Pourquoi la carte de paiement à puce est-elle née en France ?

Dossier : Carte à pucesMagazine N°637 Septembre 2008Par André MICHAUD (50)

De la carte embossée à la piste magnétique

 

De la carte embossée à la piste magnétique

C’est aux USA qu’a eu lieu le véritable essor de la carte comme moyen de règlement dans les années soixante. C’était une carte de crédit qui se présentait sous forme d’un rectangle de plastique embossé. Cet embossage permettait la réalisation de facturettes grâce aux fameux  » fers à repasser  » installés chez les commerçants et les autorisations étaient téléphoniques : d’où des coûts d’infrastructure faibles et des coûts de traitement élevés en raison des interventions humaines (saisies, autorisations…). Les revenus du crédit et le niveau des commissions perçues dans le commerce (souvent quelques pour cent) assuraient une rentabilité satisfaisante. Facteur clé de cet essor : la création de réseaux à vocation mondiale soit privatifs (Amex, Diners Club) soit interbancaires (Visa et MasterCard), réseaux qui ont permis d’utiliser ces cartes sur tout le territoire américain (alors que les chèques étaient acceptés de façon très limitée) puis partout dans le monde.

Des logiques de développement différentes selon les pays

Pour renforcer l’attrait de ces cartes, une fonction de  » retrait  » a été ajoutée, d’abord aux guichets des banques puis, au début des années soixante-dix, sur des distributeurs automatiques de billets. Cela a amené les émetteurs de cartes à équiper celles-ci de pistes magnétiques ce qui a permis le développement de terminaux électroniques de paiement. Dans les autres pays développés, le développement de la carte a répondu à des logiques assez différentes. Souci de développer des facilités de paiement et de retrait transfrontières, d’où des accords avec Visa et EuroCard/MasterCard voire Eurochèque. Volonté de proposer un substitut au chèque présentant des avantages pour toutes les parties prenantes : facilités de retrait et de paiement pour les particuliers ; garantie de paiement pour les commerçants ; réduction des coûts pour les banques. C’est ainsi que sont nés des  » systèmes  » cartes dans la plupart de ces pays. Ce fut le cas en France avec la création de Carte Bleue (1967) par les banques  » commerciales « , accord qui rassemblait la BNP, le Crédit Lyonnais, la Société Générale et les banques privées. Quelques années après, Carte Bleue passait un accord avec Visa. En 1984 a été créé le Groupement des  » Cartes Bancaires CB « , réunissant les membres de Carte Bleue, les banques mutualistes, les Caisses d’épargne et La Poste : le succès commercial fut vite au rendez-vous. Et les fraudeurs aussi !

Deux noms à retenir
Le premier est Roland Moreno qui dépose, en 1974, un brevet où la carte simule les trois essais de code confidentiel. Roland Moreno a été un promoteur de la carte à puce aussi tenace qu’efficace.
Il est le seul (avec l’auteur du présent article) à avoir risqué sa carrière en misant sur le succès de cette technologie.
Le second est Michel Ugon, directeur technique de Bull-CP8, une filiale de Bull dont Hervé Nora (64) devient bientôt président. Michel Ugon dépose en 1978 un brevet important concernant la sécurité de la puce. Pour simplifier, après écriture dans la puce de l’algorithme de chiffrement et de clés, l’ordre est donné de supprimer tout accès en écriture-lecture dans une zone particulière de la mémoire.
On fabrique ainsi un coffre-fort électronique. Un tel objet est un moyen de chiffrement. C’est une  » arme de deuxième catégorie « , mais les services de la Défense nationale ont levé les objections, moyennant précautions.

Trouver une réponse efficace, économiquement viable et pérenne aux défis de la fraude

Ces défis n’étaient pas inattendus : depuis des années, la question préoccupait les banques et les industriels.

Sécurité des transactions : les plus de la puce
Tout comme la piste magnétique, la puce permet d’identifier le compte et la banque du porteur. De surcroît, elle offre de nombreux avantages sécuritaires, parmi lesquels :
– Une authentification du porteur (par frappe du code) aussi bien pour des transactions off-line, c’est-à-dire sans contrôle immédiat par la banque émettrice de la carte, que pour des transactions on-line.
– Une authentification de la carte : le terminal vérifie qu’il n’est pas en présence d’une carte contrefaite ou dupliquée.
– Une authentification du terminal par la carte : l’appareil utilisé par le commerçant est effectivement reconnu par la banque émettrice de la carte.
– Le contrôle des dépenses réalisées sans autorisation de la banque émettrice.
– L’enregistrement sur la carte des dernières opérations à des fins d’audit (en cas de litiges).
– L’encryptage des données de la transaction, en cas d’autorisation.
– L’établissement d’un certificat à chaque opération, constituant une preuve électronique de sa réalité et de ses attributs (date, heure, montant, etc.).

En 1978, un groupe de travail associant banques et industriels avait été créé pour examiner la possibilité d’utiliser la puce pour rendre plus sûres les transactions par cartes. À la suite de ces travaux, les banques françaises se trouvaient face à divers choix technologiques : miser sur la piste magnétique ou sur la puce ; généraliser ou non l’usage du code secret (ce qui était possible avec l’une ou l’autre des options précédentes) ; systématiser les demandes d’autorisation ou les réserver aux paiements supérieurs à un certain seuil. Pour éclairer leurs choix, les banques créent en 1980 un Groupement d’intérêt économique, le GIE Carte à mémoire, dont la présidence m’est confiée. Mission : tester cinq techniques de sécurisation des transactions, deux à base de piste magnétique (avec ou sans autorisation au premier franc) et trois à base de cartes à puce proposées par Schlumberger, Philips et Bull-CP8. Ces expériences ont apporté des éléments indispensables pour nourrir le dossier de choix, mais les débats préalables à une décision ont été difficiles. Les banques françaises pouvaient-elles s’engager seules dans un choix technique qui comportait un double risque : celui d’une technique qui n’avait pas fait ses preuves ; celui de se retrouver isolées au plan mondial alors que pour des raisons  » contextuelles  » les banques américaines n’avaient aucune appétence pour la carte à puce (cf. encadré), et que certains de nos voisins européens privilégiaient des solutions combinant piste magnétique, contrôle du code secret et autorisations systématiques ? Finalement, quatre séries de raisons ont conduit au choix de la puce : Primo : les avantages en matière de sécurité, avantages rappelés dans l’encadré. Secundo : le potentiel de développement de cartes dites  » multiapplications « , c’est-à-dire combinant plusieurs fonctionnalités sur un même support. Une expérience a été menée à Rennes à la fin des années quatre-vingt pour combiner paiement dans le commerce et dans les cabines de France Télécom : elle préfigurait l’adjonction du porte-monnaie électronique Moneo sur les cartes  » CB « . Autre fonction envisagée alors : le développement de programmes de fidélité. Tertio : le caractère évolutif de cette solution. Il est en effet possible par simple téléchargement de modifications dans les programmes contenus dans les terminaux et par développement de nouveaux microprocesseurs de répondre à toutes sortes de besoins : renforcement des mesures sécuritaires, adjonctions de nouvelles fonctions. Quarto : une industrie de la carte à puce commençait à se développer en France, portée par la décision de France Télécom de diffuser les télécartes pour le paiement à partir des cabines téléphoniques.

LES CARTES UTILISEES EN PAIEMENT OU RETRAIT EN FRANCE ET AUX USA DANS LES ANNEES 1980
  USA FRANCE
Types de cartes Cartes de crédit (non liées à un compte) utilisées essentiellement en paiement, mais offrant aussi une fonction retrait. Cartes de retrait. Principalement des cartes de paiement et retrait liées à un compte bancaire. Cartes de crédit « privatives ».
Nombre de cartes par porteur Plusieurs (fréquemment 5, 10 voire plus). Généralement une.
Émetteurs des cartes Banques et partenaires associés (grandes enseignes…). Banques.
Sources principales de revenus Intérêts liés au crédit (80 à 90 %). Commissions perçues chez les commerçants (le reste). Commissions porteurs (50 %). Commissions commerçants (50 %).
Pertes d’exploitation Défaillance des porteurs (80 à 90 %). Fraude (10 à 20 %). Fraude (90 %). Défaillance des porteurs (10 %).
Autorisations Systématiques. Au-dessus d’un seuil, en général 600 francs.
Intérêt pour la carte à puce

Voisin de zéro :

La fraude n’est pas la source de perte majeure. Équiper d’une puce des cartes
peu utilisées est ruineux. Le recours aux autorisations systématiques
limite en partie la fraude. Les porteurs sont peu sensibles à la sécurité (ce sont les émetteurs qui paient en cas d’usage détourné). L’industrie américaine, dominée par des géants des télécommunications et du traitement de l’information, n’est pas mobilisée sur cette technique.

Réel :

Le coût de la fraude, rapporté aux revenus, est significatif. Les porteurs sont très sensibles à la sûreté des cartes qui donnent accès à leur compte. Les industriels sont mobilisés pour faire valoir les mérite de la puce. La possibilité de réaliser des transactions off-line permet des économies de traitement et une utilisation plus étendue de la carte (automates de distribution, péages, etc.). La possibilité de combiner plusieurs applications sur la même carte.

Premiers succès, nouveaux défis

La généralisation de la carte à puce décidée à la fin des années quatre- vingt va durer jusqu’en 1992 : il s’agit non seulement de remplacer, au fur et à mesure de leur arrivée à échéance, les cartes à piste magnétique par des cartes équipées de microprocesseurs (qui conservent leur piste magnétique pour l’utilisation dans les distributeurs de billets et hors de France) mais aussi les terminaux de paiement et tous les systèmes informatiques liés (centres d’autorisation, de télécollecte, de routage, etc.). Elle est l’élément clef d’un vaste plan de lutte contre la fraude dont le succès est convaincant : en cinq ans, le rapport des pertes liées à la fraude au volume des transactions traitées passe de 0,27 % à 0,04 %. Les banques et leurs partenaires industriels arrivent rapidement à bien maîtriser la qualité des cartes et des terminaux, pour arriver à un niveau de fiabilité comparable à celui des cartes à piste magnétique. Le pari est réussi : la fraude est jugulée, les économies induites par cette baisse justifient les investissements réalisés. Et surtout, les enquêtes de satisfaction montrent un accueil très positif de la clientèle. Mais la situation est beaucoup moins satisfaisante hors de France : la fraude propre à certains pays reste élevée – c’est le cas de l’Angleterre. Et surtout les transactions transfrontières, régies par les règles de systèmes internationaux que sont Visa, MasterCard et Europay (organisation européenne, membre de MasterCard) voient leurs coûts augmenter du fait de la fraude. Aussi ces organisations sont-elles amenées à étudier les solutions permettant d’y remédier. Les banques françaises sont alors amenées à mener un double combat : faire choisir la technologie de la carte à puce ; promouvoir des normes de cartes à puce compatibles avec celles en vigueur en France. Pour cela, elles s’appuient essentiellement sur le Groupement  » Cartes Bancaires « . 

Le soutien britannique

Le premier combat n’est pas facile. Tout d’abord parce que les experts de Visa et MasterCard sont fortement conditionnés par le marché américain : il faut que la carte (c’est-à-dire le support) soit peu coûteuse car les porteurs en ont plusieurs, chacune étant de ce fait moins utilisée ; les transactions sont systématiquement autorisées. Cela amène ces grands systèmes à envisager un premier changement technique consistant à marquer les cartes avec des éléments permettant une authentification  » passive « , ce qui imposait en parallèle la mise en place de terminaux capables de reconnaître ces éléments d’authentification. Deux solutions sont étudiées : watermark et holomagnetics. Les arguments mis en avance par les représentants français auprès de ces instances étaient ceux qui avaient emporté la décision des banques. Mais, des objections leur étaient régulièrement opposées : ce n’est pas votre choix mais un choix imposé par votre gouvernement pour soutenir Bull ; c’est le coût anormalement élevé des télé-communications en France qui rend attractif un modèle avec peu d’autorisations (10 % des paiements, à l’époque) ; vous êtes des techniciens férus de la beauté des solutions, nous sommes des gestionnaires soucieux de rentabilité. 

Un niveau de fraude inacceptable

Au plan international, la France était assez isolée. Certes, quelques banques norvégiennes avaient mis en oeuvre un système de paiement par cartes à puce, mais dans un pays où la fraude était contenue, l’apport de cette technique était moins probant. De façon inattendue, le principal soutien des Français vint de l’Angleterre. À la fin des années quatre-vingt, la fraude sur les opérations cartes avait atteint des niveaux jugés inacceptables tant par l’opinion publique que par les autorités. Un plan de lutte fut étudié et mis en oeuvre sous l’égide de l’APACS (Association for Payments and Clearing Services), avec comme principal axe de travail à moyen et long terme le développement de solutions à base de cartes à puce : les études furent longues, les phases de test et de déploiement aussi, mais l’Angleterre a été le premier pays après le nôtre à avoir déployé massivement le paiement et le retrait par carte à puce. Autre soutien britannique, celui de Ron Williams, administrateur délégué d’Europay, organisation qui fut la première à retenir la carte à puce au plan international. Cette décision fut rapidement suivie par MasterCard (juillet 1996) et Visa. 

Des spécifications de mise en oeuvre

L’autre combat fut celui des normes et des spécifications techniques d’application. L’enjeu était double.

L’autre combat fut celui des normes et des spécifications d’application

Tout d’abord créer une situation d’interopérabilité pour les cartes à puce et systèmes dans lesquels elles sont utilisées (terminaux de paiement, distributeurs de billets, centres d’autorisation et de télécollecte des transactions…) : cette interopérabilité permet de traiter en France des cartes émises à l’étranger et réciproquement. En deuxième lieu, maîtriser les coûts aussi bien pendant la phase migratoire pour adapter nos cartes, appareils et systèmes aux normes internationales qu’après cette phase. En ce qui concerne les normes, dès l’origine le Groupement  » Cartes Bancaires  » a mis les moyens humains et matériels nécessaires : c’est ainsi que je me suis trouvé pendant près de dix ans aux avant-postes dans ce combat. Mais les normes sont souvent trop étendues pour la mise en oeuvre d’une totale interopérabilité : il fallut les compléter par des spécifications de mise en oeuvre, autre combat qui allait mener aux spécifications  » EMV  » (Europay, MasterCard, Visa) aujourd’hui largement mises en oeuvre. 

La carte à puce, objet de la vie courante

Ces décisions des grands systèmes internationaux vont mettre des années à entrer en vigueur, mais aujourd’hui le mouvement est largement amorcé en Europe et dans de nombreuses régions du monde. Quant à la technologie des cartes à microprocesseurs, elle a peu à peu envahi notre vie quotidienne : cartes SIM des téléphones mobiles, porte-monnaie électronique Moneo, cartes Vitale pour la santé, cartes Navigo pour les transports… Les promesses d’hier sont devenues les succès d’aujourd’hui. Une industrie est née dans laquelle la France a su se créer un leadership (même si je regrette la prise de contrôle de certains fleurons par des fonds de pension étrangers). C’est la créativité, l’audace, la ténacité de quelques hommes – ingénieurs, entrepreneurs, décideurs – qui ont été à l’origine de ce mouvement. Parmi eux se trouvent aussi de ces banquiers qu’on décrit si volontiers comme frileux.

Poster un commentaire