Société Générale : une carte bancaire biométrique, pour des paiements sans contact ni limite de montant
Le 19 octobre 2018 à 10h50
1 min
Sciences et espace
Sciences
Des cartes bancaires avec lecteur d'empreintes digitales il en existe depuis des années, mais leur démocratisation prend du temps.
La Société Générale lance justement une expérimentation (en s'appuyant sur la technologie F.CODE développée par IDEMIA) où le porteur s'identifie avec son doigt au lieu de saisir le code PIN.
« Tous les paiements peuvent être réglés sans contact sans limite de montant » affirme la banque. Elle ajoute que « la carte fonctionne normalement pour tous les paiements avec contact en boutique, sur internet ou pour les retraits ».
Lorsque le client reçoit sa carte, il enregistre lui-même son empreinte digitale. La vérification se fait ensuite directement en local : « Aucun élément lié à cette empreinte n’est transmis au commerçant ou à la banque ».
Il s'agit d'une expérimentation pour l'instant et la banque ne donne aucune information quant à la commercialisation de cette solution.
Le 19 octobre 2018 à 10h50
Commentaires (36)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 19/10/2018 à 09h04
Yahoo! du sans contact couplé à de la biométrie…
Tout ce qu’il faut pour que ça dérape…
Le 19/10/2018 à 09h18
OH.MY.GOD
" />
" />
Ça casse le principe de sécurité basé sur le couple “quelque chose que j’ai + quelque chose que je sais”. Là c’est “quelque chose que j’ai + quelque chose que j’ai”. Bon.
Si l’empreinte est compromise ? on change de doigt ?… remarque ça fait 10 possibilités, 20 si t’es souple
Le 19/10/2018 à 09h26
J’aimerais bien savoir pourquoi tu penses ça. Y a pas plus sécurisé qu’une carte à puce pour stocker ce genre d’information ; aucun moyen de consulter la donnée, juste de la vérifier (comme sur les bons smartphones quoi). Et le sans contact est pas moins sécurisé non plus.
Le seul nouveau vecteur qui me fait un peu peur c’est pour l’extorsion d’argent. Mais je suppose que c’était aussi simple de te faire divulguer le code à coups de clé à molette que de te couper le pouce.
Le 19/10/2018 à 09h38
Avant la victime d’un enlèvement pouvait ne pas donner son code (si resistante à la torture) . Maintenant il suffit de lui couper le doigt…ou de l’emmener de force au DAB.
Bon, d’un autre coté c’est moins facile de se faire voler son code en douce….ce qui est, je l’avoue, plus fréquent.
Le 19/10/2018 à 09h44
Ca ne marche que pour les bornes sans contact, or il n’y a pas de DAB sans contact. Il faut que la carte soit totalement à l’intérieur du distributeur pour qu’il te donne de l’argent… (mais évidemment ça peut changer dans le futur)
Si tu fais un paiement au supermarché, je pense que la caissière et les autres clients se rendront compte que tu te balades avec un pouce qui n’est pas le tien dans un sachet en plastique avec des glaçons.
Le 19/10/2018 à 09h51
“Y avait plus de Mr. Freeze”
Le 19/10/2018 à 10h09
Le 19/10/2018 à 10h11
Le 19/10/2018 à 11h06
Plus de risque de ce faire vider le compte par l’épouse.
" />
Le 19/10/2018 à 11h07
Le 19/10/2018 à 11h08
Tu sors!
" />
Le 19/10/2018 à 11h20
Regarde tout d’abord les spécifications du sans contact avec de rire.
Le 19/10/2018 à 11h32
On est sûr que nos empreintes ne sont pas déjà partout sur la carte ?
S’il suffit au voleur de CB de recopier les empreintes avec la poudre magique des Experts:Miami on est dans la mouise.
Le 19/10/2018 à 11h40
Que ce soit PayPass (MagStripe M/Chip) ou PayWave (MSD qVSDC VSDC), a aucun moment ils ne parlent de chiffrement, à partir de là est ce besoin d’aller plus loin?
Le 19/10/2018 à 11h40
Le 19/10/2018 à 11h40
pas besoin de poudre magique ;) du café/cacao en poudre suffit ^^
Le 19/10/2018 à 12h10
C’est bien plus sécurisé qu’un code que n’importe quel commerçant indélicat peut mémoriser. Avec un TPE trafiqué qui copie la piste magnétique on peut faire un clone de CB utilisable dans les DAB et à l’étranger dans les pays où on n’utilise pas la puce.
J’attends avec impatience que ma banque utilise ce type de carte biométrique.
Le 19/10/2018 à 12h27
Le 19/10/2018 à 12h55
Parce que encore des gens qui confondent identification (et là les empreintes ça peut être bien) et authentification (et là la biométrie, quelle qu’elle soit, c’est pas suffisant).
Le 19/10/2018 à 13h26
Le 19/10/2018 à 13h31
On est d’accord que s’identifier et s’authentifier ne sont pas la même chose. Le premier consiste à annoncer qui tu es et le deuxième prouver que tu as le droit de faire l’action. L’authentification ne nécessitant pas forcément une identification (ex : les digicode à l’entrée des immeubles).
Le point délicat est que la biométrie utilise ici le même facteur comme identifiant et authentifiant. Je connais un bon nombre d’“experts” en sécurité (je mets des guillemets parce que je ne sais pas qui leur a attribué ce titre) qui trouvent ça dangereux (bon des empreintes c’est facile à récupérer, les commentaires plus haut l’ont déjà souligné).
Mais on va se diriger de plus en plus vers ça : les banques vont tout faire pour rendre moins contraignant le moment de payer, afin que les gens dégainent plus leur carte. Et c’est dans leur intérêt.
Le 19/10/2018 à 13h51
Le 19/10/2018 à 14h07
Sinon il y a Apple pay.
Le 19/10/2018 à 14h10
mais d’un autre côté le tour du pouce détachable devient plus facile à réaliser pour la plus grande joie des caissières et des clients, petits et grands
" />
Le 19/10/2018 à 14h34
Il y a aussi le vein pattern-scan, ça scan les capillaires dans ton doigt. La disposition est unique chez chaque individu, et si tu coupe le doigt c’est fini. Couplé a l’empreint digital c’est pas parfait mais c’est déjà plus dur à reproduire.
Le 19/10/2018 à 14h53
A l’encontre de tout code: ils ne sont pas révocables.
Aucun moyen de les bloquer pour de bon si une raison le justifie.
Le 19/10/2018 à 14h59
Mouais, il y a des capteurs plus sécurisés, notamment aussi la détection du pouls. Pas sûr que ce soit facile à mettre en place à grande échelle sur une carte de crédit.
Sinon, encore plus simple, le scan des vaisseaux sanguins de la rétine :
Tu vois la facture
Comme c’est plus cher que prévu tu écarquilles les yeux
Et vlan c’est payé…
Le 19/10/2018 à 16h41
Je pense que tu n’a pas bien compris ce que tu as lu, une carte à puce (contact ou sans contact) est un processeur à générer des certificats.
A la fin du dialogue, la carte retourne (en autres) le champs Application Crytpogram (9F26) , qui est généré en utilisant la clef privée de l’émetteur de la carte voir https://www.emvlab.org/cryptogram/.
Tu pourras vérifier que pour les kernel 2 et 3 (Paypass/Paywave) ce champs est bien remonté
https://www.eftlab.co.uk/index.php/site-map/knowledge-base/145-emv-nfc-tags
Ce champ permet d’authentifier que la carte à bien été émise par une banque reconnue par le terminal, car celui ci possède les clefs publiques de tous ces émetteurs de cartes.
Donc oui, une carte à puce sans contact est sécurisée, et largement plus fiable qu’un téléphone.
Le 19/10/2018 à 17h27
Ce que tu sais est remplacé par ce que tu es, c’est différent de ce que tu as :)
Le 19/10/2018 à 17h33
Le sans contact avec contact d’empreinte digitale… il fallait bien qu’une société du CAC40 invente une absurdité pareil. Et ce fut SocGé.
Le 19/10/2018 à 20h34
Le 19/10/2018 à 21h04
Pour au moins l’anssi la biométrie est considérée comme un facteur de ce que tu es.
Le comportemental serait plutôt ce que tu sais faire.
Le 20/10/2018 à 08h23
Plus précisément, l’ANSSI dit :
La biométrie est assimilable à une méthode d’identification, car les éléments biométriques ne sont ni
secrets, ni révocables. Elle peut donc se substituer au badge en tant que moyen d’identification, mais
en aucun cas comme moyen d’authentification. Elle peut toutefois être utile pour authentifier le
porteur, en association avec un badge stockant les éléments biométriques permettant la comparaison,
dont le badge assure l’intégrité. Ce compromis reste d’une sécurité inférieure au mot de passe, qui peut être gardé secret, et qui est répudiable.
Le 21/10/2018 à 16h24
Le 23/10/2018 à 12h34
Le 23/10/2018 à 18h26
Pour ce qui est d’un usage frauduleux d’un payement sans contact, je pense que l’article L133-19§1 du Code monétaire et financier est plutôt claire
“En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.
Toutefois, la responsabilité du payeur n’est pas engagée en cas :
– d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;
…”
Du moins avec les outils actuels. Dans le cas d’une carte qui repose sur l’usage de l’emprunte prise par la carte (et stockée sur la carte), je suis un peu moins certain que cet article puisse être utilisé. En effet, si l’on considère que l’emprunte est la “données de sécurité personnalisées” et que l’on sait qu’elle peut facilement se copier… Du coup on peut voir ce type de carte comme moins sécurisée.
Aujourd’hui, en cas d’utilisation frauduleuse d’une carte sans contact c’est au commerçant de prouver que tu as payé, comme lorsque tu payes sur un site web hors l’usage du 3DS.