SecurityInsider
Le blog des experts sécurité Wavestone

Carte bancaire à CVV dynamique : une expérimentation... et de nombreuses questions !




Face à l’augmentation de la fraude en ligne, BPCE va expérimenter dans plusieurs de ses Caisses d’Épargne et Banques Populaires une nouvelle génération de cartes bancaires avec affichage dynamique du CVV (Card Verification Value).

Suite aux recommandations du GIE Cartes Bancaires, enjoignant les banques françaises à améliorer la sécurité des cartes bancaires afin de juguler la fraude sur les paiements sur Internet, différentes banques de la place commencent à étudier voire proposer des solutions.
Si certaines, à l’instar de la Société Générale, ont opté pour une solution de type « soft token » intégrée à leur application mobile (mais n’adressant que les transactions 3DSecure), BPCE annonce pour sa part un déploiement pilote de cartes à CVV dynamique visant à se prémunir du vol des données nécessaires à un achat en ligne. Ainsi, même si ces données (numéro de carte, date d’expiration et CVV) sont compromises par un pirate, les possibilités de réutilisation deviennent très limitées : dans le cas d'un vol par phishing par exemple, la fenêtre de tir dont disposera l'attaquant se limitera au maximum à la durée de validité du CVV (qui dépend de la fréquence de rafraîchissement paramétrée par la banque). Dans le cas d'un vol de ces données bancaires en base de données (d'un site marchand par exemple), le CVV a également de grandes chances de ne plus être valide au moment de sa récupération par le pirate.
 
L’affichage d’OTP (One Time Password) sur une carte à puce n’a en soit rien de révolutionnaire, plusieurs fournisseurs en proposant depuis plusieurs années. Le succès n’a pas vraiment été au rendez-vous, notamment à cause de systèmes couteux pour les banques et dont la fiabilité pour un usage quotidien restait en question. Oberthur Technologies (via le rachat de NagraID Security) innove cependant ici en intégrant l’afficheur directement en lieu et place du CVV, et en fournissant à la banque le système permettant la vérification de cet OTP.
 
Un des intérêts majeurs de cette solution tient dans le très faible impact sur les parcours clients de vente en ligne actuellement existant. Le client continue d’utiliser le numéro de carte, la date d’expiration et le CVV (dynamique en l’occurrence) pour valider un paiement. Côté commerçant, pas d’évolution à prévoir sur les sites web dans la mesure où le CVV reste un code sur 3 caractères, la complexité de sa vérification étant portée par la banque. Ceci différencie nettement cette solution des solutions d’authentification forte de type soft token, qui ont un impact plus marqué sur le parcours client. Enfin, le CVV dynamique permet un renforcement de la sécurité pour toute transaction, là où aujourd’hui seules les transactions 3D Secure (encore minoritaires) bénéficient d’une sécurité accrue (via OTP SMS ou soft token par exemple).
 
Cependant, différentes interrogations se posent sur cette nouvelle solution. Tout d’abord la robustesse et la fiabilité qui devront être démontrées par le pilote mené par BPCE. La durée de vie de l’afficheur dynamique sera-t-elle en ligne avec celui de la carte bancaire ? Sera-t-il suffisamment robuste pour résister à des utilisateurs pas toujours très précautionneux ? Ensuite, le délai d’affichage de l’OTP devra être affiné de manière à assurer un bon niveau de sécurité (sans détériorer le niveau de la batterie) : une modification toutes les heures laisserait plus de temps à un attaquant pour mener une fraude. Par ailleurs, un délai trop important permettrait-il toujours de considérer la solution comme réellement non rejouable ? Enfin il sera intéressant de voir comment cette solution s’inscrit dans les réflexions globales des banques relatives à la mise en œuvre de nouvelles solutions d’authentification forte (la carte à CVV dynamique n’étant pas à proprement parler une solution d’authentification forte), notamment en termes de modèle économique entre ces différentes solutions.
Matthieu GUILLAUME

Aucun commentaire:

Enregistrer un commentaire