Le numéro de carte de crédit, le CVV et la date d'expiration sont-ils considérés comme un secret? Si c'est le cas, la carte de crédit physique est accessoire et les informations sur la carte sont quelque chose "vous savez". OTOH, si vous ne pensez pas que ce soit un secret, alors la carte de crédit est un "ce que vous avez".
De la description 3D Secure sur Wikipedia https://en.wikipedia.org/wiki/3-D_Secure
La dernière variante de 3D Secure, qui incorpore des mots de passe à usage unique, est une forme d'authentification forte basée sur un logiciel. Cependant, la variante héritée avec mot de passe statique ne répond pas aux exigences de la Banque centrale européenne (BCE) de janvier 2013.
Si vous pensez qu'une carte de crédit est "ce que vous avez", un mot de passe statique (ce que vous savez) est un meilleur deuxième facteur. Si vous pensez que c'est un "Ce que vous savez", alors un OTP est un meilleur 2ème facteur.
Je deviens un peu confus à ce sujet. Je pense également qu'il y aura également des considérations similaires pour les cartes de débit.
Une exigence pour l'authentification basée sur "ce que vous avez" est que la propriété puisse être clairement attribuée à une seule entité spécifique. Cela signifie spécifiquement que ces informations/appareils ne peuvent pas être (facilement) clonés et que l'accès aux informations nécessite l'accès à l'appareil d'origine.
Mais le numéro de crédit, le CVV et la date d'expiration sont des informations statiques qui peuvent être facilement clonées. Une fois que vous avez entré ces informations quelque part, elles ne sont plus ce que vous seul avez. Ainsi, ils ne peuvent pas être utilisés comme authentification "ce que (seulement) vous avez". Les mots de passe à usage unique (OTP) sont différents. Comme son nom l'indique, ce n'est qu'une fois et ne peut pas être réutilisé, donc l'accès à un OTP spécifique déjà utilisé OTP n'est d'aucune utilité pour l'attaquant. Au lieu de cela, il faut avoir accès à l'appareil qui génère l'OTP, c'est-à-dire "ce que (seulement) vous avez".
Dans le cas de la carte de crédit: lorsque vous payez ou recevez de l'argent en utilisant la fonctionnalité Chip and Pin ( EMV ) vous utilisez la partie non clonable de la carte, c'est-à-dire la partie "ce que vous seul avez". Si à la place vous n'utilisez que l'ancienne bande magnétique ou les informations inscrites sur la carte (numéro, CVV ...) vous traitez avec des informations facilement clonables. Cela signifie que ces informations sont "ce que vous avez et que d'autres pourraient avoir aussi" et ne peuvent donc pas être utilisées pour prouver la propriété de la carte.
Le numéro inscrit au dos est en fait le CV2. Il est conçu pour être "quelque chose que vous avez" car il est physiquement imprimé sur la carte mais pas codé sur la bande magnétique ou dans la puce. Il est également interdit par les règles des processeurs de cartes pour tout commerçant de stocker la valeur CV2.
Bien sûr, en réalité, cela ne prouve pas nécessairement un accès physique à la carte car le numéro peut être copié, écrit ou stocké électroniquement, même si cela est contraire aux règles; et quiconque tente de frauder ne va par définition pas respecter les règles.
En revanche, le PAN et la date d'expiration sont "quelque chose que vous savez" et, en fait, ces valeurs peuvent dans certains cas être transmises par l'émetteur de la carte aux parties intéressées.
Maintenant, pour avoir 2 facteurs, vous êtes censé à la fois connaître les secrets ET prouver votre récent accès à l'objet physique. La partie "récente" peut être implémentée de nombreuses manières, par exemple par le jeton ayant une horloge interne qui change d'indication toutes les quelques secondes, ou via un mécanisme de défi-réponse.
En fin de compte, on peut dire que même l'objet physique n'est qu'une information: les clés secrètes codées en dur dans des puces. Mais en termes de sécurité, la différence entre l'information et l'objet est que l'information peut être facilement copiée, contrairement à un objet. Fait amusant: les clés de votre maison sont plus d'informations que des objets, car il est assez facile d'en faire une copie.
Si vous souhaitez effectuer uniquement des transactions MOTO, la carte n'a même pas besoin d'exister physiquement. Il existe des exemples de banques émettant des "cartes virtuelles" pour une utilisation sur Internet uniquement, et ces "cartes" ne sont qu'un tas de lettres imprimées sur un papier: numéro de carte, date d'expiration, nom du titulaire de la carte, etc. Parce qu'elles ne sont pas censées être utilisé dans le lecteur de cartes, il n'y a pas besoin ni utiliser de bande magnétique, de puce ou de lettres en relief.
Les détaillants ont des relations différentes avec le fournisseur de carte pour les transactions "carte non présente". Leur responsabilité et leurs coûts de transaction sont généralement plus élevés. En effet, les transactions par carte non présente sont (évidemment) beaucoup plus sujettes à la fraude que la carte présente, en particulier avec Chip et PIN.
C'est pourquoi les détaillants en ligne ne livrent souvent qu'à votre adresse enregistrée lors de la première commande; ou sera limité en montant; ou être limité aux transactions où ils vous rencontreront à un moment donné (par exemple, réservations de billets).
Fondamentalement, parce que c'est un secret facile à obtenir, les détaillants doivent choisir de prendre le risque et d'atténuer ce risque de la manière qui convient à leur environnement commercial.