Dans une transaction «carte non présente», le numéro de carte de crédit, la date d'expiration et le CVV sont-ils considérés comme «ce que vous avez» ou «ce que vous savez»?

Une exigence pour l'authentification basée sur "ce que vous avez" est que la propriété puisse être clairement attribuée à une seule entité spécifique. Cela signifie spécifiquement que ces informations/appareils ne peuvent pas être (facilement) clonés et que l'accès aux informations nécessite l'accès à l'appareil d'origine.

Mais le numéro de crédit, le CVV et la date d'expiration sont des informations statiques qui peuvent être facilement clonées. Une fois que vous avez entré ces informations quelque part, elles ne sont plus ce que vous seul avez. Ainsi, ils ne peuvent pas être utilisés comme authentification "ce que (seulement) vous avez". Les mots de passe à usage unique (OTP) sont différents. Comme son nom l'indique, ce n'est qu'une fois et ne peut pas être réutilisé, donc l'accès à un OTP spécifique déjà utilisé OTP n'est d'aucune utilité pour l'attaquant. Au lieu de cela, il faut avoir accès à l'appareil qui génère l'OTP, c'est-à-dire "ce que (seulement) vous avez".

Dans le cas de la carte de crédit: lorsque vous payez ou recevez de l'argent en utilisant la fonctionnalité Chip and Pin ( EMV ) vous utilisez la partie non clonable de la carte, c'est-à-dire la partie "ce que vous seul avez". Si à la place vous n'utilisez que l'ancienne bande magnétique ou les informations inscrites sur la carte (numéro, CVV ...) vous traitez avec des informations facilement clonables. Cela signifie que ces informations sont "ce que vous avez et que d'autres pourraient avoir aussi" et ne peuvent donc pas être utilisées pour prouver la propriété de la carte.

Le numéro inscrit au dos est en fait le CV2. Il est conçu pour être "quelque chose que vous avez" car il est physiquement imprimé sur la carte mais pas codé sur la bande magnétique ou dans la puce. Il est également interdit par les règles des processeurs de cartes pour tout commerçant de stocker la valeur CV2.

Bien sûr, en réalité, cela ne prouve pas nécessairement un accès physique à la carte car le numéro peut être copié, écrit ou stocké électroniquement, même si cela est contraire aux règles; et quiconque tente de frauder ne va par définition pas respecter les règles.

En revanche, le PAN et la date d'expiration sont "quelque chose que vous savez" et, en fait, ces valeurs peuvent dans certains cas être transmises par l'émetteur de la carte aux parties intéressées.

1. Toutes les informations sont censées être plus ou moins secrètes, y compris le numéro de carte, votre code PIN, etc. Même le nom du titulaire de la carte.
2. Aucune information statique (c'est-à-dire utilisable plus d'une fois) ne peut être considérée comme "ce que vous avez", elles sont toutes "ce que vous savez".
3. "ce que vous avez" ne peut être que quelque chose de physique qui n'est pas facile à reproduire. La preuve d'avoir ce que vous avez est généralement générée une fois par mot de passe en utilisant un tel objet physique. Exemples:
   • une indication d'un token matériel (preuve d'avoir le token)
   • une communication avec élément sécurisé, puce (preuve d'avoir une carte à puce dans un lecteur)
   • un mot de passe unique généré côté serveur et délivré via canal latéral (preuve d'accès à ce canal). Dans 3d-secure l'objet est votre téléphone portable (votre carte SIM, pour être précis) auquel il vous donne accès au canal (votre numéro de téléphone). Le canal est raisonnablement sécurisé et son accès est raisonnablement limité, donc on peut supposer que vous avez accès au canal pour lire le mot de passe à usage unique est une preuve suffisante que vous avez physiquement la carte SIM.

Maintenant, pour avoir 2 facteurs, vous êtes censé à la fois connaître les secrets ET prouver votre récent accès à l'objet physique. La partie "récente" peut être implémentée de nombreuses manières, par exemple par le jeton ayant une horloge interne qui change d'indication toutes les quelques secondes, ou via un mécanisme de défi-réponse.

En fin de compte, on peut dire que même l'objet physique n'est qu'une information: les clés secrètes codées en dur dans des puces. Mais en termes de sécurité, la différence entre l'information et l'objet est que l'information peut être facilement copiée, contrairement à un objet. Fait amusant: les clés de votre maison sont plus d'informations que des objets, car il est assez facile d'en faire une copie.

Si vous souhaitez effectuer uniquement des transactions MOTO, la carte n'a même pas besoin d'exister physiquement. Il existe des exemples de banques émettant des "cartes virtuelles" pour une utilisation sur Internet uniquement, et ces "cartes" ne sont qu'un tas de lettres imprimées sur un papier: numéro de carte, date d'expiration, nom du titulaire de la carte, etc. Parce qu'elles ne sont pas censées être utilisé dans le lecteur de cartes, il n'y a pas besoin ni utiliser de bande magnétique, de puce ou de lettres en relief.

Les détaillants ont des relations différentes avec le fournisseur de carte pour les transactions "carte non présente". Leur responsabilité et leurs coûts de transaction sont généralement plus élevés. En effet, les transactions par carte non présente sont (évidemment) beaucoup plus sujettes à la fraude que la carte présente, en particulier avec Chip et PIN.

C'est pourquoi les détaillants en ligne ne livrent souvent qu'à votre adresse enregistrée lors de la première commande; ou sera limité en montant; ou être limité aux transactions où ils vous rencontreront à un moment donné (par exemple, réservations de billets).

Fondamentalement, parce que c'est un secret facile à obtenir, les détaillants doivent choisir de prendre le risque et d'atténuer ce risque de la manière qui convient à leur environnement commercial.