Dans l'article <m3mzhpx4hu.fsf@arboi.fr.eu.org>, Michel Arboi
<arboi@alussinan.org> a écrit:

À ma connaissance (*), le MAC calculé "signe" le paiement
dans son ensemble, il ne sert pas à l'authentification de
la carte.

Ce Message Authentication Code est calculé par la puce de la
carte et est dépendant notemment d'une clé spécifique à
cette puce; donc la vérification du MAC/certificat, si
elle a lieu, authentifie bien la carte.

De plus, il ne serait vérifié qu'en cas de contestation.

A une époque c'était vrai, et l'on s'accorde sur ce que la
logistique pour la vérification en cas de contestation
fonctionnait initialement mal.
J'ai la faiblesse de croire ceux qui affirment que les temps
ont bien changé, et que cette vérification, y compris lors
d'une autorisation de routine, est entrée en pratique.
Mais à vrai dire je ne le sais pas d'une expérience ou
connaissance directe, et c'est justement pour cela que je
peux en parler sans trahir aucun accord de confidentialité.


   François Grieu