• Cadenas de sécurité posée sur des cartes bancaires
> Lecteurs de carte > Peut-on faire confiance aux lecteurs de cartes mobiles comme iZettle et SumUp ?

Peut-on faire confiance aux lecteurs de cartes mobiles comme iZettle et SumUp ?

Par Emmanuel Charpentier|2018-08-30T13:41:03+00:004 juin 2018|Mots-clés : , |

C’est une question que se sont posés sans doute de nombreux clients lorsqu’ils ont pour la première fois inséré leur précieuse carte bancaire dans l’un de ces terminaux de paiement d’un nouveau genre, dont l’aspect et le fonctionnement diffèrent légèrement de celui des terminaux de paiement classique.

Rappelons que ces terminaux mobiles lisent les cartes à puce, et nécessitent une authentication par code ou avec la fonction sans contact, comme les terminaux classiques, mais que le logiciel qui effectue la transaction avec la banque est hébergé sur le smartphone ou la tablette du commerçant.

Nous examinerons dans cet article les différentes normes de sécurité auxquelles doivent se plier les acteurs comme iZettle ou SumUp pour pouvoir commercialiser leurs terminaux et applications.

La transaction est-elle sécurisée ?

Pour avoir le droit d’opérer des transactions utilisant des cartes bancaires, les opérateurs comme iZettle et SumUp ont dû mettre au point des lecteurs de cartes et des procédures répondant aux normes en vigueur : la norme EMVCo pour le respect des standards des cartes bancaires et la norme PCI DSS pour la sécurité des données du porteur de carte, qui est assurée notamment par une sous-norme, PCI PTS, qui concerne spécifiquement le lecteur.

La norme EMVCo

C’est la norme actuelle des cartes à puce. EMV est l’acronyme d’Europay, Mastercard et Visa, les fondateurs du standard auxquels se sont agrégés d’autres acteurs comme JCB, American Express etc.

Ce standard est inspiré de celui de la carte à puce française d’origine ; il a été conçu pour être plus sûr et devenir une norme internationale permettant aux cartes d’être utilisé dans tous les pays.

Lecteur SumUp Air vu de face

Le lecteur SumUp Air est conforme aux normes de sécurité en vigueur. Photo : Emmanuel Charpentier, Mobile Transaction.

En Europe plus de 95 % des terminaux utilisent la norme EMV, qui implique notamment l’utilisation obligatoire du code NIP (PIN en anglais), qui signifie numéro d’identification personnelle, et le cryptage des données entre le terminal et la carte.

L’ensemble de la transaction doit s’inscrire dans un cadre sécurisé défini par la norme PCI DSS qui englobe le matériel et logiciel utilisés par le commerçant.

La norme PCI DSS

Cette norme est établie par le Conseil des normes de sécurité PCI (Payment Card Industry Security Standard Council), qui regroupe notamment les acteurs cités dans le paragraphe précédent.

Son but est de protéger les données du porteur de carte et tout particulièrement le numéro de carte. Ces normes peuvent s’appliquer à n’importe quelle entreprise qui traite des données bancaires.

Le standard de sécurité des données PCI DSS (Data Security Standard) impose de respecter 12 points regroupés en 6 directives :

  1. Construire et maintenir un réseau sécurisé (pare-feu, mots de passes…)
  2. Protéger les données du porteur de carte (stockage, cryptage…)
  3. Avoir un programme de gestion des vulnérabilités (antivirus, système d’exploitation…)
  4. Mettre en place des mesures de contrôle de l’accès aux données (limitations des données recueillies, identification, restrictions physiques)
  5. Pratiquer des contrôles et enregistrer tous les accès aux données
  6. Avoir une politique de sécurité information vis-à-vis du personnel

Il s’agit ici de directives globales. En réalité, chaque marque de carte de paiement met en place son propre programme de mise en conformité aux normes PCI DSS. Les entreprises qui traitent et stockent des données issues de carte bancaire doivent donc être certifiées par Visa, Mastercard, American Express, etc.

La norme PCI PTS

La norme PCI PTS (PIN Transaction Security) concerne spécifiquement le lecteur de carte et s’inscrit dans le cadre de la norme PCI DSS. Les lecteurs nouvellement commercialisés doivent recevoir un certificat de conformité délivré par l’un des laboratoires partenaires du PCI Security Standards Council.

Voici dans les grandes lignes les éléments sur lesquels portent la conformité :

  1. Sécurité physique et logique de dispositif acceptation du code PIN
  2. Contrôle de la sécurité du terminal lors de la fabrication, de transport, etc.
  3. Sécurité du protocole
  4. Cryptage des données dans le terminal

Un tiers peut-il avoir accès aux données bancaires ?

Non. Le commerçant n’a aucun accès au contenu de la transaction. Par ailleurs, comme toutes les données sont cryptées lors du transit (ce qui implique l’utilisation d’une version cryptée Bluetooth) entre le lecteur et le smartphone, cela signifie que même si la communication était interceptée, elle serait illisible.

Ajoutons que le smartphone ne stocke aucune donnée ; en cas de vol, le voleur n’aurait accès à aucune information, ni sur les ventes ni sur les acheteurs.

Donc, pas de raison de s’inquiéter ?

Non pas particulièrement, aucun système n’est infaillible, mais il n’y a pas de raison de s’inquiéter plus que pour un autre type de transaction. De plus en plus de petits commerçants, d’indépendants et d’auto entrepreneur vont s’équiper de ces petits terminaux, qui finiront par devenir familiers aux consommateurs.

Il est bien évident que si des poids lourds comme Visa ou MasterCard ont, à travers des entités comme EMV et PCI, accordé des certifications à des opérateurs comme iZettle et SumUp, c’est qu’ils les estiment sûrs.