Apple Pay

Apple Pay et les paiements par piste magnétique

Dans la continuité des articles sur les vacances à venir, nous allons répondre à une situation remontée par de nombreux clients Max suite à des séjours aux USA, Canada et d’autres pays.

Lors de leurs paiements avec Apple Pay, la transaction fût refusée par Max mais acceptée par N26. Les échanges avec le support Max n’ont pas été suffisamment constructifs pour eux. Lorsque que N26 fût opposé à Max, il fût sous-entendu que Max avait élevé son niveau de sécurité en comparaison de N26, laissant penser que N26 était donc moins sécurisé que Max.

Le Magstripe

Beaucoup de personnes font souvent référence aux USA comme étant ce qui se fait de mieux. Mais en monétique, ils sont plutôt les pires élèves et ce qui se fait de pire en matière de sécurité.

Il faut savoir que ce n’est que depuis 2016 que les USA découvrent la carte à puce. Avant cela, seule la piste magnétique était utilisée pour les transactions. Encore maintenant, la migration est loin d’être achevée par les commerçants. Au point que VISA et Mastercard ont décidé d’engager la responsabilité des commerçants en cas de fraudes.

Les données de la piste magnétique au dos de votre carte sont statiques.

Techniquement, avec un lecteur on peut récupérer ces données afin de les copier sur un autre support. C’est ainsi que fonctionne d’ailleurs le skimming, le but étant de récupérer les données écrites sur cette piste.

Pour authentifier le client, les USA utilisent majoritairement la signature. Mais au coude à coude, on retrouve l’absence de contrôle, c’est à dire ni signature ni demande de code PIN. En 3ème place, c’est le code postal qui sert de méthode d’authentification. Tout à la fin des possibilités, c’est le code PIN.

Le code PIN commence sa remontada. On trouve de plus en plus de situations où après avoir fait usage de la piste, le terminal demande le code PIN. Il effectue alors une procédure de PIN Online, c’est à dire qu’il le transmet par le réseau pour validation au lieu de laisser ce contrôle à la puce (PIN Offline).

Les fraudeurs, lorsqu’ils sont parvenus à subtiliser avec le skimming les données de votre piste, ont besoin d’une dernière information : votre code PIN. Information qu’ils récupèrent avec une caméra ou un faux clavier par exemple.

Ils disposent alors des 2 éléments requis pour retirer des espèces dans plusieurs pays où l’opération se réalise via la piste magnétique.

Vous aurez donc compris que la piste sur une carte physique est souvent un point de faiblesse. Les banques et les réseaux ont une attention particulière sur les transactions qui sont réalisées ainsi.

Le Sans Contact et le Magstripe

On va s’intéresser à VISA et Mastercard et plus précisément PayWave chez VISA et PayPass chez Mastercard.

Derrières ces 2 noms se cache la dénomination commerciale pour les 2 réseaux pour le sans contact. Vous verrez souvent à l’étranger ces noms sur les terminaux et les vitrophanies pour indiquer que le sans contact est accepté par le commerçant.

Le sans contact peut se faire de 2 méthodes, soit avec les données de la piste, soit celles de la puce.

En Europe, les cartes utilisent la puce pour le sans contact. Tout simplement car c’est nettement plus sécurisé et qu’il est impossible de falsifier la donnée.

Cette affirmation est totalement démentie en sans contact piste. C’est même très simple d’émuler le signal et certaines sociétés voulaient même faire de cette faiblesse un atout commercial pour proposer une carte agrégatrice.

En mode piste, on parle de PayWave MSD chez VISA, et c’est PayPass MagStripe chez Mastercard. Quand on utilise la puce, c’est PayWave qVSDC chez VISA et PayPass M/Chip chez Mastercard.

Apple Pay et le sans contact en mode piste

Samsung au lancement indiquait être le seul service de paiement à supporter le sans contact en mode piste magnétique et donc être compatible avec 100% des terminaux sans contact aux USA/CA.

Apple n’en est pas resté là et a également adopté le sans contact en mode piste.

Bien que depuis fin 2015 les fraudes sont laissées à la charge des commerçants qui ne sont pas en EMV (puce), il fallait tout de même gérer le sans contact ISO (piste magnétique).

Samsung est très proche dans le fonctionnement mais on va se focaliser sur le comportement technique d’Apple.

Accrochez-vous, on va passer dans une tempête technique, mais on va s’efforcer de simplifier et vulgariser.

Dans les entrailles d’Apple Pay

Le SE (Secure Element)

Apple utilise pour son service de paiement (tout comme Samsung), un élément matériel pour la sécurité qu’on nomme SE (Secure Element). Cet élément est réputé hautement sécurisé pour ne pas dire inviolable.

Il faut donc voir le SE comme une zone de stockage. Une zone dans laquelle des jetons (tokens) seront stockés selon les règles strictes de VISA, Mastercard, CB, American Express,…

Le niveau de sécurité d’un SE étant jugé moins fort qu’une puce de carte bancaire.

Le jeton (Token)

Le jeton permet de substituer le PAN (Primary Account Number), c’est à dire le numéro de votre carte, par un numéro virtuel. Ce jeton est censé être utilisable qu’avec Apple Pay. Cependant certains émetteurs n’appliquent pas de filtres, le jeton est alors utilisable sur certains sites ne sollicitant pas le CVx2 (le cryptogramme).

Le TSP (Token Service Provider)

Le TSP est l’infrastructure servant à créer un jeton pour votre numéro de carte. Le jeton porte avec le nom de DAN (Device Account Number) dans Apple Pay.

Seul le TSP est capable de faire la conversion entre le numéro réel de votre carte et le DAN déployé dans Apple Pay. C’est donc là encore un maillon très sensible de la chaîne. Le TSP est généralement géré par le réseau en direct en raison de sa criticité.

Déroulement de l’ajout dans Apple Pay

Lorsque vous scannez votre carte, les informations sont transmises aux équipements d’Apple. Ces derniers soumettent alors les informations au réseau (Visa, Mastercard,…), on va prendre Mastercard pour l’exemple.

Mastercard prend alors contact avec votre banque afin de valider votre carte et l’état de cette dernière. Sur accord de votre banque, Mastercard va générer un DAN via son TSP. L’étape finale, c’est le TSP qui transmet les informations aux serveurs d’Apple qui déploient alors les informations dans le SE de votre équipement Apple.

Le déroulement d’un paiement Apple Pay en mode MSD

Par défaut, Apple Pay utilise les spécifications d’EMVCO, pour réaliser votre paiement en sans contact. Si la norme EMV n’est pas disponible, alors une compatibilité sera initiée en mode ISO, c’est à dire MSD (Magnetic Stripe Data).

Une très large majorité des terminaux sur le marché Nord Américain fonctionne encore sur ce mode.

En MSD (sur une carte par exemple), on peut stocker jusqu’à 3 pistes qui font avoir chacune leur format d’informations, on parle ainsi de track1, track2 et track3.

Ces pistes étant statiques, il est possible de les copier et les encoder sur un autre support comme on vous l’indiquait. Par conséquent, les données des 3 pistes sont considérées comme « insuffisamment fiables » de nos jours.

Il est donc compliqué pour une banque de savoir si les données qu’elle réceptionne lors d’une autorisation proviennent de la carte réelle ou d’une copie.

Crédit Mutuel, par exemple, a intégré une couche de supervision du compteur ATC (Application Transaction Counter), cela permet d’arriver dans certains cas à la détection de la copie.

A chaque réponse de votre carte à une invitation, l’ATC est incrémenté. Si vous cherchez à lire les informations de la puce, à chaque fois l’ATC sera incrémenté. Cette donnée peut remonter et être traitée par la banque. Ainsi, si lors de la copie des pistes 1, 2 et 3 l’ATC était à 10, puis vous avez fait des paiements portant l’ATC à 15, et le fraudeur tente de faire un retrait avec un ATC à 11, la banque va comprendre l’anomalie et déclencher une contre mesure.

Nous ne détaillerons que ce mécanisme, il en existe plusieurs autres, mais l’ATC est l’un d’entre eux. Toutefois, très peu de banques ont mis en place de tels contrôles, rincipalement pour des raisons de ratio coût vs risque de copie d’une piste.

Maintenant que vous avez les éléments, on peut revenir aux refus de paiements initiés par Max lorsqu’une transaction MSD arrive auprès de leurs système. Ils craignent un risque et à défaut de filtrage préfèrent décliner votre paiement. N26, comme bunq et Revolut (qui ont tous les 3 confirmés accepter Apple Pay en mode MSD) acceptent au contraire le paiement et cela sans craintes.

Vous pourriez penser qu’ils sont fous, qu’ils sont effectivement moins sécurisés. Mais en fait pas du tout. Ils prennent juste en considération qu’une couche de sécurité existe sur Apple Pay pour ce mode MSD.

On retourne de nouveau dans la technique.

Apple Pay en mode MSD utilise le format des données qu’on va retrouver sur la piste2 en MSD.

Concrètement, Apple Pay va communiquer les informations suivantes au terminal en mode MSD :

  • Le DAN (le fameux jeton généré par le TSP lors du déploiement de votre carte sur Apple Pay)
  • La date d’expiration du DAN (elle est décidée selon la politique de votre banque auprès du TSP)
  • Le Service Code sur 3 chiffres (le SC dispose de 3 positions, la première indique l’interchange et la technologie autorisée, la seconde le mode d’autorisation, enfin la troisième indique les utilisations autorisées)
  • Le CVV (Card Verification Value) il s’agit d’un cryptogramme de vérification de la carte
  • L’ATC remonte également pour traitement, selon la configuration de l’émetteur.

La sécurité MSD sur Apple Pay réside dans ce fameux CVV (CVC3). Une variante du MSD est appliquée par Mastercard lorsqu’il est question d’un paiement MSD depuis un mobile.

Sur VISA on parle de CDCV (Consumer Devicer Cardholder Verification) et sur Mastercard ODCV (On Device Cardholder Verification). Cela permet donc de confirmer l’authentification et rendre ce CVV dynamique mais aussi valable uniquement pendant une période donnée (quelques minutes).

Le CVC3 est donc généré après l’échange avec le TPE. Il utilise une clé de chiffrement générée par l’émetteur sur le TSP lors du déploiement de votre carte dans Apple Pay.

Lorsque vous allez payer, le TSP va donc recevoir dans un premier temps la demande d’autorisation.

En mode MSD, le TSP va déjà appliquer différents contrôles. S’assurer notamment que le CVV dynamique est cohérent c’est à dire que son chiffrement repose bien sur la clef déployée lors de l’installation du DAN dans Apple Pay. En cas de doute, le TSP interrompt la transaction mais si tout est bon après de multiples vérifications, le TSP convertit votre DAN en numéro réel. A ce moment-là, il route l’autorisation vers l’émetteur de votre carte.

L’émetteur peut à son tour appliquer divers contrôles s’il n’est pas dans une relation de confiance avec le TSP. Ces contrôles lui permettant également de s’assurer qu’il n’est pas face à une copie de votre carte déployée dans Apple Pay.

Le risque de sécurité en MSD sur Apple Pay

On espère que la vulgarisation vous permettra de comprendre les étapes principales et les contrôles principaux opérés lors d’une transaction de type MSD avec Apple Pay.

Vous comprendrez donc que N26, bunq ou encore Revolut ne sont pas inconscients d’accepter de tels paiements. Ces paiements ont ainsi un niveau de sécurité proche d’une transaction EMV sur Apple Pay.

L’état des lieux des partenaires Apple compatibles avec cet usage

On va passer rapidement sur les cartes VISA. A ce jour, aucune ne permet un tel usage lorsque la carte est émise sur le marché Européen.

Du côté de Mastercard, c’est l’ouverture et les émetteurs ont donc plus de liberté. Crédit Mutuel / CIC & Banque Casino ont bien confirmé que les paiements MSD seront pris en charge. Même son de cloche du côté du Crédit Agricole et LCL, les clients ne seront pas limités dans l’usage. Bon là avec un peu de réflexion, vous trouverez un indice sur la sortie d’Apple Pay chez ces différents acteurs…

Une réponse positive est également revenue des équipes monétiques de bunq et boon. Chez Revolut, la réponse précisait que la transaction par piste sur la carte devait être activée. Avec une carte virtuelle, ce type de transaction n’est pas possible, il faudra une Mastercard physique ajoutée dans Wallet.

Le retour est négatif pour Arkea (Max, Crédit Mutuel Bretagne / Massif Central / Sud Ouest & Fortuneo). Même réponse pour Carrefour Banque et Monese qui ne proposent pas ce type de paiements Apple Pay.

Les émetteurs VISA ( Boursorama / Société Générale / La Banque Postale / Crédit du Nord, HSBC, BPCE, Orange Bank et BNP) ont répondu qu’ils ne proposaient pas ce type de paiements actuellement. Mais qu’ils sont conscients que la limitation peut occasionner des problèmes d’acceptation. Ils réfléchissent donc à des solutions. Il y a peu d’espoir qu’en ne proposant pas Mastercard ce type de paiement soit accepté.

Conclusion

Si vous comptez effectuer des paiements via Apple Pay dans des pays n’ayant pas encore totalement adopté la norme EMV (continent Américain et Asiatique principalement), il vous faudra penser à disposer d’une carte compatible dans Wallet ou alors une carte physique.

La norme EMV doit devenir la seule qui subsiste. Mais les migrations dans ces 2 zones du globe se font très lentement alors qu’en Europe, elle frôle depuis plus d’une décennie les 100%.