CSC - qu'est-ce que c'est ? À propos de la technologie, de ses fonctions et caractéristiques

2024 Auteur: Howard Calhoun | [email protected]. Dernière modifié: 2023-12-17 10:27

Payer des biens ou des services via Internet peut entraîner des difficultés pour les utilisateurs inexpérimentés. Par exemple, pour effectuer un achat, le site vous invite généralement à saisir les détails de la carte de paiement pour les paiements sans numéraire: numéro de carte, date d'expiration, prénom et nom du titulaire et code CVV/CVC. Si les premiers points sont plus ou moins clairs, la dernière exigence peut en dérouter beaucoup et prendre beaucoup de temps à comprendre. Cet article vous aidera à comprendre et à répondre à des questions telles que CSC - quel est ce code, où le trouver et à quoi sert-il.

À propos de la technologie

CSC (Card Security Code - "code de sécurité de la carte") - un mécanisme de protection conçu pour prévenir la fraude avec les cartes bancaires. Il existe également d'autres désignations associées à ce terme: CVD, CVV, CVC, SPC et V-code. CSC est destiné à être utilisé dans les cas où la carte ne peut pas être physiquement présentée - pour les paiements en ligne. La technologie doit son apparition àlumière à l'employé britannique d'Equifax Michael Stone. Initialement, le code était une combinaison de 11 lettres et chiffres. Par la suite, les agences privées et les banques ont compris que CSC était le signe avant-coureur d'une nouvelle ère de sécurité de l'information. Le code a été finalisé et a reçu sa forme moderne, composée de 3 chiffres. Dans le sillage de l'essor du commerce électronique à la fin du 20e siècle, les principaux systèmes de paiement tels que MasterCard, Visa et American Express ont rapidement adopté cette technologie.

Il existe plusieurs types de code secret:

• CVC1 ou CVV1 - une combinaison cryptée de caractères, dont l'emplacement physique est une bande magnétique au dos de la carte. Utilisé pour les paiements par carte hors ligne. Le code est reconnu par l'appareil de paiement lors du processus d'achat et envoyé pour vérification au serveur d'authentification de la banque émettrice. Cette protection est contournée en créant une carte de paiement en double et en copiant la bande magnétique.
• CVV2 ou CVC2. Conçu pour protéger l'acheteur lors des transactions sur Internet. C'est la méthode de vérification la plus avancée. Dans certains pays européens, les systèmes de paiement exigent que les commerçants et les entreprises vérifient ce code lorsqu'ils effectuent des transactions en ligne.
• iCVV ou CVV dynamique. Utilisé pour le paiement sans contact.

CSC - qu'est-ce que c'est ? Mastercard et Visa

En termes d'utilisation et d'emplacement, le code de sécurité de la carte est complètement le même pour les deux systèmes de paiement, à l'exception du nom. CSC sur la carte Visas'appelle CVV2, pour les cartes Mastercard - CVC2. La combinaison numérique du code se trouve au verso de la carte, dans la zone de la bande de signature du titulaire ou à proximité de celle-ci. Cet emplacement rend difficile pour les attaquants d'espionner les numéros pour voler de l'argent dans des lieux publics ou à partir d'une vidéo. Les méthodes d'application du code CSC et du numéro de carte diffèrent: pour une combinaison de sécurité, un sceau d'identification ou un gaufrage est utilisé. Cet élément de sécurité peut ne pas être physiquement présent sur la carte, mais il peut être généré lors de son émission. Cette option est inhérente aux cartes virtuelles ou plastiques de la classe initiale: Visa Electron, Mastercard Maestro et autres.

Code de sécurité dans d'autres systèmes de paiement

Il existe d'autres variantes de CVC:

• CID (Card Identification Number - "numéro d'identification de la carte") - sur les instruments de paiement American Express. Il a une caractéristique clé: un code de sécurité à 4 chiffres est situé au-dessus du numéro de carte sur le côté droit de la face avant.
• CVD (Card Verification Data - "données de vérification de carte") - un élément de sécurité des cartes de crédit American Discover.
• CVE (code de vérification Elo). Combinaison de sécurité des numéros sur les cartes de débit et de crédit brésiliennes.
• CVN2 (Card Validation Number - "numéro de confirmation de la carte") - le code de sécurité sur les cartes du système de paiement chinois Union Pay.

Quelle est la fiabilité de ce mécanisme ?

Les banques émettrices interdisent le commerce et le serviceentreprises de stocker dans la base de données les mots de passe CSC obtenus lors de la transaction. Cela augmente la sécurité des porteurs de cartes de paiement: en cas de piratage et de vol de données sur les serveurs de l'entreprise, les données compromises de la carte client sont pratiquement inutiles sans code de sécurité. Malgré cela, en faveur du fait que le SCC est loin d'être le mécanisme le plus sûr, il existe les preuves suivantes:

• Impuissance face aux liens de phishing. Le code de sécurité n'est pas en mesure d'empêcher le vol de données lorsqu'un utilisateur est amené à se rendre sur une fausse page de paiement créée par des escrocs. Typiquement, l'interface d'une telle ressource ne se distingue pas ou se rapproche le plus possible du contenu d'une page ordinaire, ce qui induit l'acheteur en erreur et l'incite à saisir les données de carte de paiement, y compris CSC. Ainsi, les attaquants ont un accès complet aux informations de la carte, permettant des transactions illégales.
• Entrée facultative. Certaines places de marché en ligne n'exigent pas que les acheteurs fournissent le CSC. Cela fait le jeu des attaquants qui ne connaissent que les données compromises du recto de la carte: numéro et date d'expiration.
• Piratage. Il y a des cas où les escrocs ont deviné un court CSC à trois chiffres grâce à des astuces de pirates et à des attaques DDoS organisées.

Quelles sont les autres technologies de sécurité des cartes ?

Comme on peut le voir dans le paragraphe précédent, le mécanisme CVC présente des failles qui menacent la sécurité des titulaires de carte. Les systèmes de paiement ont pris en compte le fait que CSC est une technologie qui ade graves lacunes et introduit un système de protection supplémentaire pour les cartes de paiement appelé 3D-Secure. Ce mécanisme ajoute une étape dans le processus de transaction en ligne - l'authentification de l'utilisateur sur le serveur de la banque émettrice. Cela peut inclure la saisie d'un code permanent, une combinaison de chiffres générée dynamiquement à partir d'un message SMS ou l'utilisation d'un mot de passe à partir d'une liste de clés.