Insérer une carte bancaire dans la fente, taper son code, retirer les billets: autant de gestes réflexes effectués sans y penser, car la puce le fait à notre place. Elle nous surpasse même largement, devenant, au fil du temps, un véritable ordinateur de poche. En Europe, l’argent plastique en est à sa quatrième génération!
Les débuts des transactions virtuelles remontent aux années 1950. Sur la carte embossée, le numéro et le nom du titulaire apparaissaient en relief. Le commerçant la passait dans un «fer à repasser» et présentait au client une facturette à signer pour valider l’opération.
Dans les années 1970 sont apparues les bandes magnétiques qui contenaient les informations du titulaire, comme une cassette audio. Le terminal décodait ces données, ce qui a permis de doter la carte d’une fonction de retrait. Ce matériau étant devenu trop facile à pirater, il a fallu trouver mieux.
Standard commun
La troisième génération a été mise au point dans les années 1980 avec l’implantation de la puce électronique. Celle-ci contient:
- un processeur qui effectue les calculs et gère la transaction grâce à un logiciel interne;
- une zone mémoire qui stocke les informations;
- un bloc dédié au codage des données pour crypter les références;
- un système électronique (l’interface) qui permet de lire et d’écrire les données ainsi que de contrôler l’alimentation par contact ou ondes radio.
Dès lors, la carte à puce ne se contente plus de recevoir des informations, elle est capable de dialoguer avec le terminal.
Pour garantir la sécurité de leurs clients, les banques européennes ont décidé, en 1995, de créer un standard commun: l’EMV, pour Europay, MasterCard et Visa. Il permet aux cartes d’être lues partout dans le monde: la certification EMV fixe précisément les normes de taille de la carte et de l’emplacement de la puce ainsi que des huit contacts qui la composent. Elle détaille également les paramètres électriques (tension d’alimentation) et les logiciels qui définissent le mode de dialogue avec le terminal (lire encadré).
L’Europe en avance
L’Europe a pris une longueur d’avance en adaptant progressivement tous ses terminaux et ses cartes. De leur côté, le Japon et les Etats-Unis sont restés longtemps en retrait. «Ces pays se montraient peu enthousiastes devant les gigantesques investissements nécessaires pour passer de la bande à la puce», explique Stephan Lips, porte-parole de la société Trüb, productrice de cartes. Il y a cinq ans, Tokyo finissait malgré tout par adopter ce standard, suivie par les Etats-Unis, en 2009.
Mais le virage de la quatrième génération est d’ores et déjà amorcé: les cartes sont progressivement équipées d’une antenne qui les fait aussi communiquer avec le lecteur par ondes radio. Elles ont ainsi une double interface. Et leur mémoire, toujours plus costaude, stockera bientôt aussi bien des billets de théâtre que des titres de transport…
Claire Houriet Rime
Une transaction codifiée
Authentification de la carte: dès que la carte est insérée dans le lecteur, elle lui transmet ses données publiques: numéro de carte, fin de validité et certificat d’authenticité. Elle génère alors un code chiffré. De son côté, le terminal calcule également cette valeur sur la base des informations fournies. Si les deux résultats sont identiques, la carte est authentifiée et la transaction se poursuit.
Authentification du porteur: le terminal demande au client son code PIN et le compare avec la combinaison stockée sur la carte. Si le code est exact, le porteur est authentifié. La carte est programmée et n’autorise que trois essais.
Autorisation de la transaction: selon le protocole établi par la banque, l’opération se poursuit, soit en ligne, avec accès au compte du titulaire, soit hors ligne. Le terminal vérifie si la transaction est autorisée (éventuel contrôle du solde disponible, montant maximal, etc.). Ces échanges sont toujours cryptés.