Visa retente sa chance avec sa carte bancaire à clavier et écran
Visa propose en Europe une carte bancaire à clavier générant un code confidentiel. Elle doit servir aux particuliers à s'identifier de manière sécurisée sur internet. Une solution déjà proposée il y a plusieurs années, mais plutôt coûteuse et fragile.
La carte bancaire à clavier proposée par Visa est baptisée CodeSure Visa. C'est une carte bancaire classique qui embarque une puce bloquée par un code secret (code PIN ou numéro d'identification personnel). Celle-ci se déverrouille classiquement avec un code à 4 chiffres, lors d'un paiement chez un commerçant ou pour retirer de l'argent à un distributeur de billets.
La situation est différente pour les transactions en ligne sensibles, car les sites web n'utilisent pas le système de code PIN. Les commerçants en ligne préfèrent se baser sur les trois chiffres gravés derrière la carte bleue.
Mais un hacker qui a obtenu le numéro de la carte, la date d'expiration et le code de sécurité à trois chiffres peut être en mesure de faire un achat en ligne sans posséder la carte elle-même ni son code secret. Visa et Mastercard ont demandé aux sites marchands des mesures complémentaires, comme le système 3DS. Ce dernier implique que l'acheteur entre un mot de passe ou des parties d'un mot de passe dans un navigateur qui s'affiche lors de la validation de la transaction. Mais les groupements bancaires considèrent que les mots de passe sont statiques et donc vulnérables.
Une carte à puce et à clavier
L'afficheur alphanumérique et le clavier sur la carte Visa CodeSure est une étape supplémentaire dans la protection des achats en ligne. Concrètement, au cours d'une transaction, le client devra cliquer sur « Vérifier par Visa » et entrer son code PIN sur le clavier de sa carte. 
Cliquer sur l'image pour l'agrandir
Si le code est correct, la carte génère un code d'accès électronique unique qui peut être entré dans le cadre « Vérifié par Visa ». Ce code d'authentification unique n'est valable que pour une période de temps très court. S'il devait être intercepté par un pirate, ce dernier devrait l'utiliser très rapidement avant expiration.
D'autres services sont envisagés avec cette technologie, comme les services bancaires en ligne, selon Visa. La banque donnerait un nombre, appelé un code numérique dynamique, que le client entrerait sur la carte. Si ce nombre est authentifié, il est confirmé que la demande provient bien de la banque du client.
Le client, après saisie de son code PIN, générera un code d'accès unique pour la transaction. Ce processus s'appelle une authentification mutuelle. Les mêmes étapes pourraient être utilisées lors d'une transaction téléphonique en utilisant une carte CodeSure. A noter que sur celle-ci, l'autonomie de la puce est estimée à trois ans, ce qui est beaucoup au regard de la taille de la carte.
En France, des banques ont envisagé d'utiliser cette carte pour une clientèle haut de gamme sans que pour autant les services aient été lancés.
Photo : la carte bancaire à clavier et à écran proposée par Visa.
