplacement séparé à droite de l'emplacement de la signature, ceci afin d'éviter que les 3 chiffres ne soient raturés par la signature sur la carte. Ces codes ont un nom différent en fonction de l'émetteur de la carte de paiement :
    • "CVC2" (card validation code) chez MasterCard,
    • "CVV2" (card verification value) chez Visa,
    • "CID2" (card identification number) chez Discover (États-Unis).
  • Les cartes de paeiment American Express ont un code de sécurité à 4 chiffres imprimé au recto de la carte au dessus du numéro de la carte. Ce numéro n'est pas imprimé en relief comme le numéro de la carte. Ce code est appelé chez American Express :
    • "CID" (unique card code)

Avantages du système

Comme le code de sécurité n'est pas inclus dans la bande magnétique, il n'est en général pas inclus dans une transaction qui a lieu en face à face chez un commerçant. Cependant aux États-Unis, quelques entreprises comme Sears ou Staples exigent ce code.

Pour les cartes American Express en Europe, l'usage du code de sécurité pour les transactions à distance a commencé en 2005. Ceci augmente le niveau de protection pour la banque et le titulaire de la carte, dans le sens où un commerçant malintentionné ne peut pas simplement capturer les données de la bande magnétique pour les réutiliser dans le cadre d'un paiement à distance ultérieur. Pour cela, le commerçant devrait noter le code CVV2 au moment de la transaction où il souhaite capturer les données de la bande magnétique, ce qui éveillerait les soupçons du titulaire de la carte.

Les commerçant exigeant le CVV2 pour les transactions à distance sont interdits par Visa aux États-Unis de conserver le code CVV2 d'une transaction une fois celle-ci autorisée et terminée. Ainsi, si une base de données de transaction était volée, le code CVV2 ne serait pas inclus et par conséquent les numéros de cartes volées seraient moins facilement réutilisables.

La norme PCI DSS (DSS = norme de sécurité des données (data security standard) et PCI = Conseil des normes de sécurité (Payment Card Industry)) interdit également le stockage du code de sécurité ainsi que d'autres données sensibles liées à l'autorisation de la transaction. Ceci, pour toute entité qui enregistre, traite, transmet des données de cartes de paiement[2].

Fournir un code de sécurité CSC a pour but de vérifier que le consommateur a bien la carte en sa possession. Connaître ce code prouve que le consommateur a vu la carte. A ce jour, aucun logiciel permettant de "craquer" ce système n'est connu.

Limites

  • L'usage du code de sécurité ne protège pas contre les techniques de hameçonnage (phishing), dans lesquelles on fait croire au titulaire de la carte qu'il entre son code de sécurité ainsi que les autres données de sa carte sur un faux site. L'augmentation du hameçonnage a réduit l'efficacité du code de sécurité en tant que procédure anti-fraude. Il existe également des fraudes dans lesquelles l'auteur du phishing a déjà obtenu le numéro de carte de l'utilisateur (par exemple en piratant la base de données d'un commerçant) en leur envoyant ces données volées pour leur donner un faux sentiment de sécurité avant de leur demander de compléter un formulaire demandant le code de sécurité qui n'était pas enregistré dans la base de données volée[3].
  • Comme le code de sécurité ne doit pas être enregistré par le commerçant (après que la transaction pour laquelle le code de sécurité a été utilisé soit autorisée et terminée), un commerçant qui a besoin d'utiliser régulièrement une carte pour un abonnement n'est pas capable de fournir ce code de sécurité après la transaction initiale.
  • Certains fournisseurs de cartes n'utilisent pas encore le code de sécurité - même si MasterCard et Visa ont respectivement commencé en 1997 en 2001. Cependant, les transactions sans code de sécurité ont plus de chances d'être soumises à des contrôles anti-fraude plus poussés, et les transactions frauduleuses sans code de sécurité ont plus de chances d'être résolues en faveur du titulaire de la carte.
  • Il n'est pas obligatoire pour un commerçant de demander le code de sécurité pour effectuer une transaction, par conséquent une carte aura toujours le risque d'être utilisée frauduleusement si son numéro est entre les mains de l'auteur d'un hameçonnage.

Génération des codes de sécurité des cartes

Les valeurs des codes CVC1, CVV1, CVC2 et CVV2 sont générées lorsque la carte est créée. Ces valeurs sont calculées en chiffrant le numéro de carte (PAN, Primary Account Number en anglais), la date d'expiration et le code de service avec une clé de déchiffrement (souvent appélée Card Verification Key ou CVK en anglais) seulement connue de la banque émettrice de la carte, puis en convertissant au format décimal le résultat[4],[5].

Notes et références

Voir aussi


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Cryptogramme visuel de Wikipédia en français (auteurs)

Игры ⚽ Нужно сделать НИР?

Regardez d'autres dictionnaires:

  • Cryptogramme —  Pour l’article homonyme, voir cryptogramme visuel.  Un cryptogramme est une énigme basée sur un message chiffré. On en trouve principalement dans les médias imprimés comme les livres, les magazines ou les journaux. Le chiffrement est… …   Wikipédia en Français

  • Piratage du PlayStation Network — Logo du PlayStation Network. Le piratage du PlayStation Network désigne une « intrusion extérieure »[1] …   Wikipédia en Français

  • JTC-1 — Joint Technical Committee 1 Pour les articles homonymes, voir JTC et 1 (nombre). Le JTC1, créé en 1987 par convention entre l ISO et la CEI est l organe de référence pour la normalisation des Technologies de l Information au niveau mondial.… …   Wikipédia en Français

  • JTC1 — Joint Technical Committee 1 Pour les articles homonymes, voir JTC et 1 (nombre). Le JTC1, créé en 1987 par convention entre l ISO et la CEI est l organe de référence pour la normalisation des Technologies de l Information au niveau mondial.… …   Wikipédia en Français

  • JTC 1 — Joint Technical Committee 1 Pour les articles homonymes, voir JTC et 1 (nombre). Le JTC1, créé en 1987 par convention entre l ISO et la CEI est l organe de référence pour la normalisation des Technologies de l Information au niveau mondial.… …   Wikipédia en Français

  • Joint Technical Committee 1 — Pour les articles homonymes, voir JTC et 1 (nombre). Le JTC1, créé en 1987 par convention entre l ISO et la CEI est l organe de référence pour la normalisation des Technologies de l Information au niveau mondial. Comité technique commun à ses… …   Wikipédia en Français

  • Influence d'Edgar Allan Poe — Edgar Allan Poe L écrivain en novembre 1848, daguerréotype de W.S. Hartshorn, Providence, Rhode Island Autres noms …   Wikipédia en Français

  • Odyssey² — Videopac Oddysey² (Videopac) Fabricant Magnavox/Philips Type Console …   Wikipédia en Français

  • Videopac — Odyssey2 (Videopac) Fabricant Magnavox/Philips Type Console de salon Génération Deuxième …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”