BPCE, Société Générale et BNP Paribas vont tester très prochainement, avec quelques clients sélectionnés, une nouvelle génération de cartes bancaires équipées d’un mini-écran et capables de rafraîchir toutes les heures le cryptogramme. Pourquoi cette technologie, développée par Oberthur Technologies (OT), intéresse-t-elle autant les banques françaises ? Eléments d’explications avec Nicolas Raffin, directeur marketing stratégique et innovation de l’activité paiement d’Oberthur Technologies (OT).

Comment expliquer l’empressement de trois des principaux groupes bancaires français à tester votre carte bancaire « Motion Code » ?

Nicolas Raffin : « Parce qu’elle apporte une solution simple à un problème qui croît à une vitesse inquiétante : la fraude sur les paiements en ligne. En effet, la fraude à la carte bancaire ''classique'', qui consiste à voler les données contenues dans la piste magnétique pour créer des clones, est inopérante en France, où les paiements sont sécurisés par l’utilisation de la puce et du code secret [ce qu’on appelle le standard EMV, NDLR]. Du coup, les escrocs se reportent massivement sur les paiements internet, dans un contexte de forte croissance du e-commerce. Selon les dernières statistiques publiées par la Banque centrale européenne (BCE), en août dernier, les transactions en ligne représentent 15% des paiements dans les pays de la zone SEPA (1), mais 66% de la fraude. »

Qu’est-ce qui rend les paiements en ligne plus vulnérables ?

N.R. : « C’est assez simple : toutes les informations permettant de payer en ligne sont imprimées directement sur la carte bancaire : son numéro, sa date de validité et, au dos, son cryptogramme à trois chiffres, utilisé pour les paiements à distance. Du coup, il est assez facile, par exemple pour un commerçant malhonnête, de copier ces informations et de les utiliser, ou de les revendre au marché noir, sans pour autant subtiliser la carte. La seule solution actuellement déployée pour contrer cela est le système 3D Secure, qui authentifie le paiement en ligne grâce à un code unique reçu par SMS. Mais il est loin d’être utilisé par tous les sites marchands. »

En quoi votre carte Motion Code règle-t-elle le problème ?

N.R. : « En modifiant régulièrement une des informations présentes sur la carte : le cryptogramme à trois chiffres. Au lieu d’être imprimé définitivement, ce code s’affiche sur un petit écran e-ink [technologie utilisée notamment pour les liseuses, NDLR] placé au dos de la carte et rafraîchi toutes les heures, voire plus fréquemment. Ainsi, même si les coordonnées de la carte sont dérobées par un fraudeur, il ne dispose que de quelques minutes pour les utiliser et elles deviennent impossibles à revendre. Cette technologie a également l’énorme avantage d’être totalement transparente pour le consommateur, qui n’a pas à modifier ses habitudes, et pour les commerçants. Seules les banques sont impactées, car elles doivent mettre en place un nouveau serveur capable de vérifier ces codes dynamiques. »

Cette technologie a toutefois un coût pour les banques…

N.R. : « Effectivement, les cartes Motion Code coûtent quelques euros de plus à produire, et les banques doivent également financer la mise en place du nouveau serveur. Mais ces coûts supplémentaires sont largement amortis par la réduction de la fraude, dont le coût de traitement, souvent sous-estimé par les banques elles-mêmes, représente plusieurs euros par an et par carte. »

Quelle est la durée de vie de ces cartes à code dynamique ? Et sont-elles plus fragiles que les cartes classiques ?

N.R. : « L’écran est alimenté par une mini-batterie intégrée dans la carte, dont la durée de vie est de 4 ans, soit plus que la durée de validité actuelle des cartes du marché. Pour le reste, il s’agit d’une vraie carte bancaire, avec les mêmes caractéristiques. Il faut bien sûr éviter de la tordre, mais c’est aussi le cas des cartes actuelles. »

CB, le groupement interbancaire français des cartes bancaires, semble appuyer votre technologie. Du coup, d’autres enseignes vont-elles également la tester ?

N.R. : « Effectivement, nous travaillons étroitement avec CB qui, face à l’explosion de la fraude, a demandé en 2014 aux banques d’expérimenter de nouvelles solutions de sécurisation. Motion Code a entre autres avantages celui d’être une solution française. Nous sommes effectivement en contacts avancés avec de nombreuses enseignes, en France mais aussi à l’étranger. Une expérimentation va notamment débuter en Pologne. Le marché américain est également prometteur. Depuis le 1er octobre, les commerçants doivent disposer de terminaux de paiement utilisant la puce des cartes, et plus seulement la piste magnétique. La fraude sur les paiements en ligne a donc toutes les chances d’exploser aussi outre-Atlantique, et c'est un marché qui représente 100 millions de cartes par an. »

Oberthur Technologies, un des leaders mondiaux de la carte à puce

S’il est un domaine industriel où la France brille, c’est bien celui des paiements, et plus particulièrement de la carte à puce. Trois des quatre leaders mondiaux du secteur sont en effet tricolores : Gemalto (qui vient de lancer à son tour une carte bancaire à code dynamique), Morpho et Oberthur Technologies. Cette dernière, spécialisée dans les solutions de sécurité digitale en mobilité, emploie environ 6.000 personnes dans 50 pays (dont 700 en recherche et développement) et affiche un chiffre d’affaires d’environ 1 milliard d’euros. Elle travaille avec environ 1.200 enseignes bancaires dans le monde.

(1) L’Espace unique de paiements en euros (ou zone SEPA) intègre les 18 pays de la zone euro et les 10 pays de l’UE hors zone euro, plus l’Islande, la Norvège, le Liechtenstein, la Suisse et Monaco.