La faiblesse des montants, c'est pour passer sous les radars.
Les fonctionnalités de sécurité de la carte bancaire, du réseau de paiement (Visa / MasterCard / CB), du commerçant, de ta banque et de celle du commerçant ont toutes un coût en temps de transaction et de coût d'usage.
Chacun des acteurs que j'ai cité plus va donc choisir d'activer progressivement des fonctionnalités de sécurités croissantes en fonction du montant de la transaction et d'autres paramètres spécifiques.
Pour le domaine que je connais, les cartes bancaires, les critères pour activer certaines fonctionnalités de sécurité sont :
- montant cumulé des transactions sans authentification en ligne de la carte
- montant cumulé des transactions sans-contact
- monnaie de la transaction vs monnaie de la carte (en gros, est-ce qu'on paye depuis l'étranger)
- d'autres plus subtils.
En fonction d'au moins ces critères, la carte utilisée pour le paiement va soit accepter le paiement tel quel et générer cryptogramme que le TPE doit archiver et faire parvenir à la banque tous les soirs, soit demander une authentification en ligne plus complexe, soit réclamer le PIN, soit les deux, soit simplement refuser la transaction en considérant que les bonnes conditions ne sont pas réunies (genre, interdiction de dépense à l'étranger).
Sachant que maintenant, la fraude en ligne peut être industrialisée, les petits montants sont adaptés.
Un autre exemple, c'est les péages sur autoroute. En temps de faible affluence, ils vérifient les transactions en ligne ou en tout cas, ils activent une partie des sécurité de la carte. En période de forte affluence, avant l'arrivée du sans-contact, ils se contentaient de lire la piste magnétique pour ne pas perdre de temps. Le sans-contact a typiquement boosté la sécurité de ce scenario d'usage. Et baissé la sécurité d'autres scenarii où tu tapais ton PIN auparavant.
[^] # Re: Erreur d'analyse de la banque ?
Posté par Philippe F (site web personnel) . En réponse au journal Carte bancaire piratée, la faute à qui ?. Évalué à 7.
La faiblesse des montants, c'est pour passer sous les radars.
Les fonctionnalités de sécurité de la carte bancaire, du réseau de paiement (Visa / MasterCard / CB), du commerçant, de ta banque et de celle du commerçant ont toutes un coût en temps de transaction et de coût d'usage.
Chacun des acteurs que j'ai cité plus va donc choisir d'activer progressivement des fonctionnalités de sécurités croissantes en fonction du montant de la transaction et d'autres paramètres spécifiques.
Pour le domaine que je connais, les cartes bancaires, les critères pour activer certaines fonctionnalités de sécurité sont :
- montant cumulé des transactions sans authentification en ligne de la carte
- montant cumulé des transactions sans-contact
- monnaie de la transaction vs monnaie de la carte (en gros, est-ce qu'on paye depuis l'étranger)
- d'autres plus subtils.
En fonction d'au moins ces critères, la carte utilisée pour le paiement va soit accepter le paiement tel quel et générer cryptogramme que le TPE doit archiver et faire parvenir à la banque tous les soirs, soit demander une authentification en ligne plus complexe, soit réclamer le PIN, soit les deux, soit simplement refuser la transaction en considérant que les bonnes conditions ne sont pas réunies (genre, interdiction de dépense à l'étranger).
Sachant que maintenant, la fraude en ligne peut être industrialisée, les petits montants sont adaptés.
Un autre exemple, c'est les péages sur autoroute. En temps de faible affluence, ils vérifient les transactions en ligne ou en tout cas, ils activent une partie des sécurité de la carte. En période de forte affluence, avant l'arrivée du sans-contact, ils se contentaient de lire la piste magnétique pour ne pas perdre de temps. Le sans-contact a typiquement boosté la sécurité de ce scenario d'usage. Et baissé la sécurité d'autres scenarii où tu tapais ton PIN auparavant.