Après les cartes bancaires, au tour des smartphones de proposer le paiement sans contact !

Aux États-Unis d’abord, avec l’« Apple Pay » d’Apple, c’est en 2015 que pourrait bien débuter en France le système de paiement sans contact par smartphone sous Android, grâce à un partenariat entre Visa Europe France et Worldline. Focus sur ce procédé dont le système de protection des données bancaires est déjà fortement remis en question.

La sortie de l’iPhone 6 à l’automne 2014 n’a certainement pas épargné beaucoup de monde tant l’arrivée du smartphone d’Apple sur le marché suscite chaque année l’intérêt ou la circonspection de certains. Parmi les nouveautés dont bénéficie le produit, la firme de Cupertino a annoncé avoir équipé le smartphone d’une puce NFC (Near Field Communications) en vue d’utiliser son service de paiement sans contact « Apple Pay ». Les conditions à réunir : pour l’acheteur, posséder un iPhone 6 et un compte dans une banque américaine et pour le vendeur, un terminal de paiement adapté au NFC. En clair, un système pour le moment réservé aux utilisateurs outre-Atlantique.

Apple a depuis annoncé l’adaptation d’« Apple Pay » pour la France dans le courant de 2015. Toutefois la nouvelle a été vite supplantée par une autre de Visa Europe France et Worldline qui ont fait part de la mise en place d’un partenariat avec Android, principal concurrent de l’iOS d’Apple, pour le déploiement en France, dès mars 2015, de terminaux de paiement compatibles avec les smartphones équipés du système Android et de l’application de paiement sans contact « Google Wallet ».

Avant d’être équipées sur les smartphones, les puces NFC se sont immiscées dans un moyen de paiement beaucoup plus conventionnel : la carte bancaire !
Depuis quelques années, les banques proposent à leurs clients (parfois à leur insu) des cartes de crédit Visa ou MasterCard (selon la banque) comportant un petit pictogramme indiquant la présence d’une puce NFC à l’intérieur de la carte. L’intérêt de la démarche est de permettre aux clients d’effectuer des achats inférieurs à 20€ (25$ aux États-Unis et 20£ au Royaume-Uni) sans avoir à entrer son code bancaire, dans le cas où le terminal de paiement est lui-même équipé pour accepter les paiements sans contact.

Cependant, depuis 4 ans que le système est lancé, la population française ne s’est pas du tout attachée à ce procédé censé faciliter la vie. Une étude Ifop effectuée en janvier 2012 a d’ailleurs indiqué que « 64% des français apparaissent réticents en ce qui concerne les technologies sans contact qui permettent de régler des achats sans avoir à insérer leur carte de paiement et 75% des interrogés se disent opposés à la suppression complète des codes de carte pour les paiements inférieurs à 20 euros ». Et à juste titre !

La démocratisation de la puce NFC dans nos cartes de crédit a vu apparaître un nouveau type de piratage consistant à dérober les données bancaires émises par la puce. En effet, pour que le paiement puisse se faire la puce NFC transmet au terminal le nom du détenteur de la carte, le numéro de celle-ci et sa date d’expiration. Le problème est que cette émission d’informations sensibles peut être interceptée dans un rayon d’une quinzaine de mètres autour de la puce par quiconque possède une antenne prévue à cet effet et un ordinateur, d’où l’emploi du terme « piratage » car il s’agit d’un acte intentionnel. En effet, un simple passage du « pirate » dans une foule (dans le métro, un marché, etc.) avec cet équipement peut lui permettre de récupérer le numéro à 16 chiffres de la carte, les derniers achats effectués, le nom du titulaire de la carte et aussi sa date d’expiration. Un vol de données aussi rapides que le paiement sans contact lui-même et qui permet ensuite au malfrat d’acheter ce qu’il souhaite sur Internet grâce aux données recueillies ! Le détenteur de la carte n’étant au courant du vol de données que lorsqu’il consultera son compte ou sera appelé par son banquier peut être inquiet des mouvements de compte inhabituels…

Après avoir constaté les défauts majeurs de la puce NFC, des organismes de sécurité, tels que la CNIL (Commission Nationale de l’Informatique et des Libertés), ont recommandé la suppression du nom du titulaire ainsi que la date d’expiration afin d’enrayer le vol de données. Des entreprise se sont, quant à elles, orientées vers une activité de sécurisation des cartes par le biais de pochettes « bloquant » l’émission des informations de la puce NFC. À l’image de la société canadienne Identity Block qui propose ce type de protection pour les cartes bancaires mais aussi pour les passeports biométriques qui sont également équipés de telles puces.

Alors pourquoi devrions-nous accueillir à bras ouverts l’intégration de cette puce NFC dans nos smartphones ?

Apple et Android ont quant à eux proposé leur solution. Pour le premier, son système « Apple Pay » utilise la « segmentation ». Cela permet de remplacer les informations transmises par la puce par un algorithme utilisant un identifiant différent à chaque achat. Ce « jeton » (tel quel l’appelle Apple) n’a donc aucune valeur pour le hacker qui l’intercepte. Et petit plus, la puce NFC située dans l’iPhone n’est active que lors de l’achat. Ce qui limite les occasions de vol.

Concernant Android, la sécurité passera par le transfert des informations dans un cloud « sécurisé » au lieu de rester dans le téléphone et aussi par la sécurisation par code de déverrouillage. Le paiement s’effectuant par l’intermédiaire de l’application (gratuite) « Google Wallet », à qui l’utilisateur transmet ses coordonnées bancaires, celle-ci propose aussi de bloquer l’émission des informations lorsque la puce n’est pas utilisée (comme sur l’iPhone).

Cependant, le piratage de smartphone n’a pas attendu l’arrivée des puces NFC pour se développer et les menaces sont plus nombreuses que pour une carte bancaire. Là, une prise de contrôle à distance, un vol pur et simple, une faille de sécurité dans les systèmes d’exploitation (exemple de l’Android Fake ID) ou la faiblesse des procédés de sécurisation (par exemple le piratage très rapide de TouchID, la reconnaissance par empreinte digitale des iPhone d’Apple) sont autant de risques auxquels il faut penser pour trouver des moyens de contrer les potentiels hackings.

Même si il est légitime de douter que l’implantation de puces NFC dans les smartphones bénéficie d’une protection infaillible sur Android et iOS, notons les efforts qui sont faits pour gagner la confiance des utilisateurs de ces terminaux mobiles.

Sources :
© http://www.cnetfrance.fr/produits/apple-pay-paiement-securise-ou-passoire-nfc-39807621.htm
© http://www.paiementmobile.com/paiement_mobile/nfc/
© http://www.frandroid.com/android/250372_visa-worldline-concurrent-lapple-pay-payer-en-nfc-android-en-france
© http://pro.clubic.com/e-commerce/paiement-en-ligne/article-728209-1-pourquoi-paiement-contact-nfc-decolle-france.html