Pourquoi ma carte de débit a-t-elle une bande ET une puce?
Récemment, j'ai reçu une nouvelle carte de débit qui a à la fois une bande magnétique et une puce (comme ma précédente carte).
Je sais que la bande magnétique peut être facilement copiée alors que le système de puces n'a pas encore été compromis. Je suppose que la bande est toujours là à des fins héritées, même si au cours des dernières années, je n'ai pas vu ni entendu parler d'un terminal ou d'un guichet automatique qui n'acceptait pas le paiement par puce.
En ce qui me concerne, c'est comme acheter une nouvelle serrure de fantaisie pour votre porte d'entrée tout en laissant la porte arrière déverrouillée. Cette analogie est-elle correcte, c'est-à-dire qu'une carte avec une bande ET une puce n'est pas plus sécurisée qu'une carte avec juste une bande? Et si oui, pourquoi ma banque accepterait-elle un tel risque pour la sécurité? Pourquoi ne pas se débarrasser complètement de la rayure?
Ps: Si c'est important, je vis aux Pays-Bas.
EDIT: Pour plus de clarté, je suis principalement préoccupé par le scénario suivant:
Un voleur survole un distributeur automatique de billets (probablement (?) Un paiement par puce), mais peut toujours obtenir la bande parce que la carte entre dans le distributeur automatique de billets. Supposons qu'il lit mon PIN aussi. Il fabrique ensuite une nouvelle carte et vide mon compte bancaire.
Les détails dépendent de la banque, du type de carte et du pays, ils varient donc beaucoup, mais le modèle générique est le suivant:
- La bande magnétique contient, pour la plupart, une copie lisible par ordinateur des informations gravées sur la carte: numéro de compte, nom du titulaire, date d'expiration.
- La puce contient une clé secrète qui est utilisée pour "signer" (pas nécessairement une vraie signature; souvent une MAC ) transactions.
- La puce connaît le code PIN et refuse de travailler jusqu'à ce que le code PIN ait été présenté; elle se verrouille également si trop de mal PIN sont présentés.
Lorsqu'un terminal de paiement utilise la bande magnétique, il doit parler à la banque, établir un tunnel sécurisé avec la banque, envoyer le PIN code entré par l'utilisateur et vérifiez que le compte du propriétaire contient suffisamment d'argent.
D'un autre côté, lorsqu'un terminal de paiement utilise la puce, le code PIN est envoyé à la puce uniquement et il n'est pas nécessaire de parler à la banque. La transaction peut être entièrement Bien sûr, pour les gros montants, il est toujours judicieux de parler à la banque pour savoir si cet argent existe sur le compte de l'acheteur, mais les petites transactions peuvent être effectuées efficacement sans aucun réseau.
Ainsi, la bande magnétique et la puce sont utilisées de deux manières différentes, et le fait d'avoir les deux ne signifie pas que la sécurité est réduite à la sécurité du plus faible des deux. Du point de vue bancaire, les puces sont meilleures, car elles sont plus efficaces (pas besoin de gérer un appel réseau) et plus difficiles à cloner (les statistiques montrent un taux de fraude divisé par environ 10). Cela se traduit souvent par des avantages financiers accordés aux commerçants qui passent à des terminaux compatibles avec les puces.
Il peut y avoir des variantes dans tout ce qui précède. Par exemple, certaines cartes incluent dans la bande magnétique une version cryptée du code PIN - mais elle a gagné " t être vérifié dans le terminal de paiement. Au lieu de cela, le terminal devra parler à un serveur bunkerisé régional qui connaît la clé de déchiffrement et peut faire la vérification. Pour certains autres types de cartes, il est assez clair que la bande magnétique ne sait rien sur le code PIN, par exemple les cartes American Express sans puce (d'il y a quelques années) où vous pouvez changer votre code PIN en téléphonant à votre banque).
Dans tous les cas, toutes les fonctions de sécurité d'une carte de débit ou de crédit ne sont pas destinées à vous protéger . Ils protègent la banque . Du point de vue de la banque, vous êtes l'ennemi (indépendamment de ce qu'ils prétendent dans leurs annonces).
C'est une question de responsabilité:
- Si un commerçant utilise une puce et une épingle et que la transaction s'avère être une fraude, l'émetteur de la carte paie la fraude (en supposant que le commerçant n'a pas été négligent).
- Si un commerçant utilise la bande magnétique et que la transaction s'avère être une fraude, le commerçant paie la fraude.
Lorsque le chip & pin a été introduit pour la première fois, en théorie, un commerçant aurait pu prendre une décision commerciale de ne pas payer pour les nouveaux terminaux de carte, et simplement d'accepter la responsabilité de la fraude. Dans la pratique, tout le monde a décidé de passer au chip & pin, ce qui était exactement ce que voulaient les schémas de cartes.
Ils ont la bande magnétique pour une compatibilité ascendante. La surface surélevée du nombre de certaines cartes garantit que même les anciens systèmes de balayage manuel fonctionneront en cas de coupure de courant.
Dépend de la banque, du type de carte, il peut y avoir plusieurs raisons pour qu'une bande magnétique existe sur la carte:
Rétrocompatibilité: il existe d'anciens terminaux qui ne peuvent pas accepter de puce. De plus, le traitement des cartes à puce n'est pas encore bien standardisé comme le traitement des cartes à bande magnétique et est plus compliqué aussi, ainsi un terminal peut être en mesure d'accepter uniquement certains types de puces.
La bande magnétique peut être utilisée comme support, au cas où la puce deviendrait défectueuse. Les détails varient d'une banque à l'autre, certains peuvent avoir pour politique de limiter le montant, la fréquence d'utilisation de la carte de cette manière, ou même de la refuser complètement. Habituellement, la procédure nécessite que la puce soit d'abord essayée, et seulement si elle ne peut pas être traitée, la bande magnétique peut être utilisée. La politique de la banque peut exiger que le titulaire de carte signale un tel cas ou accepte sa responsabilité.
Quant à votre souci de lire PIN à partir de la bande magnétique, normalement PIN de toute forme n'est pas contenu dans la bande. L'utilisation principale de PIN est pour authentifier le titulaire de la carte, c'est-à-dire que seul le titulaire de la carte connaît le PIN et peut effectuer la transaction (le PIN est également stocké en toute sécurité par la banque, et devrait être irrécupérable.) Si le PIN est inclus sur la bande magnétique, toute personne disposant d'un équipement approprié peut lire/parcourir la bande et l'obtenir.