Cryptogramme de carte bancaire

Cryptogramme

définition et autres noms

Le cryptogramme visuel est un code à 3 ou 4 chiffres imprimé sur les cartes bancaires. Il sert à prouver que la personne qui passe une commande possède physiquement la carte au moment du paiement à distance (en ligne, par téléphone, par correspondance). Il complète le numéro de carte, la date d’expiration et le nom du porteur, sans pour autant figurer sur la piste magnétique ni dans la puce.

Les appellations varient selon les réseaux. CVV (Card Verification Value) chez Visa, parfois précisé CVV2. CVC (Card Verification Code) chez Mastercard, parfois précisé CVC2. CID (Card Identification) chez American Express. CSC (Card Security Code) reste le terme générique anglo-saxon. En France, on parle souvent simplement de « cryptogramme » ou de « code de sécurité ».

Ces différents noms désignent la même fonction : un contrôle supplémentaire qui rend plus difficile l’utilisation d’un numéro de carte volé sans la carte elle-même.

Où le trouver selon le réseau de la carte

L’emplacement varie selon le réseau émetteur.

Sur les cartes Visa et Mastercard, le cryptogramme se trouve au verso de la carte, sur le panneau signature. Il s’agit des trois derniers chiffres imprimés à droite du panneau, en italique. Sur certaines cartes récentes, ces chiffres sont déplacés sur une autre zone du verso pour des raisons de design ou de sécurité.

Sur les cartes American Express, le cryptogramme se trouve au recto, sous la forme de quatre chiffres en relief ou imprimés en haut à droite, au-dessus ou à côté du numéro principal de la carte.

Sur les cartes virtuelles ou éphémères, fréquemment proposées par les banques en ligne pour les paiements sur Internet, le cryptogramme s’affiche directement dans l’application mobile ou l’espace client.

À quoi sert le cryptogramme

Le cryptogramme joue un rôle simple mais central : il prouve que la personne qui paie a la carte sous les yeux. Cela le distingue du numéro principal, de la date d’expiration ou du nom — toutes des données qui peuvent être lues par un commerçant, copiées sur un reçu ou conservées dans un fichier client.

Le cryptogramme ne figure pas sur la piste magnétique, ce qui empêche un commerçant qui aurait scanné une carte pour un paiement physique de l’utiliser ensuite pour un paiement à distance. Il ne figure pas non plus dans la puce. Il ne peut être lu que visuellement, ce qui suppose que la personne qui le saisit a effectivement la carte en main.

C’est pour cette raison que les commerçants sérieux ne conservent jamais le cryptogramme dans leur base de données, à la différence du numéro de carte qui peut être stocké pour des paiements ultérieurs (avec consentement et chiffrement).

Cryptogramme et 3D Secure

un duo de sécurité

Avec la DSP2, le cryptogramme ne suffit plus à valider un paiement en ligne en Europe. La Directive Services de Paiement 2, entrée en application en 2019 et déployée progressivement jusqu’en 2022, impose l’authentification forte du client (SCA, Strong Customer Authentication) pour la majorité des paiements en ligne dans l’Union européenne.

En pratique, après avoir saisi le numéro de carte, la date d’expiration et le cryptogramme, le payeur doit valider l’opération via un second canal : notification dans l’application bancaire avec authentification biométrique (empreinte ou reconnaissance faciale), code reçu par SMS, ou validation par un dispositif physique selon les banques. C’est ce qu’on appelle communément la 3D Secure (terme historique du protocole), ou Visa Secure, Mastercard Identity Check, American Express SafeKey selon les réseaux.

Le cryptogramme reste utile : il fait partie du premier niveau de vérification. Mais il ne suffit plus à autoriser un paiement, ce qui réduit considérablement l’intérêt pour un fraudeur de l’intercepter seul.

Quelques opérations restent exemptées d’authentification forte selon les seuils et les critères de risque (paiements récurrents sur abonnement, montants faibles répétés, marchand identifié de confiance), mais ces exemptions sont strictement encadrées.

Cryptogramme dynamique

la nouvelle génération

Une évolution récente concerne le cryptogramme dynamique. Plusieurs banques françaises (Société Générale, Crédit Mutuel, BNP Paribas notamment) proposent des cartes avec un cryptogramme qui change automatiquement toutes les heures, affiché via un petit écran e-paper intégré au verso de la carte.

L’intérêt sécuritaire est direct. Si un fraudeur intercepte le numéro de carte et le cryptogramme à un instant donné (par phishing, écumeur de carte, base de données piratée), ces données deviennent obsolètes en quelques minutes. L’utilisation frauduleuse de la carte est donc fortement limitée dans le temps.

Le cryptogramme dynamique fonctionne sans configuration côté commerçant pour les paiements compatibles 3D Secure (la quasi-totalité des marchands en zone européenne). Hors UE, certains marchands qui ne consultent pas le serveur émetteur en temps réel peuvent rejeter la transaction.

Ces cartes sont en général proposées en option payante (de quelques euros à une dizaine d’euros par an) sur certaines gammes premium. Pour un porteur exposé (achats en ligne fréquents, voyages à l’étranger), l’investissement reste modeste face au risque.

Sécurité et bonnes pratiques

Quelques règles élémentaires protègent le cryptogramme et la carte.

• Ne jamais communiquer le cryptogramme par téléphone, SMS ou mail à une banque, un service public, un employeur ou un commerçant. Aucune institution officielle ne demande ces données. Une demande de ce type est un signal très fort de tentative de fraude.
• Refuser toute demande en caisse : les paiements en magasin avec présentation physique de la carte ne demandent pas le cryptogramme. Une demande en caisse est anormale.
• Vérifier l’URL avant de saisir : HTTPS, cadenas visible, domaine exact du marchand connu. Les faux sites visent précisément à capturer numéro, date d’expiration et cryptogramme en même temps.
• Méfiance sur les SMS de validation 3D Secure non sollicités : ne valider que les paiements qu’on a soi-même initiés.
• Pas de stockage du cryptogramme côté marchand : si un site demande à mémoriser le cryptogramme « pour faciliter les achats futurs », c’est un signal d’amateurisme ou de risque.
• Masquer le cryptogramme sur la carte physique reste possible (sticker opaque, gomme). Attention : certaines banques considèrent l’apposition d’un autocollant comme altération de la carte. Vérifier les conditions générales en cas de doute.

Que faire en cas de fraude

Une fraude détectée ou suspectée se gère en quelques étapes structurées.

Faire opposition immédiatement auprès de la banque, par le numéro d’urgence disponible 24h/24 (numéro communiqué dans l’application bancaire, sur la carte ou sur le site de la banque). L’opposition stoppe toute nouvelle utilisation de la carte et déclenche la procédure de remboursement.

Confirmer l’opposition par écrit dans les 48 heures (mail, lettre, message dans l’espace client). Beaucoup de banques exigent cette confirmation pour formaliser le dossier.

Déposer plainte au commissariat ou en gendarmerie. Pour les fraudes bancaires sans usage physique de la carte (Internet, téléphone), il est aussi possible de signaler directement sur la plateforme Perceval, gérée par la gendarmerie nationale, sans avoir à se déplacer.

La banque doit rembourser les opérations non autorisées (article L.133-18 du Code monétaire et financier). Avant l’opposition, l’article L.133-19 prévoit une franchise pouvant aller jusqu’à 50 € à la charge du porteur ; après l’opposition, le porteur ne supporte rien sauf cas de négligence grave (code partagé, carte laissée traîner). Les délais de remboursement varient de quelques jours à quelques semaines.