Pourquoi la carte de paiement à puce est-elle née en France ?

Dossier : Carte à pucesMagazine N°637 Septembre 2008Par André MICHAUD (50)

De la carte embossée à la piste magnétique

De la carte embossée à la piste magnétique

C’est aux USA qu’a eu lieu le véri­ta­ble essor de la carte comme moyen de règle­ment dans les années soix­ante. C’é­tait une carte de crédit qui se présen­tait sous forme d’un rec­tan­gle de plas­tique embossé. Cet embossage per­me­t­tait la réal­i­sa­tion de fac­turettes grâce aux fameux ” fers à repass­er ” instal­lés chez les com­merçants et les autori­sa­tions étaient télé­phoniques : d’où des coûts d’in­fra­struc­ture faibles et des coûts de traite­ment élevés en rai­son des inter­ven­tions humaines (saisies, autori­sa­tions…). Les revenus du crédit et le niveau des com­mis­sions perçues dans le com­merce (sou­vent quelques pour cent) assur­aient une rentabil­ité sat­is­faisante. Fac­teur clé de cet essor : la créa­tion de réseaux à voca­tion mon­di­ale soit pri­vat­ifs (Amex, Din­ers Club) soit inter­ban­caires (Visa et Mas­ter­Card), réseaux qui ont per­mis d’u­tilis­er ces cartes sur tout le ter­ri­toire améri­cain (alors que les chèques étaient accep­tés de façon très lim­itée) puis partout dans le monde. 

Des logiques de développe­ment dif­férentes selon les pays 

Pour ren­forcer l’at­trait de ces cartes, une fonc­tion de ” retrait ” a été ajoutée, d’abord aux guichets des ban­ques puis, au début des années soix­ante-dix, sur des dis­trib­u­teurs automa­tiques de bil­lets. Cela a amené les émet­teurs de cartes à équiper celles-ci de pistes mag­né­tiques ce qui a per­mis le développe­ment de ter­minaux élec­tron­iques de paiement. Dans les autres pays dévelop­pés, le développe­ment de la carte a répon­du à des logiques assez dif­férentes. Souci de dévelop­per des facil­ités de paiement et de retrait trans­fron­tières, d’où des accords avec Visa et EuroCard/MasterCard voire Eurochèque. Volon­té de pro­pos­er un sub­sti­tut au chèque présen­tant des avan­tages pour toutes les par­ties prenantes : facil­ités de retrait et de paiement pour les par­ti­c­uliers ; garantie de paiement pour les com­merçants ; réduc­tion des coûts pour les ban­ques. C’est ain­si que sont nés des ” sys­tèmes ” cartes dans la plu­part de ces pays. Ce fut le cas en France avec la créa­tion de Carte Bleue (1967) par les ban­ques ” com­mer­ciales “, accord qui rassem­blait la BNP, le Crédit Lyon­nais, la Société Générale et les ban­ques privées. Quelques années après, Carte Bleue pas­sait un accord avec Visa. En 1984 a été créé le Groupe­ment des ” Cartes Ban­caires CB “, réu­nis­sant les mem­bres de Carte Bleue, les ban­ques mutu­al­istes, les Caiss­es d’é­pargne et La Poste : le suc­cès com­mer­cial fut vite au ren­dez-vous. Et les fraudeurs aussi ! 

Deux noms à retenir
Le pre­mier est Roland Moreno qui dépose, en 1974, un brevet où la carte simule les trois essais de code con­fi­den­tiel. Roland Moreno a été un pro­mo­teur de la carte à puce aus­si tenace qu’efficace.
Il est le seul (avec l’au­teur du présent arti­cle) à avoir risqué sa car­rière en mis­ant sur le suc­cès de cette technologie.
Le sec­ond est Michel Ugon, directeur tech­nique de Bull-CP8, une fil­iale de Bull dont Hervé Nora (64) devient bien­tôt prési­dent. Michel Ugon dépose en 1978 un brevet impor­tant con­cer­nant la sécu­rité de la puce. Pour sim­pli­fi­er, après écri­t­ure dans la puce de l’al­go­rithme de chiffre­ment et de clés, l’or­dre est don­né de sup­primer tout accès en écri­t­ure-lec­ture dans une zone par­ti­c­ulière de la mémoire.
On fab­rique ain­si un cof­fre-fort élec­tron­ique. Un tel objet est un moyen de chiffre­ment. C’est une ” arme de deux­ième caté­gorie “, mais les ser­vices de la Défense nationale ont levé les objec­tions, moyen­nant précautions. 

Trouver une réponse efficace, économiquement viable et pérenne aux défis de la fraude

Ces défis n’é­taient pas inat­ten­dus : depuis des années, la ques­tion préoc­cu­pait les ban­ques et les industriels. 

Sécu­rité des trans­ac­tions : les plus de la puce
Tout comme la piste mag­né­tique, la puce per­met d’i­den­ti­fi­er le compte et la banque du por­teur. De sur­croît, elle offre de nom­breux avan­tages sécu­ri­taires, par­mi lesquels :
— Une authen­tifi­ca­tion du por­teur (par frappe du code) aus­si bien pour des trans­ac­tions off-line, c’est-à-dire sans con­trôle immé­di­at par la banque émet­trice de la carte, que pour des trans­ac­tions on-line.
— Une authen­tifi­ca­tion de la carte : le ter­mi­nal véri­fie qu’il n’est pas en présence d’une carte con­tre­faite ou dupliquée.
— Une authen­tifi­ca­tion du ter­mi­nal par la carte : l’ap­pareil util­isé par le com­merçant est effec­tive­ment recon­nu par la banque émet­trice de la carte.
— Le con­trôle des dépens­es réal­isées sans autori­sa­tion de la banque émettrice.
— L’en­reg­istrement sur la carte des dernières opéra­tions à des fins d’au­dit (en cas de litiges).
— L’en­cryptage des don­nées de la trans­ac­tion, en cas d’autorisation.
— L’étab­lisse­ment d’un cer­ti­fi­cat à chaque opéra­tion, con­sti­tu­ant une preuve élec­tron­ique de sa réal­ité et de ses attrib­uts (date, heure, mon­tant, etc.). 

En 1978, un groupe de tra­vail asso­ciant ban­ques et indus­triels avait été créé pour exam­in­er la pos­si­bil­ité d’u­tilis­er la puce pour ren­dre plus sûres les trans­ac­tions par cartes. À la suite de ces travaux, les ban­ques français­es se trou­vaient face à divers choix tech­nologiques : miser sur la piste mag­né­tique ou sur la puce ; généralis­er ou non l’usage du code secret (ce qui était pos­si­ble avec l’une ou l’autre des options précé­dentes) ; sys­té­ma­tis­er les deman­des d’au­tori­sa­tion ou les réserv­er aux paiements supérieurs à un cer­tain seuil. Pour éclair­er leurs choix, les ban­ques créent en 1980 un Groupe­ment d’in­térêt économique, le GIE Carte à mémoire, dont la prési­dence m’est con­fiée. Mis­sion : tester cinq tech­niques de sécuri­sa­tion des trans­ac­tions, deux à base de piste mag­né­tique (avec ou sans autori­sa­tion au pre­mier franc) et trois à base de cartes à puce pro­posées par Schlum­berg­er, Philips et Bull-CP8. Ces expéri­ences ont apporté des élé­ments indis­pens­ables pour nour­rir le dossier de choix, mais les débats préal­ables à une déci­sion ont été dif­fi­ciles. Les ban­ques français­es pou­vaient-elles s’en­gager seules dans un choix tech­nique qui com­por­tait un dou­ble risque : celui d’une tech­nique qui n’avait pas fait ses preuves ; celui de se retrou­ver isolées au plan mon­di­al alors que pour des raisons ” con­textuelles ” les ban­ques améri­caines n’avaient aucune appé­tence pour la carte à puce (cf. encadré), et que cer­tains de nos voisins européens priv­ilé­giaient des solu­tions com­bi­nant piste mag­né­tique, con­trôle du code secret et autori­sa­tions sys­té­ma­tiques ? Finale­ment, qua­tre séries de raisons ont con­duit au choix de la puce : Pri­mo : les avan­tages en matière de sécu­rité, avan­tages rap­pelés dans l’en­cadré. Secun­do : le poten­tiel de développe­ment de cartes dites ” mul­ti­ap­pli­ca­tions “, c’est-à-dire com­bi­nant plusieurs fonc­tion­nal­ités sur un même sup­port. Une expéri­ence a été menée à Rennes à la fin des années qua­tre-vingt pour com­bin­er paiement dans le com­merce et dans les cab­ines de France Télé­com : elle pré­fig­u­rait l’ad­jonc­tion du porte-mon­naie élec­tron­ique Mon­eo sur les cartes ” CB “. Autre fonc­tion envis­agée alors : le développe­ment de pro­grammes de fidél­ité. Ter­tio : le car­ac­tère évo­lu­tif de cette solu­tion. Il est en effet pos­si­ble par sim­ple télécharge­ment de mod­i­fi­ca­tions dans les pro­grammes con­tenus dans les ter­minaux et par développe­ment de nou­veaux micro­processeurs de répon­dre à toutes sortes de besoins : ren­force­ment des mesures sécu­ri­taires, adjonc­tions de nou­velles fonc­tions. Quar­to : une indus­trie de la carte à puce com­mençait à se dévelop­per en France, portée par la déci­sion de France Télé­com de dif­fuser les télé­cartes pour le paiement à par­tir des cab­ines téléphoniques. 

LES CARTES UTILISEES EN PAIEMENT OU RETRAIT EN FRANCE ET AUX USA DANS LES ANNEES 1980
USA FRANCE
Types de cartes  Cartes de crédit (non liées à un compte) util­isées essen­tielle­ment en paiement, mais offrant aus­si une fonc­tion retrait. Cartes de retrait.  Prin­ci­pale­ment des cartes de paiement et retrait liées à un compte ban­caire. Cartes de crédit « privatives ». 
Nom­bre de cartes par porteur  Plusieurs (fréquem­ment 5, 10 voire plus).  Générale­ment une. 
Émet­teurs des cartes  Ban­ques et parte­naires asso­ciés (grandes enseignes…).  Banques. 
Sources prin­ci­pales de revenus  Intérêts liés au crédit (80 à 90 %). Com­mis­sions perçues chez les com­merçants (le reste).  Com­mis­sions por­teurs (50 %). Com­mis­sions com­merçants (50 %).
Pertes d’exploitation Défail­lance des por­teurs (80 à 90 %). Fraude (10 à 20 %).  Fraude (90 %). Défail­lance des por­teurs (10 %).
Autorisations  Systématiques.  Au-dessus d’un seuil, en général 600 francs. 
Intérêt pour la carte à puce 

Voisin de zéro : 

La fraude n’est pas la source de perte majeure. Équiper d’une puce des cartes
peu util­isées est ruineux. Le recours aux autori­sa­tions systématiques
lim­ite en par­tie la fraude. Les por­teurs sont peu sen­si­bles à la sécu­rité (ce sont les émet­teurs qui paient en cas d’usage détourné). L’industrie améri­caine, dom­inée par des géants des télé­com­mu­ni­ca­tions et du traite­ment de l’information, n’est pas mobil­isée sur cette technique. 

Réel : 

Le coût de la fraude, rap­porté aux revenus, est sig­ni­fi­catif. Les por­teurs sont très sen­si­bles à la sûreté des cartes qui don­nent accès à leur compte. Les indus­triels sont mobil­isés pour faire val­oir les mérite de la puce. La pos­si­bil­ité de réalis­er des trans­ac­tions off-line per­met des économies de traite­ment et une util­i­sa­tion plus éten­due de la carte (auto­mates de dis­tri­b­u­tion, péages, etc.). La pos­si­bil­ité de com­bin­er plusieurs appli­ca­tions sur la même carte. 

Premiers succès, nouveaux défis

La général­i­sa­tion de la carte à puce décidée à la fin des années qua­tre- vingt va dur­er jusqu’en 1992 : il s’ag­it non seule­ment de rem­plac­er, au fur et à mesure de leur arrivée à échéance, les cartes à piste mag­né­tique par des cartes équipées de micro­processeurs (qui con­ser­vent leur piste mag­né­tique pour l’u­til­i­sa­tion dans les dis­trib­u­teurs de bil­lets et hors de France) mais aus­si les ter­minaux de paiement et tous les sys­tèmes infor­ma­tiques liés (cen­tres d’au­tori­sa­tion, de télé­col­lecte, de routage, etc.). Elle est l’élé­ment clef d’un vaste plan de lutte con­tre la fraude dont le suc­cès est con­va­in­cant : en cinq ans, le rap­port des pertes liées à la fraude au vol­ume des trans­ac­tions traitées passe de 0,27 % à 0,04 %. Les ban­ques et leurs parte­naires indus­triels arrivent rapi­de­ment à bien maîtris­er la qual­ité des cartes et des ter­minaux, pour arriv­er à un niveau de fia­bil­ité com­pa­ra­ble à celui des cartes à piste mag­né­tique. Le pari est réus­si : la fraude est jugulée, les économies induites par cette baisse jus­ti­fient les investisse­ments réal­isés. Et surtout, les enquêtes de sat­is­fac­tion mon­trent un accueil très posi­tif de la clien­tèle. Mais la sit­u­a­tion est beau­coup moins sat­is­faisante hors de France : la fraude pro­pre à cer­tains pays reste élevée — c’est le cas de l’An­gleterre. Et surtout les trans­ac­tions trans­fron­tières, régies par les règles de sys­tèmes inter­na­tionaux que sont Visa, Mas­ter­Card et Euro­pay (organ­i­sa­tion européenne, mem­bre de Mas­ter­Card) voient leurs coûts aug­menter du fait de la fraude. Aus­si ces organ­i­sa­tions sont-elles amenées à étudi­er les solu­tions per­me­t­tant d’y remédi­er. Les ban­ques français­es sont alors amenées à men­er un dou­ble com­bat : faire choisir la tech­nolo­gie de la carte à puce ; pro­mou­voir des normes de cartes à puce com­pat­i­bles avec celles en vigueur en France. Pour cela, elles s’ap­puient essen­tielle­ment sur le Groupe­ment ” Cartes Bancaires “. 

Le soutien britannique

Le pre­mier com­bat n’est pas facile. Tout d’abord parce que les experts de Visa et Mas­ter­Card sont forte­ment con­di­tion­nés par le marché améri­cain : il faut que la carte (c’est-à-dire le sup­port) soit peu coû­teuse car les por­teurs en ont plusieurs, cha­cune étant de ce fait moins util­isée ; les trans­ac­tions sont sys­té­ma­tique­ment autorisées. Cela amène ces grands sys­tèmes à envis­ager un pre­mier change­ment tech­nique con­sis­tant à mar­quer les cartes avec des élé­ments per­me­t­tant une authen­tifi­ca­tion ” pas­sive “, ce qui impo­sait en par­al­lèle la mise en place de ter­minaux capa­bles de recon­naître ces élé­ments d’au­then­tifi­ca­tion. Deux solu­tions sont étudiées : water­mark et holo­mag­net­ics. Les argu­ments mis en avance par les représen­tants français auprès de ces instances étaient ceux qui avaient emporté la déci­sion des ban­ques. Mais, des objec­tions leur étaient régulière­ment opposées : ce n’est pas votre choix mais un choix imposé par votre gou­verne­ment pour soutenir Bull ; c’est le coût anor­male­ment élevé des télé-com­mu­ni­ca­tions en France qui rend attrac­t­if un mod­èle avec peu d’au­tori­sa­tions (10 % des paiements, à l’époque) ; vous êtes des tech­ni­ciens férus de la beauté des solu­tions, nous sommes des ges­tion­naires soucieux de rentabilité. 

Un niveau de fraude inacceptable

Au plan inter­na­tion­al, la France était assez isolée. Certes, quelques ban­ques norvégi­en­nes avaient mis en oeu­vre un sys­tème de paiement par cartes à puce, mais dans un pays où la fraude était con­tenue, l’ap­port de cette tech­nique était moins probant. De façon inat­ten­due, le prin­ci­pal sou­tien des Français vint de l’An­gleterre. À la fin des années qua­tre-vingt, la fraude sur les opéra­tions cartes avait atteint des niveaux jugés inac­cept­a­bles tant par l’opin­ion publique que par les autorités. Un plan de lutte fut étudié et mis en oeu­vre sous l’égide de l’A­PACS (Asso­ci­a­tion for Pay­ments and Clear­ing Ser­vices), avec comme prin­ci­pal axe de tra­vail à moyen et long terme le développe­ment de solu­tions à base de cartes à puce : les études furent longues, les phas­es de test et de déploiement aus­si, mais l’An­gleterre a été le pre­mier pays après le nôtre à avoir déployé mas­sive­ment le paiement et le retrait par carte à puce. Autre sou­tien bri­tan­nique, celui de Ron Williams, admin­is­tra­teur délégué d’Eu­ro­pay, organ­i­sa­tion qui fut la pre­mière à retenir la carte à puce au plan inter­na­tion­al. Cette déci­sion fut rapi­de­ment suiv­ie par Mas­ter­Card (juil­let 1996) et Visa. 

Des spécifications de mise en oeuvre

L’autre com­bat fut celui des normes et des spé­ci­fi­ca­tions tech­niques d’ap­pli­ca­tion. L’en­jeu était double. 

L’autre com­bat fut celui des normes et des spé­ci­fi­ca­tions d’application

Tout d’abord créer une sit­u­a­tion d’in­teropéra­bil­ité pour les cartes à puce et sys­tèmes dans lesquels elles sont util­isées (ter­minaux de paiement, dis­trib­u­teurs de bil­lets, cen­tres d’au­tori­sa­tion et de télé­col­lecte des trans­ac­tions…) : cette interopéra­bil­ité per­met de traiter en France des cartes émis­es à l’é­tranger et récipro­que­ment. En deux­ième lieu, maîtris­er les coûts aus­si bien pen­dant la phase migra­toire pour adapter nos cartes, appareils et sys­tèmes aux normes inter­na­tionales qu’après cette phase. En ce qui con­cerne les normes, dès l’o­rig­ine le Groupe­ment ” Cartes Ban­caires ” a mis les moyens humains et matériels néces­saires : c’est ain­si que je me suis trou­vé pen­dant près de dix ans aux avant-postes dans ce com­bat. Mais les normes sont sou­vent trop éten­dues pour la mise en oeu­vre d’une totale interopéra­bil­ité : il fal­lut les com­pléter par des spé­ci­fi­ca­tions de mise en oeu­vre, autre com­bat qui allait men­er aux spé­ci­fi­ca­tions ” EMV ” (Euro­pay, Mas­ter­Card, Visa) aujour­d’hui large­ment mis­es en oeuvre. 

La carte à puce, objet de la vie courante

Ces déci­sions des grands sys­tèmes inter­na­tionaux vont met­tre des années à entr­er en vigueur, mais aujour­d’hui le mou­ve­ment est large­ment amor­cé en Europe et dans de nom­breuses régions du monde. Quant à la tech­nolo­gie des cartes à micro­processeurs, elle a peu à peu envahi notre vie quo­ti­di­enne : cartes SIM des télé­phones mobiles, porte-mon­naie élec­tron­ique Mon­eo, cartes Vitale pour la san­té, cartes Nav­i­go pour les trans­ports… Les promess­es d’hi­er sont dev­enues les suc­cès d’au­jour­d’hui. Une indus­trie est née dans laque­lle la France a su se créer un lead­er­ship (même si je regrette la prise de con­trôle de cer­tains fleu­rons par des fonds de pen­sion étrangers). C’est la créa­tiv­ité, l’au­dace, la ténac­ité de quelques hommes — ingénieurs, entre­pre­neurs, décideurs — qui ont été à l’o­rig­ine de ce mou­ve­ment. Par­mi eux se trou­vent aus­si de ces ban­quiers qu’on décrit si volon­tiers comme frileux.

Poster un commentaire