Les membres CB

1
Les membres CB

• 11 banques principales représentant 167
  institutions financières et établissements de
  crédit, tous membres de CB.

BNPP
LCL (CA)
La Banque Postale
HSBC
(Credit Mutuel)
2
La carte bancaire CBau cur des échanges
3
Autres systèmes 3 coins (Diners, American
express..)
Virement
Prelev.
Terminal
Carte
Transaction
4
Des partenaires pour l'international
Banques
5
1. Le défi du modèle CB

• Activité CB ( 2007)
• Nombre de transactions 8 milliards
• Volume de transactions 380 milliards d
• Nombre de DAB 45 000
• Nombre de cartes CB 55 millions
• Nombre de terminaux 800 000

6
Quelques dates clés

• 1967 1ères cartes de paiement.
• 1971 1ers distributeurs de billets.
• 1980 1ers terminaux de paiement électronique.
• 1984 Création du Groupement des Cartes
  Bancaires CB.
• 1992 Toutes les cartes CB se mettent à la puce.
• 2002 La carte à puce CB fête ses 10 ans et
  adopte le standard international EMV.
• 2004 Passage du RCB au e-RSB
• 2006 Emission de cartes DDA
• 2008 Fin migration DDA

7
Dates en Sécurité

• 1967 Carte à piste
• 1971 Deux types de pistes Transac (T1 T2) et
  ISO (ISO 1, 2 et3)
• 1984 Début travaux carte à puce
• 1986 Premiers essais carte à puce, carte B0
• 1988 Lancement des cartes à puce B0
• 1992 Toutes les cartes CB sont à puce, les
  terminaux refusent la piste !
• 2002 Lancement dEMV
• 2004 Les cartes sont toutes mixtes B0/ EMV
• 2006 Les cartes passent en DDA
• 2008 Bascule en tout DDA

8
Anatomie dune carte recto

• Puce (sous la vignette)
• Logo CB
• Logo de la Banque émetteur
• Logo de la marque internationale
• Embossage N carte (PAN)
• Hologramme
• Sigle marque
• Date validité
• Nom porteur

9
Anatomie dune carte verso

• Pistes magnétiques
• Nom de lencarteur, numéro de lot
• Panneau signature
• CVV2
• Adresse de la Banque

10
Les Pistes

• T1, T2, plus utilisées, norme française
  uniquement (Transac, AFNOR), algorithme Transac
  propriétaire
• ISO 1 utilisée par compagnies daviation
• ISO 2 utilisée par les Banques
• ISO 3 utilisée par les Banques, puis abandonnée
  servait à enregistrer les plafonds glissants
• Les pistes ISO et la carte sont normalisées
  suivant la norme ISO 7816 (1 et 2)

11
La piste ISO2

• 40 caractères héxadécimaux avec un bit de parité
  soient 280 bits, définis dans la norme ISO 7813
• Un drapeau de début, un séparateur et un drapeau
  de fin, seuls caractères non numériques
• Entre le drapeau de début et le séparateur,
  Numéro de la carte (PAN) sur 13, 16 ou 19
  caractères code usage, validité, données
  privatives banque KPPPQ

12
Le PAN

• Normalisé ISO 7812, enregistrement des émetteurs
  auprès du comité de Normalisation
• Les 6 premiers chiffres désignent létablissement
  émetteur de la carte (BIN)
• Les chiffres suivants sont organisés suivant la
  logique propre de la Banque.
• Le dernier chiffre est la clé de LUHN

13
La Vignette

• Ancienne position AFNOR, position haute, à 9 mm
  du haut de la carte, choisie pour sa résistance à
  la flexion.
• Nouvelle position, ISO 7816, médiane, contacts
  inversés.
• Contacts
• C1 VCC
• C2 RAZ
• C3 Horloge
• C4 RUF
• C5 Masse
• C6 VPP
• C7 E/S
• C8 RUF

14
Sous la vignette la puce

• Microordinateur complet en un seul composant
  processeur, mémoire RAM, mémoire ROM, mémoire
  EPROM,mémoire EEPROM (remplacée par mémoire
  flash)
• Zone de mémoire sécurisée physiquement et
  logiquement code confidentiel et clés
• Coprocesseur spécialisé crypto-processeur avec
  3-DES et RSA

15
Dans la puce le masque

• Masque B0 utilisé pour les premiers tests, puis
  abandonné.
• Masque B0 application carte bancaire CB
• Masque B0/EMV, masque mixte, en cours de
  déploiement, pour assurer la migration du parc de
  cartes et de terminaux
• Masque EMV pur lorsque la migration des terminaux
  sera terminée.
• Masque EMV DDA (authentification dynamique)

16
Les clés symétriques

• Clé de fabrication protège la carte pendant son
  transfert entre lindustriel, lencarteur et le
  personnalisateur. La présentation de cette clé
  est nécessaire pour écrire dans la zone secrète.
  Lorsque la carte est personnalisée, le verrou LC
  est positionné à 0, interdisant lécriture en
  zone secrète.
• Clé banque, pour écrire les informations
  bancaires, pour modifier des plafonds ou
  débloquer la carte après trois codes faux.
• Clé douverture (informations prestataires)
• Clés de transaction pour calculer certificats et
  authentifier la carte à distance

17
Les clés symétriques (2)

• Chaque carte possède son jeu de clés UNIQUE
• Les clés filles sont diversifiées à partir de
  clés mères , à laide dun algorithme à sens
  unique .

18
Transaction de paiement 1

• Le terminal demande à la carte toutes ses applis.
• Le terminal selectionne une AID de paiement
  valide
• Vérifie date de validité, identifiant carte, BIN
  autorisé, non présence en liste noire .
• Vérifie le Certificat EMV calcul RSA puis
  vérification de conformité du résultat aux
  informations PAN, date validité
• Demande la saisie du code confidentiel (PIN)
• Présente le PIN à la carte. Si OK, enregistre le
  paiement dans la carte

19
Transaction de paiement 2

• Le certificat EMV a remplacé la VS de B0
• LA VS a remplacé la VA (valeur authentification)
• La VA utilisait une clé RSA de 320 bits, cassée
  en 1998 par Serge Humpish.
• La VS utilise des clés de longueur variable, dont
  la longueur augmente avec le temps (512, puis
  768, 896)
• La VS (et avant elle la VA) permet de faire des
  transactions offline , sans appel au centre
  dautorisation.
• En cas dappel, le centre autorisation émetteur
  vérifie le certificat

20
Quapporte EMV ?

• EMV est la norme proposée par VISA et Mastercard.
• Changement de protocole bas niveau (T0/T1)
• Multiapplicatif (commande Select Application)
• Sécurité des transactions entièrement décidée par
  lémetteur
• Possibilité DDA (choix fait par toutes les
  banques françaises, décision prise par cartes GB)

21
DDA

• Dynamic Data Authentification
• La carte doit disposer dun crypto processeur.
• Le terminal envoie un challenge à la carte.
• La carte signe ce challenge, ainsi quun aléa, à
  laide de sa clé privée.
• La carte renvoie le résultat et son certificat.
• Le terminal vérifie le certificat puis vérifie le
  résultat.

22
Les attaques

• La carte est complexe et comporte plusieurs
  technologies
• Vente à distance
• Visuel
• Embossage
• Pistes
• Puce
• SDA/DDA

23
Pistes

• Apparition des skimmers en 2002
• Copie de la piste et utilisation à létranger
• Bandes organisées Europe de lEst
• Contre-mesures
• AFAS
• Scoring des transactions

24
Vente à distance

• En vente à distance, seul le numéro PAN et la
  date de validité sont utilisés
• Sur le panneau signature figure un numéro le
  CVV2 (Visa) ou CVC2 (Mastercard).
• Ce numéro à trois chiffres doit être communiqué
  lors dun achat.
• Le commerçant a interdiction de le stocker.
• Ce numéro ne figure que dans la base de donnée de
  lémetteur.
• Mise en place progressive de 3D-Secure

25
Visuel

• Logo CB
• Hologramme
• Réaction aux UV

26
Embossage

• Police de caractères spécifique
• Plastique spécifique, à mémoire de forme
• Sigle particulier V ou M

27
PUCE

• YESCARD
• Casse clé 320 bits 1998
• Programme DAC 1.8
• Dispo cartes Gold ou Fun
• VSD
• Clé non cassée
• Mais recopie de cartes
• SDAD
• Clé non cassée
• Mais recopie de cartes
• Contre-mesures
• Online automates
• Baisse de seuils dappels ciblée
• Collaboration police
• En attendant le DDA

28
CONCLUSION

• Système attaqué, mais
• Système de paiement préféré des Français !
• 100 fois moins de fraude que sur le chèque !
• 10 fois moins de fraude que sur les cartes
  internationales !
• Moins de fraude que sur les billets !
• Rapportée au nombre de cartes cela représente
  moins de 2 par carte, majoritairement
  supportée par les Banques.