Cryptogramme carte bancaire : caractéristiques

Le cryptogramme d’une carte bancaire est un code à 3 chiffres imprimé dans le panneau signature se trouvant au verso de la carte. Ce code complète le numéro à 16 chiffres de la carte.

Depuis 2016, les cartes à cryptogrammes fixes sont concurrencées par des cartes bancaires à cryptogrammes dynamiques avec lesquelles ce code à 3 chiffres change à intervalles réguliers (par exemple au bout de 45 minutes).

Cartes bancaires à cryptogramme fixe

Le cryptogramme visuel d’une carte bancaire est une fonction de sécurité. Il s’agit d’un code à 3 chiffres imprimé à l’extrémité du panneau signature qui se trouve au verso de la carte. Il n’est pas encodé dans la bande magnétique de la carte, ni dans les données fournies par le système de paiement sans contact. Ainsi, si la carte bancaire ou ses coordonnées sont copiées, le fraudeur n’accède pas à cette information.

Ce code complète le numéro de la carte à 16 chiffres. Il vise à sécuriser davantage les règlements à distance en permettant au commerçant de s’assurer que la transaction est autorisée par la banque émettrice de la carte.

En Europe, tous les sites marchands sont dans l’obligation de demander la saisie du cryptogramme visuel en plus du numéro de carte et de la date d’expiration.

Du cryptogramme fixe au cryptogramme dynamique

La technique du cryptogramme dynamique a été testée en 2015 avant d’être diffusée à grande échelle par la Société Générale qui fut la première banque française à proposer cette fonctionnalité à sa clientèle en 2016.

Cette technologie a été développée par Oberthur Technologies. En pratique, le cryptogramme s’affiche sur un minuscule écran placé au dos de la carte bancaire. Il est alimenté par une micro-pile au lithium dont la durée de vie (3 ans) est supérieure à celle de la carte. Le code change à intervalles réguliers (par exemple au bout de 45 minutes). Une antenne NFC valide le changement de cryptogramme.

En cas de piratage de la carte bancaire, les 3 chiffres du cryptogramme deviennent rapidement obsolètes, et ne peuvent donc pas être utilisés sur les sites de e-commerce.

La sécurité du cryptogramme visuel dynamique s’ajoute notamment à celle de l’authentification 3D Secure. Il prévoit l’envoi d’un code à usage unique par SMS que le titulaire doit saisir sur le site marchand pour finaliser la transaction.

Conformément à la deuxième directive européenne sur les services de paiement (DSP2), la sécurité des opérations de paiement en ligne supérieurs à 30 € doit être renforcée et faire l’objet d’une authentification forte ou renforcée. Depuis le 15 mai 2021, ce dispositif consiste à vérifier que le porteur de la carte bancaire est bien à l’origine du paiement par internet grâce à la mise en place d’au moins 2 des 3 éléments suivants : une information que seul le titulaire de la carte connait : mot de passe, code secret, question secrète ; l’utilisation d’un appareil qui n’appartient qu’au titulaire de la carte : téléphone portable, carte à puce, montre connectée ; une caractéristique personnelle : reconnaissance faciale, vocale, empreinte digitale. Si l’un de ces éléments est faux, l’achat par carte bancaire sur le site internet ne sera pas autorisé.