Cartes Bancaires et PAN / BIN / IIN / Track 2

La semaine dernière, une grosse panne a bloqué un certain nombre de paiements avec les cartes VISA en Europe mais a finalement peu impacté la France. La raison est qu’en France, nous avons notre propre réseau interbancaire « CB » (groupement de BNP, CCF, Crédit du Nord, CIC, Crédit Lyonnais et Société Générale). C’est un réseau de paiement racheté par VISA suite à une première association en 1972.
https://www.lci.fr/societe/bug-des-cartes-visa-en-europe-ce-que-l-on-sait-et-pourquoi-la-france-a-ete-un-peu-epargnee-2089175.html

Etonnement, il est difficile de trouver beaucoup d’information sur les cartes bancaires dans un même article et bien souvent, les explications ne sont pas très claires ou peu détaillées. Je vais donc essayer d’en rassembler un maximum ici.

Carte Bancaire

Abusivement nommée Carte Bleue en France (confusion avec le nom de l’émetteur de carte qui a depuis disparu), les Cartes Bancaires ou CB sont des petits bouts de plastique rectangulaire contenant à minima :

  • Un support en plastique sur lequel est imprimé plusieurs informations ;
  • Une piste magnétique contenant ces mêmes informations et quelques autres détaillées plus bas.
    Et dans le meilleur des cas, ces cartes contiennent une puce, mini-ordinateur avec son propre microprocessus, sa mémoire tampon et une mémoire protégée contenant des secrets.

Voici un schéma de la puce :
fraude-CB-1

Il y’a encore quelques années, ce mini-ordinateur n’était alimenté que lorsque les contacts « touchaient » ceux d’un distributeur (DAB/GAB/ATM) ou d’un terminal de paiement (TPE), mais depuis l’avènement du sans contact (NFC pour Near Field Communication), il est possible de l’alimenter… sans contact, merci Cap’tain Obvious 😆.
Pour l’histoire, le paiement sans contact est fortement poussé par l’Amérique du nord (USA+Canada) suite à une étude montrant qu’avec le NFC, les clients consommaient 15 à 20% de plus. C’est compréhensible, car là-bas, ils n’utilisent pas (ou très peu) la puce et un paiement par CB reste long, car il faut signer une facturette.

Des cartes encore plus évoluées disposent d’un cryptogramme visuel dynamique, changeant au cours d’un laps de temps variant suivant les banques :
fraude-CB-2

Les émetteurs de carte

Il y’a 3 principaux émetteurs de carte :

  • VISA
  • Mastercard
  • American Express

Chacun dispose de son propre réseau de paiement, ce qui fait qu’avant l’avènement des paiements par Internet, sans groupement d'intérêt économique (GIE CB chez nous), dans certains pays, les commerçants acceptent uniquement VISA ou Mastercard.
En France, le réseau CB permet d’avoir un réseau intermédiaire simplifiant la compatibilité mais c’est en passe de changer. Lors des prochains paiements, vous devrez peut-être choisir par quel réseau vous souhaitez payer. Plus de détails dans cet article : https://www.cbanque.com/actu/58646/paiement-par-carte-bancaire-vers-la-fin-de-exception-francaise

Informations contenues dans une CB

Dans et sur une CB, vous disposez de nombreuses informations. La liste suivante présente une partie de ces informations, je n’ai repris que les éléments qui m’intéressent 😊.
Devant :

  • La puce ;
  • Nom du porteur ;
  • La date d’expiration ;
  • Le fameux numéro de la carte ou de son vrai nom « Primary Account Number / PAN » ;
  • Parfois vous avez aussi un hologramme qui est censé empêcher la copie.

Derrière :

  • La piste magnétique ;
  • Le PAN à l’envers du lisible par l’empreinte de l’impression 😌 ;
  • Le cryptogramme visuel à trois chiffres, qui porte plusieurs noms : « Card Validation Code / CVC » chez Mastercard, « Card Verification Value / CVV » chez Visa ...
  • Une zone pour la signature, afin de faciliter la vie des délinquants américains qui voleraient une carte et auraient à signer une facturette pour valider un achat 😜 ;
  • Les conditions générales vous expliquant que vous n’êtes pas le propriétaire de votre carte !

Contenu de la piste magnétique

Le contenu de la piste magnétique se nomme « Track 2 » et contient 37 caractères numériques codés sur 5 bits pour gérer la parité et donc la correction d’erreur :
fraude-CB-3

Les données discrétionnaires sont laissées à la discrétion de l’émetteur de carte 😉.

Chez VISA, en général, des données contiennent :

  • Date d’expiration
  • Code de service qui décrit l’usage de la carte (retrait, uniquement achat, fonctionnel à l’international…)

Chez Mastercard, il y’a plus d’informations :

  • Date d’expiration
  • Code de service
  • Données discrétionnaires contenant parfois le CVV, un code, le PIN chiffré…

Le fameux numéro de CB ou Primary Account Number / PAN

Le PAN, accompagné de la date d’expiration, c’est un peu le sésame car il permet d’effectuer des paiements en lignes, parfois sans nécessiter le cryptogramme. Il se compose de deux principales parties :

  • Le code de la banque, anciennement appelé « Bank Identification Number / BIN » et à présent nommé « Issuer identification number / IIN », lui-même composé de deux parties:
    - Le code de l’émetteur de carte (Visa, Mastercard, Americain Express, Discover...),
    - Le code de la banque.
  • Le numéro de la carte.

Le PAN a une taille allant de 13 à 19 chiffres, mais en France, il a en général une taille de 16 chiffres groupés 4 par 4.
En prenant le cas de 20 minutes, la découpe donne :
fraude-CB-4

Il est possible de consulter l’IIN sur BinList : https://binlist.net/json/497887

Comme vous le savez très certainement, toutes les valeurs possibles pour un numéro de carte ne sont pas forcément valides et pour cela, ils doivent vérifier la formule de Luhn, qui consiste à faire la somme de chaque chiffre en multipliant par 2 ceux à des rangs impairs (avec la particularité que si la somme dépasse 9, on somme les 2 chiffres, donc 6x2-> 12 -> 1+2 -> 3). Le résultat doit être un multiple de 10.
Voici ce que cela donne pour notre ami de 20 Minutes :

  1. 4 9 7 8 8 7 3 8 6 3 6 9 8 0 0 7
  2. 8 9 5 8 7 7 6 8 3 3 3 9 7 0 0 7 (ici on multiplie par 2 les chiffres aux rangs impairs)
  3. 8+9+5+8+7+7+6+8+3+3+3+9+7+0+0+7=90 le PAN est donc bien valide !

Fraude

Nous avons déjà abordé de nombreuses fois le sujet de la fraude à la carte bancaire, avec en particulier les copies de pistes magnétiques et les paiements sans contact suite à un vol, jusqu’à atteindre le plafond de blocage, requérant la saisie du code PIN.

Dans un prochain article, un jour, j’expliquerai les différents modes de paiements et signatures des transactions 😉.