C’est une carte d’un nouveau genre que commence à commercialiser BNP Paribas. Il s’agit d’une carte munie d’un lecteur d’empreintes digitales. Ce nouveau moyen d’authentification des transactions est donc enfin disponible en France.
Des cartes d’un nouveau genre qui ne nécessitent pas de mise à jour des terminaux de paiement des commerçants
Après l’avoir expérimentée auprès d’un petit nombre de clients dans une poignée d’agences, BNP Paribas lance la commercialisation d’une carte bancaire à lecteur d’empreintes digitales. Un petit lecteur ultra-fin est en effet intégré à cette carte. Lorsque la carte est insérée dans le terminal de paiement ou approchée de celui-ci, des impulsions électriques alimentent le lecteur d’empreintes digitales, qui compare alors le motif capillaire du doigt posé à celui stocké sur la puce.
Pour commencer à utiliser le lecteur d’empreintes pour confirmer des transactions, le client doit d’abord enregistrer son empreinte digitale. Chez BNP Paribas, cela se fait au moyen d’un boîtier fourni avec la carte : le client insère la carte dans le boîtier et appose son doigt cinq fois sur le lecteur. Un voyant vert s’allume après chaque enregistrement réussi.
Avantage considérable pour les banques qui équipent les points de vente, l’introduction de ces cartes ne nécessite pas de mise à jour des terminaux de paiement : les transactions par cartes à lecteur d’empreinte digitale sont traitées comme des transactions à vérification hors ligne du code secret.
L’empreinte digitale, un moyen d’authentification étonnement sécurisé
Les transactions par cartes à lecteur d’empreintes digitales sont encore plus sécurisées que celles où le client s’authentifie sur son appareil électronique personnel (ce qui est le cas lors du paiement par smartphone ou tablette). Par le passé, des cas de piratage de smartphones ont été décrits, où un logiciel malveillant installé sur le smartphone envoyait d’office au terminal de paiement la réponse comme quoi l’authentification du client sur son appareil personnel était réussie… alors même que cette vérification n’avait même pas été initiée).
Dans le cas de ces cartes à lecteur d’empreinte digitale, c’est la carte elle-même qui communique au terminal de paiement le résultat de l’authentification (« succès » ou « échec »). Et pour les escrocs, fabriquer une carte qui serait liée à un certain compte bancaire et qui en plus serait capable d’envoyer à volonté ce type de réponse au terminal de paiement est éminemment compliqué, si ce n’est tout simplement impossible. Recopier l’empreinte digitale à partir d’une carte est là aussi impossible puisqu’est stockée sur cette carte non pas la totalité de l’image mais un « modèle de référence » de l’empreinte digitale, qui suffit à la reconnaître lors de sa présentation.
Et, bien sûr, ces transactions sont plus sécurisées que les transactions sans contact, où aucune authentification du porteur de carte n’est employée (le seul garde-fou est le basculement en contrôle du code secret au bout d’un certain nombre de transactions sans saisie de code secret (5 habituellement) au cours d’une courte période).
