Le groupe BPCE (Banque Populaire et Caisse d’Epargne), en partenariat avec Natixis Payment Solutions et Oberthur Technologies, va tester à partir de septembre 2015 auprès de 1 000 clients la première carte de paiement ...intégrant un cryptogramme modifiable dynamiquement. Baptisée Motion Code, cette carte développée par Oberthur Technologies remplace le cryptogramme statique imprimé au dos par un écran miniature qui affiche un code qui est automatiquement et dynamiquement actualisé selon un algorithme chargé dans une puce embarquée dans le plastique de la carte. Baptisée dCVV/dCVC, cette technologie a été mise au point par NagraID Security, une société acquise en 2013 par Oberthur et passée maître dans la confection de cartes à puce avec écran intégré qui sécurisent les accès au cloud via un mot de passe à usage unique (OTP) ou via des technologies de vérification dynamiques.
Pour le porteur de carte, l’usage du Motion Code est totalement transparent puisqu’il n’y a ni plug-in à installer sur un navigateur web ni bouton à presser. Idem pour les commerçants en ligne qui n’auront pas à modifier la page de paiement de leur site Web. Pour les émetteurs de cartes, un serveur spécifique synchronisé avec l’algorithme et les règles d’actualisation définies dans la carte est par contre nécessaire. C’est d’ailleurs l’émetteur de la carte qui définit la fréquence de mise à jour du code dynamique, par exemple toutes les heures. Ainsi, en cas de vol des informations contenues sur la carte dont le dCVV/dCVC, celles-ci deviendraient immédiatement obsolètes et les fraudeurs ne pourraient tirer aucune valeur de la revente de ces données.
Code à trois chiffres généralement imprimé au dos d’une carte de paiement à côté de la signature, le cryptogramme visuel (appelé également code de sécurité ou CVV/CVC) est aujourd’hui utilisé comme un élément de sécurité supplémentaire afin de sécuriser les transactions en ligne, histoire de s’assurer que le détenteur de carte est bien en possession de sa carte. Malheureusement, à moins qu’il ait été préalablement effacé par un léger grattage, le cryptogramme peut être récupéré par quiconque vole la carte à puce… Par ailleurs, l'augmentation de l'hameçonnage sur Internet a réduit l'efficacité du code de sécurité en tant que procédure antifraude. Une situation qui préoccupe autant les émetteurs que les commerçants en ligne et les porteurs de carte.