Temps de lecture : 11 min.

Les cartes de paiements sont devenues un instrument courant.  Qui n’en a pas une serait considéré un troglodyte. Cartes de crédit, cartes de débit, porte-monnaies électroniques, cartes à puce, cartes de paiement professionnelle, cartes pétrolières, carte vitale, chacune offre un service adapté aux besoins de l’utilisateur. La monétique s’est érigée au fil du temps comme un corpus de connaissance dans les sciences et techniques de l’ingénieur. C’est la combinaison de l’informatique, de l’électronique et de la télématique au service des paiements électroniques.  Dans cette évolution constante, l’utilisation des cartes se dématérialise avec le commerce électronique,  le paiement par mobile et les paiements sans contact.  Des fournisseurs de services de paiements comme Paypal apparaissent. Les  systèmes anti-fraude se renforcent. Les singles des disques vinyle de 45 tours des tubes de l’été s’achètent maintenant en  ligne dans des plateformes traitant des micro-paiements.

Le présent article se concentre sur l’histoire des cartes bancaires, les bases des transactions par carte et les retraits dans les distributeurs automatiques de billets,  la norme EVM des cartes à puces  et finalement  la norme  SEPA des cartes (SCS, SEPA card scheme).

Un peu d’histoire

En France, le groupement des cartes bancaires est le groupement d’intérêt économique qui gère le réseau interbancaire français des distributeurs de billets et de terminaux électroniques de paiement. Ce réseau est indépendant des réseaux Visa et MasterCard et est interconnecté à ceux-ci.  Le site www.cartes-bancaires.com résume l’histoire des avancées technologiques des cinquante dernières années. Il est surprenant d’apercevoir les changements encourus. Ce qui était une innovation pendant le vingtième siècle, du point de vue du vingt-et-unième  n’est qu’un objet de la vie courante comme le sont la voiture, la télévision ou internet.

Année Evènement
1967 Première carte de paiement grâce à l’association de six banques
1968 Premier distributeur de billets installé à Paris
1971 Première carte à piste magnétique
1973 Première fois qu’il est possible de payer par carte à l’étranger
1974 Invention de la carte à puce
1975 Première piste magnétique aux normes ISO
1978 Premiers paiements par carte sur l’autoroute de Normandie
1980 Premier terminaux de paiements électronique (TPE, minitel)
1984 Création du groupement de paiement par carte, début de l’interbancarité
1985 Apposition d’un symbole ultraviolet sur les cartes bancaires
1986 Première carte à puce commercialisée
1987 CB intègre l’hologramme sécuritaire sur les cartes à puces
1990 CB lance le code secret à quatre chiffres
1992 Commercialisation de la puce à toutes les CB
1996 Première hotline pour faire opposition en cas de perte ou de vol
1997 La carte à puce modèle français commence à s’exporter à l’étranger
1998 La carte à puce passe aux normes EMV
1999 Premier paiement par carte en Euros
2000 Le cryptogramme visuel est apposé aux cartes bancaires pour sécuriser la VAD (vente à distance)
2001 Le nombre de paiement par carte dépasse celui par chèque
2002 CB met en place un système de détection des yescards
2005 Un nouveau réseau e-rsb (opérateur de routage des autorisations bancaires, e-rsb.com) pour accompagner la croissance des cartes bancaires
2006 Lancement du DDA (dynamic date authentification) sur les cartes bancaires
2007 Première carte co-brandée
2009 Transposition de la directive sur les services de paiement pour la mise en œuvre du SEPA
2010 Déploiement des authentifications fortes pour les paiements sur internet
2011 CB agrée les premiers TPE pour les paiements sans contact

Les paiements sur TPE, les retraits sur DAB et les acteurs

L’expérience de retrait d’argent dans un distributeur automatique de billet et le règlement d’une somme d’argent sur un terminal de paiement électronique chez un commerçant sont des actions courantes. Le titulaire de la carte (cardholder) utilise le TPE d’un commerçant (merchant)  ou le DAB d’une banque quelconque. Dans les deux cas, le titulaire de la carte initie la demande d’autorisation qui transite par le  réseau de carte (card scheme).  La demande est transmise de l’acquéreur (acquirer) vers  l’émetteur de la carte (issuer). Une fois que l’autorisation est donnée par l’émetteur, celle-ci retourne sur le terminal (DAB,TPE) comme dans la figure ci-après.

Figure 1, L’opération de paiement (source cartes bancaires)

Dans un deuxième temps, les règlements ont lieu. Régulièrement, les transactions bancaires sont remises à la  banque du commerçant, l’acquéreur,  et celui-ci crédite le compte du commerçant. Les transactions des commerçants, clients de l’acquéreur, sont transmises à la chambre de compensation de détail.  En France, elle s’appelle CORE (COmpensation REtail).  Finalement, les sommes sont débitées des comptes des titulaires de la carte.

Figure 2, le règlement et la compensation (source cartes bancaires)

Le tiulaire de la carte (cardholder) est le nom de la personne qui est inscrit sur la carte. Le porteur et le titulaire peuvent être différents. C’est le cas des cartes professionnelles.

Le commerçant (merchant) signe un contrat avec l’acquéreur où sont stipulées les conditions d’utilisation des terminaux et les commissions prélevées sur chaque transaction ou type de carte.

L’acquéreur  (card acquirer) est l’entité qui gère le compte du commerçant. Il transmet les informations des transactions aux émetteurs de cartes pour traitement ultérieur et garantit que le compte du commerçant est crédité.

L’émetteur de cartes (card  issuer) est l’institution financière qui met à disposition la carte au titulaire de la carte. Il gère le compte du titulaire et peut lui octroyer une ligne de crédit. Il autorise les transactions sur les TPE ou DAB et garantit que le paiement sera régler auprès de l’acquéreur en fonction des arrangements commerciaux établis avec le réseau de cartes.

Entre l’émetteur et l’acquéreur se trouve le réseau de d’acceptation de paiements (card scheme).  Le réseau de cartes fait référence à l’infrastructure interbancaire d’acceptation de paiement par carte. En France ce réseau est indépendant  des réseaux internationaux tels que Visa ou Mastercard. Il s’appelle e-rsb.   Le terme « card scheme » fait  aussi référence au  contrat commercial qui permet à une marque donnée  de carte de paiements  de fonctionner dans un cadre légal, organisationnel et opérationnel.  Un réseau de carte assure les standards techniques des TPE, des DAB et de  l’infrastructure technique d’échanges. Il établit aussi  les termes légaux en cas de fraude et de litige.

Il y a deux configurations possibles pour les réseaux de paiements.

Figure 3, système quatre coins (source wikipedia)

Le système quatre coins sépare l’acquéreur de l’émetteur. C’est un réseau ouvert ou une banque ou une institution financière peut devenir membre  à condition de respecter le cadre technique du réseau. Visa et Mastercard en sont des exemples.

Figure 4, système 3 coins (source wikipedia)

Le système de trois coins est un réseau ou l’acquéreur et l’émetteur sont le même. Il n’y aura donc pas besoin de passer par une chambre de compensation ni de régler des commissions entre acquéreur et émetteur. C’est un réseau fermé.  Diners et American Express en sont des exemples.

Figure 5, Les commissions (source : payment systems,  ECB)

Chaque fois qu’un paiement par carte a lieu, la commission d’interchange est prélevée.  Elle couvre les coûts  de traitement, les coûts des garantis en cas de fraude et la période de crédit accordée au titulaire de la carte.  Elle est calculée suivant un pourcentage de la transaction, suivant un coût fixe par opération ou une combinaison des deux. La commission d’interchange est payée par l’acquéreur à l’émetteur.  De leur côté, le commerçant paie une commission à l’acquéreur et le titulaire de la carte paie une commission à l’émetteur. Suivant le type de carte, le titulaire aura droit à certains bénéfices comme le service de rapatriement en cas d’accident et autres. Dans le cas d’un retrait d’espèces, les mêmes types de commissions sont prélevées sauf pour le sens de la commission d’interchange. Celle-ci  est payée par l’émetteur à l’acquéreur principalement pour la maintenance du distributeur de billets. On peut se douter que ces commissions peuvent être  un débat houleux entre les commerçants et les acquéreurs ou entre les acquéreurs, les émetteurs et les réseaux d’acceptation de paiement par carte.  Le réseau d’acceptation de cartes peut forcer les commerçants à n’utiliser qu’une marque de carte. Les grands groupes commerciaux peuvent négocier des tarifs à leur avantage.  Enfin, le gouvernement peut intervenir dans l’adoption d’un code de conduite et de transparence comme ç’a pu être le cas au Canada  (cf : http://paymentsystemreview.ca)

Les specifications  EMV

EMV est l’acronyme de “Europay, MasterCard et Visa”. C’est un standard d’interopérabilité entre les cartes à puces (smartcard, IC card, integrated chip card) les TPE (terminaux de paiements électroniques, POS, point of sale) et les DAB (distributeurs  automatiques de billets, ATM, automated teller machine) destiné à identifier les transactions  des cartes de débit et de crédit par contact direct ou sans contact entre la carte et les terminaux.

EMVco est l’organisme chargé du maintien des spécifications et regroupe des réseaux de cartes américains, japonais et chinois.

Les avantages de la norme EVM sont:

  • l’interopérabilité
  • la gestion de plusieurs applications sur une même carte (carte de crédit, carte de débit, porte-monnaie électronique,…)
  • l’autorisation en ligne et hors-ligne
  • ‘l’augmentation des protocoles de sécurité etd’ identification avec le PIN (personal identity code)

La normes est composée de quatre volumes. Le premier est consacré aux caractéristiques de la carte à puce. Le deuxième aborde la sécurité, les protocoles de cryptage, les méthodes d’authentification et ses messages. Le troisième volume s’enfonce dans les dédales de la programmation de la carte. le quatrième volume détails les exigences des terminaux et des IHM.

Voici un aperçu des volumes 2 et 3. Les étapes du traitement d’une transaction se divisent comme il suit.

  • « Selection de l’application » (Application selection) récupére le code d’identification de l’application d’une institution financière. Une banque peut avoir plusieurs codes correspondant à ses produits
  • « Initiation du traitement de l’application » (Initiate application processing) . C’est l’exécution de PDOL (processing options data objects list,  le TEP-DAB envoie des données à la carte) de AIP (application interchange profile, la carte envoie des programmes que le TEP-DAB  devra exécuter) et de AFL (application file locator,  envoi d’une liste de pointeurs sur des fichiers de la carte)
  • « Lecture des données des applications » (Read application data). Le TEP-DAB lit les fichiers fournis par AFL
  • « Traitement des contraintes »( Processing restrictions) établit le cadre d’utilisation de la carte dans des limites prédéterminée (période d’utilisation, territoire géographique etc). Si les restrictions ne sont pas respectées, l’utilisation de la carte peut être refusée.
  • « Authetitfication hors ligne » (Offline data authentication) est la validation de la carte moyennant un protocole de sécurité de clef publique et de clef privée (clef RAS). SDA (Static data authentication, authetification de données statiques) vérifie que la carte a été fabriquée par une banque émettrice (clef RSA de l’émetteur). Comme SDA peut être contourné par le clonage des cartes, DDA (Dynamic data authentication)  renforce la sécurité. Le protocole est basé sur la clef RSA de l’émetteur, la clef RSA de la carte elle-même et des données aléatoires et dépendantes de la transaction. CDA  (Combined DDA/generate application cryptogram ) est une authentification combinant DDA et SDA.
  • « Vérification du titulaire de la carte » (Cardholder verification method) est la saisie du code PIN. Dans certains pays le PIN n’est pas implémenté et une signature sera requise.
  • « La gestion du risque »( Terminal risk management ) est le choix entre la transaction hors ligne et en ligne en fonction du montant payé, une vérification aléatoire…
  • « Analyse du terminal » (Terminal action analysis) est l’étape qui  en fonction des résultats des étapes ” traitement des contraintes”, “authentification  hors ligne”, « vérification du titulaire »,  et la  « gestion des risques » aboutit sur 3 résultats possibles : autorisation de la transaction hors ligne, refus de la transaction hors ligne ou autorisation de la transaction en ligne.
  • « Première analyse de la carte »  est l’étape ou la carte répond avec 3 cryptogrammes: TC (Transaction certificate) autorisation hors ligne, ARQC (Authorization Request Cryptogram) autorosation en ligne, AAC (Application Authentication Cryptogram) refus du hors ligne
  • Dans « Autorisation de la transaction en ligne »,  le terminal construit une demande de transaction en ligne pour être envoyée au terminal de l’émetteur.   Cette étape est obligatoire pour les DAB.
  • « Seconde analyse de la carte » (Second card action analysis) est une étape ou le terminal envoie des données sur la carte.
  • Le « traitement du script de l’émetteur » (Issuer script processing) est l’exécution d’un programme pour mettre à jour la carte. Elle peut être bloquée ou mise à jour avec des nouvelles données en provenance de l’émetteur.

La norme de cartes SEPA (SCS , SEPA card scheme)

Le conseil européen sur les paiements (european payment council)  maintient la norme SCS. La migration vers CSC a eu lieu en 2010 et la norme continue d’être mise à jour par exemple sur les paiements par mobile et paiements sans contact.

D’après la source http://sepafrance-temp.fr, Conformément au cadre d’interopérabilité SEPA, les paiements par carte doivent respecter les principes suivants :

  • Les porteurs peuvent réaliser des paiements dans l’ensemble de l’espace SEPA avec leur carte, chez les commerçants qui l’acceptent.
  • Les commerçants peuvent accepter dans les mêmes conditions les cartes sans distinction liée à leur pays d ‘ émission.  Ils conservent le choix des systèmes de cartes qu’ils acceptent.
  • Les paiements par cartes utilisent la technologie EMV et sont le plus souvent authentifiés par un code PIN.
  • Le paiement est garanti dans les conditions prévues par le réseau de cartes.

La norme CSC comporte six volumes.

  • Le premier volume est un introduction qui souligne l’importance  de l’harmonisation des exigence du cadre SEPA pour les cartes. Ce volume explique le composition du groupe chargé de la maintenance et de la mise à jour de la norme et une liste exhaustive des termes et définitions et acronymes utilisés dans les autres volumes
  • Le deuxième volume balaye les exigences (requirements) , les règles de gestion et les cas d’utilisation des transactions effectuées par carte sans perdre de vue les spécifications EMV sur laquelle la norme est basée. Les exigences couvrent l’utilisation de la carte, des DAB, des services pouvant être associés à la carte
  • Le troisième volume est la description des données définies avec le standard XML 20022 et les formats d’échanges garantissant l’interopérabilité. Ce volume est accompagné d’une feuille Excel facilitant la conception architecturale  et l’harmonisation des messages d’autorisation et de compensation. Ceci peut être comparé à la définition des classes en langage objet.
  • Le quatrième volume se spécialise sur le sujet de la sécurité des cartes et se réfère aux standards internationaux de la sécurité des cartes et s’adresse aux développeurs et experts en sécurité.
  • Le cinquième volume aborde les procédures de vérification de la conformité aux normes SEPA des cartes, TPE et DAB.
  • Le sixième volume est un guide d’implémentation. Il indique le calendrier de migration , des choix techniques de la norme EMV ( la liste des étapes décrites dans le chapitres EMV de cette article) et des cas d’utilisation  ou plutôt des contextes de paiements avec les parties obligatoires et optionnelles.

Conclusion

La norme CSC basée sur le standard EMV est la pierre angulaire des paiements sur terminaux auprès des commerçants et distributeurs de billets.  Mais ces modes de paiements ne seraient pas désuets? Le conseil européen sur les paiements a déjà commencé les discussions sur les normes des paiements sans contact et des paiements par mobile. Ces deux modes de paiement utilisent l’identification par radio-fréquence (RDFI, radio frequency identification). Soit la puce électronique de la carte est équipée de cette technologie, soit elle est intégrée à une puce insérée dans le téléphone portable. Il ne reste plus qu’à expérimenter ces nouveaux modes de paiement. Et si on manque d’imagination, il y des mises en scène sur le net:

Mode de paiement Mise en scène
Paiement sans contact (01 net) https://www.youtube.com/watch?v=0t8Gksf3_I8
Paiement par mobile (BPCE) https://www.youtube.com/watch?v=k9CThqQUJcw

Références

Document, Sujet Lien, contenu
Università Ca Foscari, payment systems, Maurizio Marek http://www.dsi.unive.it/~marek/files/09.5%20-%20payment%20systems.pdf
SCS , SEPA card scheme (books of the 7th version) http://www.europeanpaymentscouncil.eu/content.cfm?page=sepa_vision_for_cards
EMV (Europay, Visa, Mastercard) Wikipedia en anglais et en Francais
Introduction to EMV specifications https://www.emvco.com/best_practices.aspx?id=217
Groupe de travail sur l’examen du système de paiement : le marché des cartes de crédit et de débit http://paymentsystemreview.ca/index.php/rapports/a-propos-du-dialogue-nos-documents-de-discussion/les-marches-des-cartes-de-credit-et-de-debit/indexe68f.html?lang=fr
http://www.cartes-bancaires.com/ http://www.cartes-bancaires.com/
Wikipedia on card payment topics Major cards :     American Express, MasterCard, Debit MasterCard, Maestro, Visa, Visa Debit, Visa ElectronRegional and specialty cards:   Carte Bleue, Electronic Payment Services (EPS)Accounts :          Bank card number,Card enclosure,Credit card balance transfer,Credit limit,Revolving account,Deposit account,Current/Checking account,Savings accountDebt :   Cash advance, Charge-off, Maxed out, Interest, Grace period, Introductory rate, Universal defaultPayment :Card not present transaction, Chargeback, Controlled payment number, DisputeFees:Interchange fee ,Interchange fee, SurchargeSecurity :Card security code,Chargeback fraud,Credit card fraud,Credit card hijacking,EnculturationTechnology :Automated teller machine,Contactless payment,Credit card terminal,EMV,Interbank network,Magnetic stripe card,Smart card
Autres sujets (Wikipedia) Payment card industryPayments as a platformList of online payment service providersPayment service providerelectronic commerceMobile TicketingMobile BankingMobile commerce service providerMobile dial codeMobile PaymentsLa monétiqueLa billettiqueLa carte téléphoniqueLe prépaiementLa carte cadeau dématérialisée (ou e-gift)Le DCC (Dynamic Currency Conversion)Le PME (Porte-Monnaie Electronique)Le paiement par téléphone mobileLe marketing monétique

Le paiement sans contact (NFC)

Sur e-RSB http://www.cartes-bancaires.com/cbmag/fr/26/actu/actu.htm
Sur STET-CORE https://www.banque-france.fr/eurosysteme-et-international/sepa/systeme-de-paiement-de-masse.html
http://www.stet.eu
http://fr.wikipedia.org/wiki/Syst%C3%A8me_STET-CORE

–>