LA NORME EMVLA NORME EMVJean-Philippe GiolaJean-Philippe Giola

Jérome RobbianoJérome Robbiano

Laurent RudaultLaurent Rudault

Pourquoi une nouvelle norme Pourquoi une nouvelle norme ??

1

4 5

2

6

7 8 9

0

3

# *

Correction

Annulation

Validation

CODE PIN OKCARTE OK

•Authentification du possesseur de la carte

•Authentification de la validité de la carte

La carte bancaire en datesLa carte bancaire en dates

• • 1967 : premières cartes de paiements1967 : premières cartes de paiements• • 1971 : premier DAB (distributeur automatique de billets)1971 : premier DAB (distributeur automatique de billets)• • 1980 : premiers TPE (terminaux de paiements 1980 : premiers TPE (terminaux de paiements

électroniques)électroniques)• • 1984 : création du GIE CB1984 : création du GIE CB• • 1992 : généralisation de la puce sur les cartes (320 bits)1992 : généralisation de la puce sur les cartes (320 bits)• • 1999 : affaire Humpich (yescard et clonage)1999 : affaire Humpich (yescard et clonage)• • 2001 : norme CB 5.1 pour les terminaux, adaptés à 2001 : norme CB 5.1 pour les terminaux, adaptés à

l'euro et l'euro et pouvant passer à EMV pouvant passer à EMV• • 2001 : amélioration du système de sécurité (768 bits)2001 : amélioration du système de sécurité (768 bits)• • 2002 : adoption d'EMV2002 : adoption d'EMV• • Fin 2002 : premières cartes mixtes B0'/EMV (et Moneo)Fin 2002 : premières cartes mixtes B0'/EMV (et Moneo)• • 2003 : fin de la mise à jour des terminaux2003 : fin de la mise à jour des terminaux• • 2004 : premières cartes pures EMV (et Moneo)2004 : premières cartes pures EMV (et Moneo)

CHIFFREMENT RSACHIFFREMENT RSA

MessageClé publique

(nr,er)de Robby

Messagechiffré

Chiffrementc = mer (nr)

Déchiffrementm = cdr (nr)

MessageClé privée

(dr)de Robby

1001010110110

A l’a

nnée p

roch

ain

e

1001010110110

A l’a

nnée p

roch

ain

e

SIGNATURE RSASIGNATURE RSA

Message

Signature(m , mdj(nj))

A l’a

nnée p

roch

ain

e

Messagesigné

AuthentificationSi mdej(nj)=m

OK

1001010110110

A l’année prochaine

1001010110110

A l’année prochaine

Clé privée(dj)

de Jean-Phi

Clé publique(nj,ej)

de Jean-PhiMessage

A l’a

nnée p

roch

ain

e

CHiFFREMENT Vs SiGNATURECHiFFREMENT Vs SiGNATURE

ChiffrementChiffrement

Emetteur : chiffre Emetteur : chiffre avec la clé publique avec la clé publique du destinatairedu destinataire

Destinataire : Destinataire : déchiffre avec sa clé déchiffre avec sa clé privéeprivée

SignatureSignature

Emetteur : signe avec Emetteur : signe avec sa clé privéesa clé privée

Destinataire : vérifie Destinataire : vérifie avec la clé publique avec la clé publique de l’émetteur.de l’émetteur.

LA SDA (Static Data LA SDA (Static Data Authentication)Authentication)

►La SDA permet d’authentifier les La SDA permet d’authentifier les données statiques résidantes sur la données statiques résidantes sur la carte.carte.

►Pour ce, elle utilise l’algorithme de Pour ce, elle utilise l’algorithme de cryptographie RSA vu précédemment.cryptographie RSA vu précédemment.

Clé privéeSf

Clé publiquePf

Clé privéeSemv

Clé publique Pemv

Pf

signée

•Pf signée par Semv

•Exposant de Pf

•Données statiques signées par Sf

•Index de clé publique d’EMV

•Registre de clé

La SDA se déroule en 3 phases :

1. Détermination de la clé publique EMV2. Récupération de la clé publique du fabricant3. Vérification des données statiques signées

LA SDA (Static Data LA SDA (Static Data Authentication) Authentication)

Index de clé

Pf signée par Semv

+exposant efDonnées signées par Sf

Pemv

Pf

Données

La faiblesse de la SDALa faiblesse de la SDA•Pf signée

•Exposant de Pf

•Données statiques signées

•Index de clé publique d’EMV

La SDA ne supprime pas les problèmes de La SDA ne supprime pas les problèmes de clonage.clonage.

FRAUDE … FRAUDE …

Clé privéede la carte

Sc

Clé publiquede la carte

Pc

Clé privée

Sf

Clé publique

Pf

Pc

signée

Clé privée

Semv

Clé publique

Pemv

Pf

signée

EMV AcquéreurFabricant

Sc

LA DDA (Dynamic Data LA DDA (Dynamic Data Authentication)Authentication)

1. Calcule d’un nombre aléatoire

2. Création de données dynamiques

3. Signature des données dynamique avec Sc

DonnéesNombre aléatoire

+Données dynamiquesSigne(Sc)[ ]Données dynamique signées

INCONVENIENT DE LA DDAINCONVENIENT DE LA DDA

►Temps de transaction trop élevéTemps de transaction trop élevé

Les émetteurs se standardisent donc sur la SDALes émetteurs se standardisent donc sur la SDA

AvantagesAvantages

► Impossibilité de cloner une carteImpossibilité de cloner une carte

►Amélioration du système de la carte Amélioration du système de la carte bancaire dans les pays étrangers.bancaire dans les pays étrangers.

►Carte multi applicationsCarte multi applications

ON VEUT NOTRE

MAITRISE!

YES YES YES *

*L’ANNEE PROCHAINE…