L’administration Obama a récemment publié un décret exécutif exigeant que les agences fédérales migrent vers des puce et code PIN cartes de crédit pour tous les employés fédéraux qui reçoivent des cartes de paiement. Cette décision marque une rupture avec la norme beaucoup plus répandue « puce et signature », une approche qui a été adoptée à une écrasante majorité par la majorité des banques américaines qui émettent actuellement des cartes à puce. Cet article cherche à explorer certaines des raisons possibles de la disparité.
Les cartes à puce sont conçues pour être beaucoup plus chères et difficiles à contrefaire pour les voleurs que les cartes de crédit ordinaires que la plupart des consommateurs américains ont dans leur portefeuille. Les cartes sans puce stockent les données du titulaire de la carte sur une bande magnétique, qui peuvent être trivialement copiées et réencodées sur pratiquement tout autre élément doté d’une bande magnétique.
Les cartes à bande magnétique sont la cible principale des pirates qui se sont introduits chez des détaillants comme Target et Home Depot et ont installé des logiciels malveillants sur les caisses enregistreuses : les données sont très précieuses pour les escrocs car elles peuvent être vendues à des voleurs qui encodent les informations sur du nouveau plastique et allez faire du shopping dans les magasins à grande surface pour des articles qu’ils peuvent facilement revendre contre de l’argent (pensez aux cartes-cadeaux et aux appareils électroniques à prix élevé).
Les États-Unis sont le dernier des pays du G20 à adopter des cartes à puce plus sécurisées. D’autres pays qui ont fait ce changement l’ont fait par décret gouvernemental rendant obligatoire l’utilisation de la puce et du code PIN. L’exigence d’un code PIN à chaque transaction résout à la fois le problème de la contrefaçon de cartes, ainsi que l’utilisation de cartes perdues ou volées.
Ici, aux États-Unis, cependant, le mouvement vers les cartes à puce a évolué massivement vers l’approche puce et signature. Naturellement, si votre carte à puce et signature est perdue ou volée et utilisée frauduleusement, il est peu probable qu’un caissier à 9 $ de l’heure batte des cils à un voleur qui signe votre nom lorsqu’il utilise votre carte volée pour acheter des trucs chez les détaillants. Une carte de signature n’empêchera pas non plus les voleurs d’utiliser une carte contrefaite aux terminaux de paiement automatisés (pensez aux pompes à essence).
Mais à quel point la puce et la signature sont-elles largement adoptées par rapport à la puce et au code PIN aux États-Unis ? Selon un sondage non scientifique mené depuis deux ans sur le forum de voyage Flyertalk, seule une poignée de grandes banques américaines émettent des cartes à puce et PIN ; la plupart ont poussé la puce et la signature. Consultez la feuille de calcul Google Docs complète de Flyertalk ici pour un récapitulatif fourni par les membres indiquant quelles banques prennent en charge la puce et le code PIN par rapport à la puce et la signature.
J’ai reçu beaucoup de questions de lecteurs curieux ou contrariés par la prévalence de la puce et de la signature sur les cartes à puce et PIN ici aux États-Unis, et j’ai réalisé que je ne savais pas grand-chose sur les raisons derrière la disparité vis-à-vis des autres nations qui ont déjà opté pour les cartes à puce. J’ai donc contacté plusieurs experts pour avoir leur avis.
Julie Conroyun analyste de la fraude avec Le groupe Aitéa déclaré que, dans l’ensemble, Visa a promu la puce et la signature et que MasterCard a fait la promotion de la puce et du code PIN. Aviva Litananalyste chez Gartner Inc., a déclaré que MasterCard est neutre sur la technologie. Pour sa part, Visa maintient qu’elle est agnostique vis-à-vis de la technologie, affirmant dans un communiqué envoyé par courrier électronique que la société estime que « le fait d’exiger des parties prenantes qu’elles n’utilisent qu’une seule forme d’authentification du titulaire de carte peut compliquer inutilement l’adoption de cette technologie importante ».
MMA : De nombreux lecteurs semblent confus quant aux raisons pour lesquelles davantage de banques n’adopteraient pas la puce et le code PIN plutôt que la puce et la signature, étant donné que la première protège contre davantage de formes de fraude.
Conroy : Le code PIN ne traite la fraude que lorsque la carte est perdue ou volée, et sur le marché américain, la fraude par perte et vol est très faible par rapport à la fraude par carte contrefaite. De plus, alors que nous examinions d’autres zones géographiques – et nos recherches l’ont étayé – lorsque vous voyez ces zones géographiques utiliser la puce et le code PIN, la fraude perdue et volée diminue un peu, mais les criminels s’adaptent ensuite. Ainsi, au Royaume-Uni, la fraude perdue et volée est maintenant de retour au-dessus de ce qu’elle était avant la migration. Les criminels là-bas se sont adaptés. et cette concentration accrue sur la capture du code PIN leur donne plus d’opportunités, car s’ils trouvent des moyens de compromettre ce code PIN, ils peuvent commettre une fraude aux guichets automatiques et en avoir plus pour leur argent.
Ainsi, le code PIN en fin de compte est un élément de données statique, et il ne va que très loin du point de vue de la sécurité. Et lorsque vous pesez ce potentiel d’attrition par rapport au potentiel de lutte contre le nombre relativement faible de fraudes perdues et volées, l’analyse de rentabilisation de la puce et de la signature est vraiment une évidence.
Litan : La plupart des banques émettrices de cartes et Visa ne veulent pas de codes PIN car les codes PIN peuvent être volés et utilisés avec les données de la bande magnétique sur les mêmes cartes (qui ont également une carte à puce) pour retirer de l’argent aux distributeurs automatiques de billets. Les banques mangent les coûts de la fraude aux guichets automatiques. Ce scénario s’est produit avec le déploiement des cartes à puce avec code PIN – en Europe et au Canada.
MMA: Quelles sont certaines des choses qui ont poussé plus de banques aux États-Unis vers la puce et la signature ?
Conroy : Alors que je parle aux réseaux et aux émetteurs qui ont décidé où aller, il y a quelques éléments qui poussent les gens vers la puce et la signature. Le premier est que nous sommes le marché le plus compétitif au monde, et donc si vous regardez l’analyse de rentabilisation de la puce et de la signature par rapport à la puce et du code PIN, aucun émetteur ne veut avoir la carte dans le portefeuille qui est la plus carte difficile à utiliser.
MMA: Y a-t-il des exemples récents qui ont dissuadé certaines banques d’adopter la puce et le code PIN ?
Conroy : Il y avait un émetteur canadien qui, lorsqu’il a effectué sa migration vers la puce, a vraiment bâclé son déploiement de la puce et du NIP, et les consommateurs oubliaient leur NIP au point de vente. Cet émetteur a ainsi enregistré une baisse significative du volume des transactions. L’un des faux pas de cet émetteur a été d’envoyer ses expéditeurs de code PIN trop tôt avant que vous puissiez réellement effectuer des transactions avec code PIN au point de vente, et les consommateurs ont oublié. De plus, au moment où ils ont envoyé les cartes, [the bank] n’avaient pas la capacité aux guichets automatiques ou aux RVI (systèmes automatisés de service à la clientèle par téléphone) pour les consommateurs de réinitialiser leurs NIP à quelque chose dont ils pouvaient se souvenir.
MMA: Mais les États-Unis ont un système financier beaucoup plus compliqué et compétitif, alors ne vous attendriez-vous pas à ce que davantage d’émetteurs optent pour la puce et le code PIN ?
Conroy : Les consommateurs ayant en moyenne environ 3,3 cartes dans leur portefeuille et les États-Unis étant un marché de cartes beaucoup plus concurrentiel, les émetteurs sont très sensibles à cela. Alors que je faisais mes recherches sur la puce et le code PIN plus tôt cette année, il y avait un émetteur qui a dit sans ambages, « Nous ne pensons pas vraiment pouvoir apprendre aux Américains à faire deux choses à la fois. Nous allons donc commencer par leur apprendre à plonger, et si nous avons un autre événement décisif comme la violation de Target et que les consommateurs commencent à réclamer un code PIN, nous nous ajusterons. Les émetteurs avec lesquels j’ai parlé voulaient donc que ce soit simple : allez sur le marché avec de la vanille ordinaire, et une fois que cela fonctionnera, nous pourrons évaluer l’ajout de quelques pépites et garnitures plus tard.
MMA: Qu’en est-il des détaillants? Je pense que plus d’entre eux sont en faveur de la puce et du code PIN plutôt que de la signature.
Litan : Les détaillants veulent des codes PIN parce qu’ils renforcent la sécurité de la transaction au point de vente (POS) et réduisent les risques de fraude au point de vente (qu’ils devraient manger s’ils n’ont pas de lecteurs de cartes à puce mais qu’on leur présente une carte à puce). De plus, les détaillants paient traditionnellement des taux inférieurs sur les transactions avec code PIN par opposition aux transactions avec signature, bien que ces taux aient plus ou moins convergé au fil du temps, j’entends.
MMA: Pouvez-vous parler de la possibilité d’utiliser ces cartes de signature en dehors des États-Unis ? Cela a été un point de blocage dans le passé, non ?
Conroy : Les réseaux ont en fait fait du bon travail au cours de la dernière année à 18 mois en poussant le [merchant banks] et les fabricants de terminaux pour inclure « pas méthode de vérification du titulaire de la carte” comme l’une des options dans les terminaux. Ce qui signifie que les cartes à puce et signature fonctionnent de plus en plus. Il y avait un émetteur avec qui j’ai parlé qui avait déjà émis des cartes à puce et signature pour ses clients voyageurs et ils ont dit que ces mouvements par les réseaux et les ajustements à l’étranger signifiaient que leurs cartes à puce et signature fonctionnaient 98 pour cent du temps, même aux kiosques sans surveillance, qui étaient certaines des choses qui causaient des problèmes la plupart du temps.
MMA: Y a-t-il quelque chose de spécial dans les banques qui ont choisi d’émettre des cartes à puce et PIN plutôt que des cartes à puce et signature ?
Conroy : Là où nous voyons des émetteurs utiliser la puce et le code PIN, ce sont en grande partie des émetteurs où les consommateurs ont une raison très convaincante de retirer cette carte particulière de leur portefeuille. Donc, nous parlons principalement de commerçants qui émettent leurs propres cartes et qui ont des points de fidélité pour l’utilisation de cette carte dans ce magasin. C’est là que nous ne voyons pas les gens s’inquiéter autant des risques d’attrition, car ils ont un autre point d’adhérence pour cette carte.
MMA: Qu’avez-vous pensé de l’annonce de la Maison Blanche qui qualifiait spécifiquement la puce et le code PIN de norme de puce approuvée par le gouvernement ?
Conroy : J’ai pensé que l’annonce de la Maison Blanche était une pure façade politique. Surtout quand ils prétendaient prendre les devants en matière de sécurité des cartes de crédit. Visa, par exemple, a fait sa première annonce de feuille de route en 2011. Et [the White House is] venir à la table trois ans plus tard en pensant que cela va influencer la direction que prend le marché alors que de nombreuses banques ont passé, dans certains cas, plus d’un an à coder en fonction de ces spécifications ? Cela me semble tout simplement ridicule. Le train à carte à puce est sorti de la gare depuis longtemps. Et cela ressemblait à une posture politique à son meilleur, ou à son pire, selon la façon dont vous le voyez.
Litan : Je pense que c’est très important. C’est essentiellement la Maison Blanche qui prend le parti des accepteurs de cartes et ce qu’ils préfèrent. Quoi que fasse le gouvernement, cela contribuera certainement à orienter les tendances, donc je pense que c’est une grande déclaration.
MMA: Donc, je suppose que nous devrions tous être reconnaissants que les banques et les détaillants aux États-Unis prennent enfin des mesures pour passer aux cartes à puce, mais il me semble que tant que ces cartes à puce stockent également les données des titulaires de carte sur une bande magnétique en tant que sauvegarde, que les voleurs peuvent toujours voler et contrefaire ces données de carte, même à partir de cartes à puce.
Litan : Oui, c’est le problème clé pour les prochaines années. Une fois que la bande magnétique aura disparu, la puce et le code PIN seront une solution très puissante. Selon les estimations, d’ici la fin de 2015, 50 % des cartes et des terminaux seront compatibles avec les puces, mais il faudra plusieurs années avant que nous nous rapprochions d’une conformité totale. Donc, nous envisageons probablement environ 2018 avant de pouvoir commencer à faire des plans pour nous débarrasser de la bande magnétique sur ces cartes.