Des cartes bancaires avec lecteur d'empreintes digitales il en existe depuis des années, mais leur démocratisation prend du temps.
La Société Générale lance justement une expérimentation (en s'appuyant sur la technologie F.CODE développée par IDEMIA) où le porteur s'identifie avec son doigt au lieu de saisir le code PIN.
« Tous les paiements peuvent être réglés sans contact sans limite de montant » affirme la banque. Elle ajoute que « la carte fonctionne normalement pour tous les paiements avec contact en boutique, sur internet ou pour les retraits ».
Lorsque le client reçoit sa carte, il enregistre lui-même son empreinte digitale. La vérification se fait ensuite directement en local : « Aucun élément lié à cette empreinte n’est transmis au commerçant ou à la banque ».
Il s'agit d'une expérimentation pour l'instant et la banque ne donne aucune information quant à la commercialisation de cette solution.
Commentaires (36)
#1
Yahoo! du sans contact couplé à de la biométrie…
Tout ce qu’il faut pour que ça dérape…
#2
OH.MY.GOD
" />
" />
Ça casse le principe de sécurité basé sur le couple “quelque chose que j’ai + quelque chose que je sais”. Là c’est “quelque chose que j’ai + quelque chose que j’ai”. Bon.
Si l’empreinte est compromise ? on change de doigt ?… remarque ça fait 10 possibilités, 20 si t’es souple
#3
J’aimerais bien savoir pourquoi tu penses ça. Y a pas plus sécurisé qu’une carte à puce pour stocker ce genre d’information ; aucun moyen de consulter la donnée, juste de la vérifier (comme sur les bons smartphones quoi). Et le sans contact est pas moins sécurisé non plus.
Le seul nouveau vecteur qui me fait un peu peur c’est pour l’extorsion d’argent. Mais je suppose que c’était aussi simple de te faire divulguer le code à coups de clé à molette que de te couper le pouce.
#4
Avant la victime d’un enlèvement pouvait ne pas donner son code (si resistante à la torture) . Maintenant il suffit de lui couper le doigt…ou de l’emmener de force au DAB.
Bon, d’un autre coté c’est moins facile de se faire voler son code en douce….ce qui est, je l’avoue, plus fréquent.
#5
Ca ne marche que pour les bornes sans contact, or il n’y a pas de DAB sans contact. Il faut que la carte soit totalement à l’intérieur du distributeur pour qu’il te donne de l’argent… (mais évidemment ça peut changer dans le futur)
Si tu fais un paiement au supermarché, je pense que la caissière et les autres clients se rendront compte que tu te balades avec un pouce qui n’est pas le tien dans un sachet en plastique avec des glaçons.
#6
“Y avait plus de Mr. Freeze”
#7
#8
#9
Plus de risque de ce faire vider le compte par l’épouse.
" />
#10
#11
Tu sors!
" />
#12
Regarde tout d’abord les spécifications du sans contact avec de rire.
#13
On est sûr que nos empreintes ne sont pas déjà partout sur la carte ?
S’il suffit au voleur de CB de recopier les empreintes avec la poudre magique des Experts:Miami on est dans la mouise.
#14
Que ce soit PayPass (MagStripe M/Chip) ou PayWave (MSD qVSDC VSDC), a aucun moment ils ne parlent de chiffrement, à partir de là est ce besoin d’aller plus loin?
#15
#16
pas besoin de poudre magique ;) du café/cacao en poudre suffit ^^
#17
C’est bien plus sécurisé qu’un code que n’importe quel commerçant indélicat peut mémoriser. Avec un TPE trafiqué qui copie la piste magnétique on peut faire un clone de CB utilisable dans les DAB et à l’étranger dans les pays où on n’utilise pas la puce.
J’attends avec impatience que ma banque utilise ce type de carte biométrique.
#18
#19
Parce que encore des gens qui confondent identification (et là les empreintes ça peut être bien) et authentification (et là la biométrie, quelle qu’elle soit, c’est pas suffisant).
#20
#21
On est d’accord que s’identifier et s’authentifier ne sont pas la même chose. Le premier consiste à annoncer qui tu es et le deuxième prouver que tu as le droit de faire l’action. L’authentification ne nécessitant pas forcément une identification (ex : les digicode à l’entrée des immeubles).
Le point délicat est que la biométrie utilise ici le même facteur comme identifiant et authentifiant. Je connais un bon nombre d’“experts” en sécurité (je mets des guillemets parce que je ne sais pas qui leur a attribué ce titre) qui trouvent ça dangereux (bon des empreintes c’est facile à récupérer, les commentaires plus haut l’ont déjà souligné).
Mais on va se diriger de plus en plus vers ça : les banques vont tout faire pour rendre moins contraignant le moment de payer, afin que les gens dégainent plus leur carte. Et c’est dans leur intérêt.
#22
#23
Sinon il y a Apple pay.
#24
mais d’un autre côté le tour du pouce détachable devient plus facile à réaliser pour la plus grande joie des caissières et des clients, petits et grands
" />
#25
Il y a aussi le vein pattern-scan, ça scan les capillaires dans ton doigt. La disposition est unique chez chaque individu, et si tu coupe le doigt c’est fini. Couplé a l’empreint digital c’est pas parfait mais c’est déjà plus dur à reproduire.
#26
A l’encontre de tout code: ils ne sont pas révocables.
Aucun moyen de les bloquer pour de bon si une raison le justifie.
#27
Mouais, il y a des capteurs plus sécurisés, notamment aussi la détection du pouls. Pas sûr que ce soit facile à mettre en place à grande échelle sur une carte de crédit.
Sinon, encore plus simple, le scan des vaisseaux sanguins de la rétine :
Tu vois la facture
Comme c’est plus cher que prévu tu écarquilles les yeux
Et vlan c’est payé…
#28
Je pense que tu n’a pas bien compris ce que tu as lu, une carte à puce (contact ou sans contact) est un processeur à générer des certificats.
A la fin du dialogue, la carte retourne (en autres) le champs Application Crytpogram (9F26) , qui est généré en utilisant la clef privée de l’émetteur de la carte voir https://www.emvlab.org/cryptogram/.
Tu pourras vérifier que pour les kernel 2 et 3 (Paypass/Paywave) ce champs est bien remonté
https://www.eftlab.co.uk/index.php/site-map/knowledge-base/145-emv-nfc-tags
Ce champ permet d’authentifier que la carte à bien été émise par une banque reconnue par le terminal, car celui ci possède les clefs publiques de tous ces émetteurs de cartes.
Donc oui, une carte à puce sans contact est sécurisée, et largement plus fiable qu’un téléphone.
#29
Ce que tu sais est remplacé par ce que tu es, c’est différent de ce que tu as :)
#30
Le sans contact avec contact d’empreinte digitale… il fallait bien qu’une société du CAC40 invente une absurdité pareil. Et ce fut SocGé.
#31
#32
Pour au moins l’anssi la biométrie est considérée comme un facteur de ce que tu es.
Le comportemental serait plutôt ce que tu sais faire.
#33
Plus précisément, l’ANSSI dit :
La biométrie est assimilable à une méthode d’identification, car les éléments biométriques ne sont ni
secrets, ni révocables. Elle peut donc se substituer au badge en tant que moyen d’identification, mais
en aucun cas comme moyen d’authentification. Elle peut toutefois être utile pour authentifier le
porteur, en association avec un badge stockant les éléments biométriques permettant la comparaison,
dont le badge assure l’intégrité. Ce compromis reste d’une sécurité inférieure au mot de passe, qui peut être gardé secret, et qui est répudiable.
#34
#35
#36
Pour ce qui est d’un usage frauduleux d’un payement sans contact, je pense que l’article L133-19§1 du Code monétaire et financier est plutôt claire
“En cas d’opération de paiement non autorisée consécutive à la perte ou au vol de l’instrument de paiement, le payeur supporte, avant l’information prévue à l’article L. 133-17, les pertes liées à l’utilisation de cet instrument, dans la limite d’un plafond de 50 €.
Toutefois, la responsabilité du payeur n’est pas engagée en cas :
– d’opération de paiement non autorisée effectuée sans utilisation des données de sécurité personnalisées ;
…”
Du moins avec les outils actuels. Dans le cas d’une carte qui repose sur l’usage de l’emprunte prise par la carte (et stockée sur la carte), je suis un peu moins certain que cet article puisse être utilisé. En effet, si l’on considère que l’emprunte est la “données de sécurité personnalisées” et que l’on sait qu’elle peut facilement se copier… Du coup on peut voir ce type de carte comme moins sécurisée.
Aujourd’hui, en cas d’utilisation frauduleuse d’une carte sans contact c’est au commerçant de prouver que tu as payé, comme lorsque tu payes sur un site web hors l’usage du 3DS.