avenir des cartes a puce

La question :

Pour "ouvrir" la conversation, j'ai l'impression que l'on retrouve des
cartes a puces un peu partout maintenant.

Que pensez-vous de cela?

Poser votre question sur le forum Matériel

Les 6 réponses :

hydromiel a écrit :


Pour "ouvrir" la conversation, j'ai l'impression que l'on retrouve des
cartes a puces un peu partout maintenant.

Que pensez-vous de cela?


et toi que penses-tu de cela ?
c'est invasif ou sécurisant ?

Sylvain.

J'ai posé la question en premier!!

J'adore la technnologie et c'en est une tres interessant. Cependant
l'usage qui en est fait me parait invasif.

exemple: ma carte etudiant est une carte moneo qui permet ,de payer le
RU et d'acceder a certain batiments.
Seulement su rle tiket de caisse du RU apparait mes nom et prenoms, ce
qui me dérange.

D'ou te viens l'aspect sécurisé??

Sylvain SF a écrit :


hydromiel a écrit :


Pour "ouvrir" la conversation, j'ai l'impression que l'on retrouve des
cartes a puces un peu partout maintenant.

Que pensez-vous de cela?


et toi que penses-tu de cela ?
c'est invasif ou sécurisant ?

Sylvain.

hydromiel a écrit :


Seulement su rle tiket de caisse du RU apparait mes nom et prenoms, ce
qui me dérange.

D'ou te viens l'aspect sécurisé??


Ben justement, les noms et prénoms, c'est sécurisant pour
l'entreprise qui gère la caisse

En fait j'ai un peu de mal à trouver un exemple de carte
à puce qui apporte de la sécurité *au citoyen lambda*.

Par exemple dans le GSM, la carte SIM a été conçue pour
que le réseau puisse empêcher les clients de frauder,
mais pas pour que le client puisse s'assurer qu'il est
connecté au bon réseau (d'où une faille, qui a parait-il
été corrigée dans la norme 3G).

Idem pour les cartes bancaires: le terminal authentifie
la carte (et encore, pas très bien), mais à ma connaissance
la carte ne contrôle pas que le terminal est "de confiance".
Je ne sais pas si c'est corrigé par EMV.

Commentaires et autres exemples bienvenus.
Monéo, carte Vitale, passeport électronique, etc.

AC

A. Caspis a écrit :



Ben justement, les noms et prénoms, c'est sécurisant pour
l'entreprise qui gère la caisse

En fait j'ai un peu de mal à trouver un exemple de carte
à puce qui apporte de la sécurité *au citoyen lambda*.

Par exemple dans le GSM, la carte SIM a été conçue pour
que le réseau puisse empêcher les clients de frauder,
mais pas pour que le client puisse s'assurer qu'il est
connecté au bon réseau (d'où une faille, qui a parait-il
été corrigée dans la norme 3G).

Idem pour les cartes bancaires: le terminal authentifie
la carte (et encore, pas très bien), mais à ma connaissance
la carte ne contrôle pas que le terminal est "de confiance".
Je ne sais pas si c'est corrigé par EMV.

Commentaires et autres exemples bienvenus.
Monéo, carte Vitale, passeport électronique, etc.

AC


Qu'il la garde (l'identité) me gene moins , meme si cela me gene, mais
le fait est qu'il te donne un ticket de caisse avec ton nom et prenom
dessus que la plupart des gens jettent dans la poubelle à coté de la
caisse. Si je recupère les poubelle d'une journée je vois ce que
consomme plus de la moitié des gens de la cafeteria, c'est ça que je
trouve gênant.


OUI je suis parano mais j'ai peu etre raison...

hydromiel a écrit :


A. Caspis a écrit :


Ben justement, les noms et prénoms, c'est sécurisant pour
l'entreprise qui gère la caisse


je disais "sécurisant" pour l'opération - elle peut être sécurisée
par l'emploi d'une carte à puce; la sécurisation est rarement (ou
jamais) pour le porteur.


En fait j'ai un peu de mal à trouver un exemple de carte
à puce qui apporte de la sécurité *au citoyen lambda*.


parler de sa "sécurité" est bcp plus vague ou très emprunté, par
exemple on présentera un titre électronique d'identité utilisé pour
des contrôles accrus aux aéroports comme sécurisant pour le voyageur
car cela filtrera[it] les terroristes, cela peut en effet avoir quelque
rôle mais le terme "sécurité" est surtout utilisé pour faire accepter
ce dispositif par les utilisateurs.

si on dépasse la "sécurité physique" de l'individu, les cartes jouent
un rôle dans la sécurisation des transactions, pour une opération
bancaire elle sera plus dure ou impossible sans cette carte, pour
un dépot de preuve (une signature électronique) elle garantira
la non usurpation du signataire, finalement cela protègera les
intérêts du porteur.


Par exemple dans le GSM, la carte SIM a été conçue pour
que le réseau puisse empêcher les clients de frauder,
mais pas pour que le client puisse s'assurer qu'il est
connecté au bon réseau (d'où une faille, qui a parait-il
été corrigée dans la norme 3G).


je ne suis pas sur que cela ait été perçue comme une "faille".
même en 3G le roaming (reroutage) imposé à l'utilisateur sans
choix ni connaissance exacte de celui-ci reste courant.

la plupart des applications cartes protègent avant tout les
intérêts du fournisseur de cette carte, pas le porteur; pour
ce dernier le système apporte principalement de la commodité
(qui peut dépasser le simple "petit confort" pour rendre
effectivement une action possible).


Idem pour les cartes bancaires: le terminal authentifie
la carte (et encore, pas très bien), mais à ma connaissance
la carte ne contrôle pas que le terminal est "de confiance".
Je ne sais pas si c'est corrigé par EMV.


le terminal (aux mains du commercants) est très passif, il n'est pas
authentifié par la carte et authentifie (lui-même) très peu ou pas
du tout la carte; si la carte doit décider du sort de l'opération
(acceptation ou refus de délivrer une autorisation de paiement)
toute seule (transaction dite hors-ligne) le terminal n'intervient
pas et ne fait que stocker la dite autorisation si elle est fournie.

si le transaction est "en ligne", parce que la carte refuse de décider
toute seule et parce que le terminal peut se connecter au réseau inter-
bancaire (la plupart le peuvent) le terminal fait simplement le relais
entre le serveur bancaire (qui réalisera une authentication de la carte)
et la carte (qui authentifiera le serveur).

pour info, une carte peut "décider toute seule" si par exemple il
s'agit d'une carte Gold à laquelle on demande une autorisation pour
10 euros; et une carte peut refuser de décider seule si elle dépasse
un nombre d'opérations ou si elle est configurée pour, par exemple
les cartes vendues comme "vous savez toujours où vous en êtes" et
qui sont factuellement des cartes avec une confiance nulle envers
le porteur et un contrôle systématique des avoirs de son compte.


Commentaires et autres exemples bienvenus.
Monéo, carte Vitale, passeport électronique, etc.


monéo est une illustration de la commodité.

sésame-vitale est vendu aux assurés comme facilitant leurs démarches
(c'est vrai) mais sert surtout à faciliter le travail administratif
lié aux prises en charge et remboursement (une carte avec dossier
médical serait autre chose).

le passeport est une illustration du concept de la sécurité par le
contrôle poussé (voire invasif).

hormi monéo, le bénéfice pour l'usager est limité, la carte est
plus souvent imposé par l'extérieur que choisie pour ses bénéfices.
une carte du citoyen - qui tarde à se déployer en France, mais
présente en Belgique, pour donner 2 cas - permettant d'accéder
à des services personalisés et utiles (démarches administratives
sans passer au guichet, réservation/paiement de services locaux)
pourrait être un exemple de produit ressenti comme effectivement
utile au porteur.


Qu'il la garde (l'identité) me gene moins , meme si cela me gene, mais
le fait est qu'il te donne un ticket de caisse avec ton nom et prenom
dessus que la plupart des gens jettent dans la poubelle à coté de la
caisse. []


c'est un manque de discrétion et un gachis certain, personne ne fait
collection de tickets de caisse de RU ... mais le droit du commerce
impose la délivrance d'un ticket de caisse et pour les actes par carte
une identification de la carte; est-ce le nom est obligeatoire ou
est-ce un excès de zèle du fabriquant je ne sais pas précisemment.

le fait est que la caisse enregistre ces informations imprimées
(pour recours notamment), est-ce pour autant utile de les imprimer?

un grand débat et de nombreuses campagnes ont eu lieu pour la
suppression partielle d'informations sur les tickets de CB - qui
eux aussi étaient jetés alors qu'ils portaient des informations
sensibles. le ticket "client" ne porte plus maintenant le numéro
complet de la carte, mais le ticket "commerçant" comporte lui
toutes les informations; or un parano ne jette pas ses tickets
mais peut douter d'un commerçant qu'il ne connait pas, on reboucle
sur des contraintes extérieures au confort et à la sécurité du
porteur: la carte est un outil créé pour le commerçant et sa banque,
le commerçant peut avoir besoin (recours ou panne de son terminal)
du numéro de la carte pour être effectivement payé.

Sylvain.

Poser votre question sur le forum Matériel

Questions similaires :

[AAD] Suppression de fr.comp.carte-a-puce

Ce groupe potentiellement intéressant n'a jamais décollé. Sans doute est-ce lié à la culture du secret dans l'industrie de la carte à puce, augmentée du fait que ceux qui s'y conaissent y travaillent quasiment tous. Devant le manque de discussions, et de messages, je pense qu'il serait plus simple...

Cardpeek - Un explorateur de carte à puce

Bonjour à tous les curieux, Je réalise un logiciel libre appelé « cardpeek » permettant d’explorer le contenu des cartes à puce que l’on utilise au quotidien. C’est juste un hobby mais je serais heureux de partager mon travail avec les lecteurs de ce newsgroup et avec un peu de chance, profiter...

Comportement cartes contact & sans-contact

Bonjour, Dans le cas d'une carte double interface (ISO 7816 et ISO 14443), je voudrais savoir s'il y a une norme ou une recommandation quelconque qui précise comment doit se comporter la carte lorsqu'elle est soumise à la fois au champ RF et alimentée par la griffe contact. Je voudrais notamment...

PIN et cartes SDA

Bonjour à tous, EMV 2000 (book 2) décrit comment le PIN est chiffré par le terminal avec la clé ICC publique (ou l'ICC dédiée au PIN s'il en existe une). Cela m'amène donc à la question suivante : Que ce passe-t-il pour une carte SDA ? Le PIN est-il envoyé en clair du terminal à la carte ? Merci...

Question débutant/Copie carte à puce

Bonjour à tous, Depuis quelques temps je me pose la question suivante : Quel mécanisme empêche de copier les données d'une carte ? Merci d'avance