La carte à puce fête aujourd'hui ses 50 ans. Du dépôt du 1er brevet, le 25 mars 1974, à la carte de paiement biométrique, retour sur un vrai succès industriel français, qui s'est aujourd'hui imposé comme un standard mondial pour les paiements du quotidien. On vous explique pourquoi.

C'est ce que l'on appelle une idée fausse. Selon notre sondage exclusif, réalisée en partenariat avec YouGov France, vous êtes 65% à considérer que la puce de votre carte bancaire peut facilement être piratée, contre 22% l'inverse.

Or, ici, c'est bien la minorité qui a raison. « La carte à puce est réputée inviolable, c'est un coffre-fort hyper sécurisé », explique Amaanie Hakim, vice-présidente en charge de l'innovation chez IDEMIA Secure Transactions.

C'est même précisément pour cela que cette invention française, qui fête aujourd'hui ses 50 ans, est devenue un standard mondial. Pour les paiements, mais plus généralement dans tous les secteurs (les télécoms, les transports, les entreprises, désormais les pièces d'identité...) ayant besoin d'un moyen d'authentification pratique, pas trop cher et sûr.

Une invention française qui fête ses 50 ans

Retour un demi-siècle en arrière. Le 25 mars 1974, l'inventeur français Roland Moreno dépose à l'Institut national de la propriété industrielle (INPI) le brevet d'une « carte à mémoire », intégrant, dans un rectangle en plastique de moins d'un millimètre d'épaisseur, un circuit intégré capable de stocker et de traiter des informations.

L'histoire particulière de la France avec la carte à puce ne s'arrête pas à ce brevet initial. Elle est aussi le premier pays à industrialiser et à généraliser cette invention. D'abord dans les télécoms, avec les fameuses télécartes distribuées à plus d'un milliard d'exemplaires de 1984 à 2014. Puis dans le domaine bancaire, avec l'émergence de la carte de paiement à puce.

Avant la puce, le numéro embossé et la piste magnétique

Evidemment, l'histoire de la carte que l'on appelle couramment « bancaire » précède largement celle de la carte à puce. Les premières cartes de crédit apparaissent dès les années 1950 aux États-Unis. Elles prennent la forme, à l'origine, d'un simple rectangle de carton émis par le Diners' Club, une société de crédit fondée en 1950. Elle permet d'authentifier le porteur comme membre et fait office de moyen de paiement dans certains restaurants affiliés.

Au fil des années, avant même la puce, l'objet devient plus sophistiqué et son acceptation se développe dans les commerces de tous types. A la fin des années 1960 apparaît la carte de paiement à embossage, qui présente un numéro d'identification unique en relief, ce qui permet de l'imprimer sur des bordereaux en papier calque. Puis vient l'ère des paiements électroniques. Dès 1971, en France, la fameuse Carte Bleue - dont l'acronyme CB est un terme générique - « est dotée d'une piste magnétique permettant l'utilisation d'un code confidentiel et évitant aux commerçants de devoir transmettre aux banques les bordereaux d'opérations », rappelle BNP Paribas sur son site web.

Plus de 50 ans plus tard, ces innovations n'ont pas totalement disparu. Le numéro embossé et la piste magnétique sont encore présents sur de nombreuses cartes en circulation. Mais ils ont été depuis longtemps supplantés.

Carte bancaire : pourquoi les chiffres en relief ont (presque) disparu

La puce hégémonique depuis 1993

C'est dans la seconde moitié des années 1980, soit plus de 10 ans après le dépôt du brevet, que la puce commence à être déployée à grande échelle sur les cartes de paiement.

Dès 1993, la France devient le premier pays au monde à la généraliser. Une avancée qui accompagne une autre première mondiale : dès 1984, l'industrie bancaire française a mis sur pied un système national de paiement par carte, assurant l'interopérabilité entre les différents réseaux. Il « est désormais possible, pour tous les porteurs des différentes cartes, de faire des paiements et retraits où ils le souhaitent », résume un article publié sur le site web de BNP Paribas.

Ces innovations tricolores se déploient ensuite à l'international, à partir de 1997, et finissent par devenir des standards mondiaux en 1998, avec l'adoption de la norme EMV (pour Europay Mastercard Visa). C'est toujours, aujourd'hui, EMVco, un organisme réunissant les cinq principaux réseaux de paiement mondiaux (2), qui garantit l'interopérabilité des paiements par carte, en fixe les normes de sécurité et certifie les puces.

Il faudra pourtant de nombreuses années pour voir la carte bancaire à puce s'imposer partout : sa généralisation date de 2006 en Europe et de 2015 aux États-Unis, longtemps réfractaires. On y reviendra.

La puce, robuste contre la fraude

50 ans après son invention, la puce équipe donc désormais l'intégralité des dizaines de millions de cartes bancaires émises chaque année dans le monde. Et ce, malgré un handicap de départ : son coût de fabrication, un secret industriel bien gardé, qu'on peut estimer de l'ordre de quelques euros. Beaucoup, beaucoup plus, en tout cas, qu'un embossage ou qu'une piste magnétique.

Il est pourtant aisé de comprendre pourquoi les banques ont fait ce choix. « La puce renchérit le prix de la carte, mais le retour sur investissement lors de sa généralisation a été rapide, grâce à l'économie faite sur la fraude », explique Sébastien Loison, spécialiste des problématiques paiements, monétique et risques au sein du cabinet de conseil Finegan.n. En clair, la puce s'est imposée, car elle est, de loin, la technologie la plus robuste face à la fraude.

11 euros dérobés pour 100 000 euros payés

Les chiffres le montrent. En France, au 1er semestre 2023, le taux de fraude des paiements par carte avec usage de la puce (ceux qu'on appelle les « paiements de proximité ») était de 0,011%, soit 11€ dérobés par tranche de 100 000€ payés (3). C'est à peine plus que le moyen de paiement le plus sûr, le virement (0,010%) et beaucoup moins, par exemple, que le chèque (0,076%). Ces fraudes, de plus, ne sont jamais liées à un défaut de la puce, mais plutôt des porteurs eux-mêmes, qui communiquent leur code secret à leurs proches, le notent dans leur portefeuille de peur de l'oublier ou se le font extorquer sous la menace.

Le scepticisme sur la sécurité de la carte, détecté par notre sondage, trouve sans doute plutôt son origine dans la fraude consécutive à des paiements sur internet, dont le taux est, de fait, 14 fois plus élevé (0,153%). Il faut le rappeler, ce type de paiement (et c'est bien le problème) n'utilise pas la sécurité de la puce, mais uniquement les numéros inscrits en clair sur la carte.

Un mini-ordinateur intelligent

Pour comprendre pourquoi la puce est aussi efficace contre la fraude, il faut rentrer un peu plus dans la technique. A quoi sert-elle ? Comment fonctionne-t-elle ?

Pour simplifier, on peut l'assimiler à un mini-ordinateur, capable de stocker, de traiter et d'échanger des informations.

Il y a d'abord la partie visible de la puce, ce petit rectangle métallique qui orne le recto de la carte. Il s'agit d'une zone de contact, qui permet les échanges d'informations avec le terminal de paiement électronique (TPE) du commerçant ou de l'automate (parking, péage, station essence, restauration rapide, etc.). Une « prise » qui permet également d'alimenter la puce en électricité.

Sous cette zone de contact se trouve un microprocesseur dans lequel sont stockées toutes les informations nécessaires à l'authentification du paiement : le nom du porteur, sa banque, le numéro de la carte, ainsi que toute une série de paramètres permettant de déterminer si un paiement doit être autorisé, ou non. Car ce mini-ordinateur est intelligent. « Il est capable de prendre des décisions », détaille Sébastien Loison. « Faut-il contacter ou non la banque pour tel paiement, en fonction du montant, du type de commerçant et d'autres critères permettant d'évaluer le niveau de risques ? La décision ne sera potentiellement pas la même selon que l'on paye au supermarché un samedi après-midi ou dans une boîte de nuit le dimanche matin. »

Cette intelligence embarquée permet, d'abord, à la carte d'être plus fiable. Elle autorise notamment les paiements dits « offline », c'est-à-dire autorisés sans contacter la banque. « Dans ce cas, la sécurité embarquée sur la carte est essentielle pour que le terminal puisse authentifier le paiement », explique Amaanie Hakim.

Surtout, la carte à puce est capable d'embarquer beaucoup plus de sécurité. Notamment des clés cryptographiques de plus en plus complexes, dans des puces toujours plus petites et sobres en énergie. Car aucune information n'y est inscrite en clair : tout y est codé dans un langage secret et évolutif, que seul le terminal de paiement est capable de comprendre.

« La carte en elle-même n'est pas qu'un bout de plastique répondant à une norme. Toute l'intelligence est dans la puce, c'est le point névralgique », résume Sébastien Loison. Une intelligence qui est également utilisée pour le paiement sans contact, puisque l'antenne NFC désormais intégrée dans les cartes y est reliée.

La puce a-t-elle un avenir ?

C'est donc parce qu'elle était moins intelligente, moins fiable et moins sûre, que la piste magnétique a fini par être délaissée. « Les cartes à piste magnétique étaient sujettes à la fraude, car très facile à cloner. Le secret stocké y était toujours le même », détaille Amaanie Hakim, d'IDEMIA. « Les cartes à puce, elles, sont aujourd'hui impossibles à cloner. Mais il est essentiel pour des sociétés comme IDEMIA, expertes de la cryptographie, d'investir pour continuer à résister aux fraudeurs, dont les moyens techniques et l'ingéniosité évoluent. »

C'est cette différence fondamentale qui a achevé de convaincre les banques états-uniennes de migrer vers la carte à puce, après avoir été longtemps réticentes en raison de leur surcoût. C'était en 2015, et cette date ne doit rien au hasard. En 2014, la chaîne de grande distribution Target subit une brèche massive : ses caisses enregistreuses sont infectées par un logiciel malveillant et les données de plusieurs dizaines de millions de cartes sont dérobées, ouvrant la porte à la fabrication de millions de clones de cartes magnétiques. Résultat : depuis 2015, les commerçants états-uniens n'acceptant pas la carte à puce sont tenus pour responsables en cas de fraude.

La puce pourrait-elle connaître le même sort que la bande magnétique ? C'est peu probable, en tout cas à moyen terme. Les progrès constants de la miniaturisation permettent, en effet, aux cartes d'embarquer des puces de plus en plus puissantes. Capables, par exemple, de crypter votre empreinte digitale sur les cartes bancaires biométriques qui ont déjà fait leur apparition sur le marché. Ou encore de résister, espère l'industrie, à la formidable puissance de calcul des futurs ordinateurs quantiques dont seront, tôt ou tard, équipés les cybermalfaiteurs.

Comment obtenir une carte bancaire gratuite ?

(1) Enquête réalisée sur 1 010 personnes représentatives de la population nationale française âgée de 18 ans et plus. Le sondage a été effectué en ligne, sur le panel propriétaire YouGov France, du 19 au 20 mars 2024. (2) American Express (Etats-Unis), Discover (Etats-Unis), JCB (Japon), Mastercard (Etats-Unis), UnionPay (Chine), Visa (Etats-Unis). (3) Source : Observatoire de la sécurité des moyens de paiement, Banque de France