Les cartes bancaires biométriques sont-elles une vraie avancée ou du bullshit marketing ?

Depuis quelques jours, plusieurs médias français ressortent cette merveilleuse histoire de la carte bancaire à empreinte digitale comme s’il s’agissait d’une révolution imminente ! Par exemple
l’Indépendant
titre carrément "le code à quatre chiffres c’est bientôt fini". Toudoum !!

Sauf que la techno, conçue par
Thales
et
IDEMIA
, est commercialisée en Europe depuis 2021 quand même. Et plus drôle encore, c’est que
BNP Paribas
a fermé la commercialisation de sa première version le 8 décembre 2025, soit bien avant que la presse en fasse un sujet d’actualité "frais".

La carte F.CODE d’IDEMIA, l’un des deux principaux fabricants de cartes biométriques en Europe avec Thales (crédit : IDEMIA).

Donc bon, on va remettre les pendules à l’heure ensemble, parce que le sujet mérite mieux qu’un communiqué de presse recopié à la chaîne par dix rédactions. Je vous propose donc de remettre un peu tout ça à plat parce que je lis quand même pas mal de conneries.

Tout d’abord, il faut savoir que le principe technique derrière ces CB est solide, faut le reconnaître. Vous posez le pouce sur un petit capteur de quelques millimètres intégré à la carte, le module Secure Element (l’équivalent du coffre-fort embarqué) compare l’empreinte au gabarit stocké dans la puce, et si ça matche, le paiement passe en moins d’une seconde !

Le mot-clé c’est d’ailleurs "match-on-card". Cela veut dire que la comparaison se fait localement, et donc que l’empreinte ne sort jamais de la carte, ni vers le commerçant, ni vers la banque, ni vers un serveur quelque part. C’est donc exactement le même délire que Touch ID ou Face ID chez Apple, et c’est ce qui distingue ce système d’une base biométrique centralisée façon ANT, dont on a vu cette année à quel point ça pouvait mal finir (looool).

Côté sécurité, y’a beaucoup de vrais points positifs. Le code PIN à quatre chiffres, c’est dix mille combinaisons. Avec un peu de skimming sur un terminal compromis et une caméra cachée au-dessus du clavier, vous pouvez tout récupérer encore plus facilement. Sans parler des PIN type 1234, 0000 ou date de naissance qui représentent une part énorme des codes en circulation selon les
analyses de DataGenetics
(1234 représente à lui seul environ 10,7% des PIN observés sur 3,4 millions de codes analysés).

La biométrie vient donc tuer ce vecteur d’attaque d’un coup. Ainsi, si quelqu’un vole votre carte, il ne peut rien en faire, en théorie, sans votre doigt. Faudra avoir un bon sécateur ^^. Et niveau conformité, ça rentre pile-poil dans le cadre
PSD2
et l’authentification forte du client puisque la biométrie remplace le facteur "savoir" (le PIN) par un facteur "inhérence" (votre corps), ce qui valide les deux facteurs requis avec la possession de la carte. Une fois encore c’est comme avec l’iPhone et FaceID / TouchID quand on se connecte quelque part.

Sauf que voilà, c’est là que les médias arrêtent de creuser. Et y’a beaucoup de choses à creuser, croyez-moi ! Perso je trouve ça assez "gênant" (comme disent les zados… "Annnnh la génance !!") qu’on nous présente un sujet sécurité aussi important comme si on nous vendait des yaourts.

Parce que d’abord, le code PIN ne disparaît pas, sauf si vous avez la chance d’avoir une banque qui vous laisse le désactiver explicitement (et bonne chance pour trouver l’option dans les CGV). Hé oui, quasi toutes les implémentations que j’ai pu voir passer, gardent un bon gros fallback PIN pour les cas où le capteur foire (doigt mouillé, sale (sacré lulu), blessure, capteur défaillant) ou pour les retraits au DAB.

Or, vous le savez parce que vous avez Bac+18 en bon sens, la sécurité globale d’un système est celle de son maillon le plus faible. Donc si le code PIN reste en backup, vous n’avez pas supprimé le maillon faible mais vous l’avez juste rendu optionnel. Et donc un voleur qui sait ça, sera capable de forcer le fallback en simulant un échec biométrique et utiliser le code PIN pour peu qu’il le connaisse. Comme avant quoi…

Donc cette promesse "fin du code à 4 chiffres" est donc un bon gros raccourci marketing, et pas du tout une réalité technique.

Ensuite, autre soucis, c’est que la biométrie n’est pas révocable. Donc si demain un labo ou un expert sécu arrive à extraire un gabarit d’empreinte d’un Secure Element compromis (ça s’est déjà vu sur des puces certifiées EAL5+ par attaques side-channel), vous ne pourrez pas changer votre doigt parce que j’sais pas si vous avez remarqué mais il est bien solidement attaché au sac de viande que vous appelez "Mon summer body" ^^.

Le risque est heureusement limité dans ce cas ci parce que le gabarit reste sur la carte, mais structurellement, la donnée biométrique EST un mot de passe que vous ne pouvez jamais changer. C’est une contrepartie importante que personne ne mentionne dans les articles grand public.

Sur les attaques physiques par exemple, le
Chaos Computer Club
qu’on connait tous, a
démontré dès 2013 le bypass de Touch ID
avec un moulage en latex fabriqué à partir d’une empreinte laissée sur un verre. Les capteurs intégrés dans une carte bancaire sont plus petits, moins denses en pixels, et n’ont pas la même puissance de calcul pour faire tourner des modèles anti-spoof avancés que ce qui est embarqué dans un iPhone.

Ils sont donc plausiblement PLUS contournables, donc j’imagine qu’un moulage en silicone ou en résine pourra facilement en venir à bout. À ma connaissance, y’a aucun chiffre public sérieux qui n’a été publié par les fabricants sur le taux de succès de ces attaques sur leurs cartes. Comme c’est pratique 😉

Le sujet de la mise sous pression par des affreux bandits, mérite aussi une mention. Parce qu’avec un code PIN, si on vous menace devant un DAB, vous pouvez théoriquement saisir un faux code (certaines cartes ont même une notion de "
code sous contrainte
" qui bloque la carte directement). Alors qu’avec un doigt, on vous chope la main et force et voilà…

La jurisprudence américaine est d’ailleurs intéressante là-dessus puisqu’un un juge peut vous obliger à poser le doigt sur un TouchID, mais pas à donner votre code PIN par respect du 5e amendement. En France le débat est un peu différent mais analogue. C’est un petit détail légal mais personne ne l’aborde non plus pour tout ce qui est sécurité biométrique en général.

L’enrôlement à domicile via smartphone, vendu comme "sécurisé" mais dont le protocole détaillé reste opaque (crédit : IDEMIA).

Autre angle mort, l’enrôlement. En effet, aucun des articles que j’ai lus ne décrit exactement comment l’empreinte arrive dans la puce la première fois. Est ce que ça se fait en agence, avec un lecteur dédié ? Via une app smartphone qui pousse le gabarit par NFC ?

On en sait rien, mais si c’est la seconde option, le pipeline app + carte est une surface d’attaque qui mérite un audit indépendant, et la promesse de "l’empreinte ne quitte jamais la carte" devient à géométrie variable. Côté Thales et IDEMIA, le marketing parle d’enrôlement à domicile sécurisé, mais les détails du protocole sont peu documentés, tout du moins ce que j’ai pu trouvé en libre accès.

Et pour finir sur le côté pratique, la biométrie est une option payante. Bah ouais, 24 balles par an chez BNP et Crédit Agricole, sur des cartes Visa Premier ou Mastercard Gold qui coûtent déjà entre 130 et 180€ annuels, pourquoi se faire chier ? Société Générale a annoncé vouloir descendre en gamme là dessus, mais pour l’instant, la sécurité forte est réservée à ceux qui peuvent payer. Sécurité à deux vitesses, donc, comme d’hab et moi je trouve que c’est un peu paradoxal pour un truc présenté comme la nouvelle norme.

Bref, mon verdict sur tout ça c’est que le design technique est bon, le match-on-card protège VRAIMENT des fuites massives, et ça c’est un excellent progrès face au PIN à 4 chiffres pour tout ce qui est usage courant. Mais le narratif "fin du code secret" reste faux puisque le PIN perdure en fallback, et surtout, la biométrie pose des problèmes structurels bien connus (non-révocable, vulnérable aux moulages, coercition, enrôlement opaque).

Donc voilà, si demain votre banque vous propose le passage au biométrique, demandez-lui comment se passe l’enrôlement, si le fallback PIN est désactivable, et combien ça coûte. Et peut-être que là, ça pourra être intéressant.

Source : korben.info