Apple Pay

Le paiement mobile est-il plus sécurisé qu’une carte bancaire ?

Dans l’opinion des gens, le paiement avec un mobile est nettement plus sécurisé qu’avec une carte bancaire. Bien qu’il soit sécurisé, il l’est toutefois moins qu’une carte bancaire. Cela tranche avec l’image qu’on s’en fait. La question se pose après les articles portant sur les transactions hors ligne. L’exercice pour répondre à cette question est compliqué. Il faut passer au-delà des avis et des idées reçues, sans compter les opinions personnelles. Le temps de la lecture de cet article, nous vous proposons de mettre de côté toutes les idées que vous avez sur le paiement mobile. Nous allons surtout traiter de la sécurité du paiement. L’expérience client sera également abordée.

Les différents types de paiement mobile

On trouve principalement 3 systèmes pour le paiement mobile :

  • SE (Secure Element) : utilisé par exemple chez Apple et Samsung via Secure Enclave.
  • HCE (Host Card Emulation) : exploité entre autres avec Google Pay, Paylib Sans Contact, Carrefour Pay.
  • SIM Centric / eSE (embedded Secure Element) : en voie d’extinction, seul Orange Bank l’utilise encore, sous Android uniquement.

Ces 3 méthodes utilisent le composant et la technologie NFC (Near Field Communication). Il est ainsi possible de payer en Sans Contact avec le mobile.

D’autres technologies n’utilisant pas le NFC sont en cours de développement

  • Le QR Code (Quick Response Code)
  • Le Bluetooth
  • L’EAN (Code-barres).

A l’exception de la zone Asie, les méthodes basées sur le NFC sont les plus répandues. C’est donc sur les 3 technologies citées plus que nous allons nous étendre.

Secure Element

On retrouve cette technologie surtout chez Apple et Samsung qui utilisent une enclave pour le stockage. Le Secure Element (ndlr :abrégé SE dans la suite de l’article) repose sur la technologie Java Card et respecte un standard décidé par l’industrie EMV. Il n’y a donc pas de variantes différentes. Apple et Samsung fonctionnent donc à l’identique. Le composant Java est sauvegardé dans une enclave devant répondre aux exigences de sécurités imposées par VISA, Mastercard, American Express, CB,… Il peut y avoir plusieurs composants Java, appelés couramment des cartes. Le nombre dépend de la capacité de stockage de l’enclave.

Cette technologie (SE) est le niveau le plus fort que l’on sait faire à ce jour en matière de paiement mobile. L’accès à l’enclave contentant le SE est assuré par un système de passerelle séparant l’OS de l’enclave. Cette passerelle vise à garantir que l’enclave est inviolable. Les données qui s’y trouvent stockées sont hautement sécurisées. On pourrait vous détailler le fonctionnement de la mémoire partagée de manière technique. Résumer cela en une passerelle reste nettement plus parlant et permet de comprendre que les 2 sont séparés.

Avec une telle technologie, on s’approche du niveau de sécurité offert par les cartes physiques. Ces dernières disposent également de zones mémoires accessibles exclusivement par la puce et totalement hermétiques à tout accès extérieur. Techniquement, avec cette technologie, toutes les conditions sont réunies pour qu’on puisse payer en hors ligne avec son téléphone Apple ou Samsung au travers d’Apple Pay et Samsung Pay.

Host Card Emulation

Cette technologie est la plus répandue sous Android. Elle permet aisément à un émetteur de proposer son service de paiement mobile au travers de son application. Cette technologie n’est pas supportée par Apple, elle n’est disponible que dans Android depuis la version 4.4. Les solutions basées sur Paylib Sans Contact (Société Générale, Banque Populaire, Caisse d’Epargne, La Banque Postale, BNP / Hello bank!…) utilisent cette solution. Mais des systèmes proposés par Crédit Agricole, LCL, Crédit Mutuel, CIC, utilisent également la technologie HCE. Carrefour Banque, Tap & Pay by bunq… utilisent le système HCE qu’ils ont intégré dans leurs applications.

Avec HCE, les émetteurs utilisent surtout une technologie nommée Secure Element in the Cloud. Elle consiste à ne stocker qu’une partie des données le mobile pour le paiement, l’autre partie est stockée par l’émetteur. Une fois les 2 pièces associées, le paiement peut alors être effectué. Il est ainsi possible d’être totalement protégé même en cas de présence de malware sur un téléphone Android. Un programme malveillant sera ainsi incapable d’obtenir des éléments pour effectuer un paiement.

En plus de la connexion du TPE, la technologie impose également une connexion fréquente du mobile à un réseau internet (Edge, 3G, H+, 4G,…). Une variante existe donc pour palier à ces situations.

Le paiement mobile repose sur un système de jetons qu’on nomme souvent Tokens. Ce sont en réalité des numéros de cartes virtualisés et liés à votre carte bancaire physique. Avec HCE, il est possible de pré-charger plusieurs jetons dans l’application. On peut ainsi définir le nombre de fois qu’un token peut être utilisé (ou quel montant), avant de passer au jeton suivant.

Host Card Emulation est une méthode qui est qualifiée comme moins sécurisée. Cela ne veut pas dire qu’elle est dangereuse, loin de là même. Mais entre un système reposant sur une enclave et HCE, c’est l’enclave qui l’emporte en matière de sécurité. Il ne faut donc pas assimiler HCE à quelque chose de non sécurisé. On peut assimiler HCE à la souplesse d’intégration sous Android. L’émetteur peut développer sa solution de paiement. Il n’a pas besoin d’attendre une validation du constructeur ni même payer des frais afin que ses clients puissent exploiter le paiement mobile. Seul et unique impératif, le téléphone Android doit être au moins en version 4.4 pour embarquer la technologie HCE.

SIM Centric / eSE (embedded Secure Element)

Cette méthode est la plus sécurisée et fiable qui existe tant sur Android ou Windows. Apple ne l’a pas implémentée afin d’imposer Apple Pay. SIM Centric devance d’ailleurs Apple Pay et Samsung Pay en matière de sécurité. Sa première exploitation en France fût en 2010. Dès 2012 pour les détenteurs de téléphone Android ou Windows Phone/Mobile purent utiliser cette technologie.

4 ans avant l’existence d’Apple Pay, SIM Centric posait déjà des bases robustes en matière de sécurité, inégalées à ce jour. On doute qu’un système de paiement parvienne un jour à surpasser SIM Centric. Le système SIM Centric est en déclin en raison des exigences liées à la sécurité de cette solution. En 2012, c’était La Banque Postale, Société Générale, BNP, CIC et Crédit Mutuel qui répondaient présents pour le paiement mobile sans contact avec SIM Centric. Orange Cash avait rejoint un peu plus acteurs les acteurs historiques.

SIM Centric fonctionne avec un SE. Mais ce SE n’est pas stocké dans une enclave, mais dans une zone protégée de la carte SIM. La carte SIM est donc le SE. L’opérateur devait donc fournir une SIM NFC. Seuls Orange et SFR le proposaient à leurs clients. En complément de cette SIM NFC, il fallait que l’opérateur et l’émetteur soient reliés à un TSM (Trusted Service Manager). En France, c’était IDEMIA (ex Oberthur Technologies) qui assurait ce rôle.

Un dernier élément et non des moindres, il fallait que le mobile soit compatible avec la gestion du SIM Centric. Par conséquent, le constructeur devait embarquer dans sa version d’Android (ou Windows) la librairie permettant de manipuler la carte SIM pour y déployer les données de paiement. Encore aujourd’hui, certains constructeurs ne le font pas, rendant impossible l’utilisation du paiement mobile avec Orange Bank.

Un ensemble de partenaires devaient donc travailler ensemble. Le tout orchestré par la banque qui pilotait à distance toute la configuration de votre paiement mobile.

La force du SIM Centric repose dans le fait que la SIM est un élément physique, matériel inviolable totalement isolé de l’OS. C’est la SIM avec le contrôleur NFC qui pilote ainsi l’antenne NFC et non l’OS. La banque devait ainsi piloter à distance des « reset » pour les compteurs comme l’ATC (Application Transaction Counter) permettant au mobile de savoir quand avait eu lieu le dernier contrôle des transactions par la banque. Cela demandait une excellente maîtrise de la monétique et supporter la lourdeur relative à la sécurité.

Authentification forte

On touche à présent au cœur du problème concernant le paiement mobile : l’authentification forte du porteur.

Il faut déjà comprendre ce que les réseaux (VISA, Mastercard, CB,…) entendent par authentification forte. Il est question d’avoir un élément physique qui s’occupe de l’authentification du porteur, c’est à dire le titulaire de la carte.

Une carte bancaire physique est en authentification forte de même que la technologie SIM Centric. Apple Pay, Samsung Pay, Paylib Sans Contact… ne sont pas considérés comme une authentification forte.

Authentification forte et xPay

Apple Pay, c’est l’OS qui s’occupe de vous authentifier au travers de la biométrie (reconnaissance de l’empreinte ou visage selon l’équipement) ou de manière plus classique en entrant un PIN sur le mobile. Samsung Pay, est sur les mêmes méthodes, avec la reconnaissance d’iris en plus sur certains modèles. Dans ces 2 xPay, l’application Java Card n’est jamais en mesure de vérifier les dires de l’OS. L’OS va certifier seul que l’authentification s’est bien effectuée et qu’il faut effectuer la transaction. Il n’y a donc aucun double contrôle.

L’application Java Card doit faire entièrement confiance à l’OS et à l’ordre qui en émane. Par conséquent, l’authentification forte n’est pas retenue ici. Les réseaux imposent que les paiements avec Apple Pay ou Samsung Pay soient effectués avec une autorisation systématique. Il n’y a donc pas de offline autorisé. C’est le réseau qui va jouer le rôle de double contrôle en analysant la transaction avec le concours de votre banque.

Authentification forte et HCE

Pour les services reposant sur HCE, il n’y a jamais d’authentification forte possible. D’autant que pour certains, il faut une autorisation online afin de réunir l’ensemble des éléments pour effectuer le paiement. Le hors ligne est donc interdit également pour HCE, tout comme il l’est pour Apple et Samsung Pay.

Authentification forte et SIM Centric

En SIM Centric, nous allons prendre l’exemple de la M-Carte qui était le nom commercial de l’offre chez Crédit Mutuel et CIC. Pour information, les derniers détenteurs ont vu le service arrêté au 31 décembre 2017.

Lorsque vous vouliez payer, le mobile devait être déverrouillé (code obligatoire). Jusqu’à 20€, le SE (la SIM pour faire simple), faisait confiance à l’OS et considérait que si ce dernier lui confirmait l’authentification, elle suivait. Au-delà de 20€, le SE ne faisait plus confiance à l’OS, il voulait contrôler votre authentification. Par conséquent, l’application se lançait et vous deviez saisir un code PIN à 4 chiffres qui était envoyé au SE. Si le code était valide, le SE s’ouvrait au paiement, le cas échéant, il s’y refusait. Passé 3 code faux, le SE se bloquait définitivement.

Il y avait 2 cinématiques de paiement pour les paiements supérieurs à 20€ :

  • La première, vous présentiez le mobile et une fois le montant détecté, l’application se lançait afin de saisir le code PIN, puis vous représentiez le mobile au TPE. Entre les 2 présentations, le TPE indiquait clairement « Saisir code sur mobile puis représenter ».
  • La seconde cinématique consistait à lancer l’application et saisir le PIN pour les paiements supérieurs à 20€. De cette façon, il n’y avait pas 2 présentations à faire sur le TPE.

Le code PIN du SE était envoyé par courrier postal. Il était personnalisable par la suite sur la M-Carte. Mais ce n’était pas le cas chez l’ensemble des concurrents de l’époque.

En SIM Centric, le SE ne fait pas une confiance aveugle à l’OS. Les moyens sont donnés afin qu’il puisse vérifier l’authentification. Cette technologie a donc été qualifiée d’authentification forte. Avec ce statut, elle pouvait valider les paiements en hors ligne, comme peut le faire une carte bancaire physique. Dans l’usage, nous serions de mauvaise foi si on ne soulevait pas le côté « lourd » pour le porteur dans le processus de paiement en SIM Centric, surtout au-delà de 20€. Apple et Samsung ont grandement simplifié cela dès le 1ct, mais au prix de l’absence d’authentification forte.

Des réflexions furent menées pour savoir si SIM Centric pourrait fournir une expérience plus fluide car ladite technologie n’était pas utilisée qu’en France. Malheureusement, toutes les propositions de simplification cassaient le mécanisme d’authentification forte, imposant que le SE puisse contrôler à son tour le porteur. Ces conclusions ont conduit indéniablement au recul du SIM Centric et à l’arrêt de la commercialisation des offres.

Orange pour sa part avec Orange Bank (mais aussi feu Orange Cash) repose encore sur la technologie SIM Centric pour les paiements Android. Il nous paraît très peu probable qu’Orange s’emploie à continuer avec cette technologie. Il est donc plus crédible de supposer qu’Orange entame déjà les travaux pour passer sur HCE. En basculant sur HCE, Orange deviendrait alors compatible avec les Pixels, One+ et autres marques ne supportant pas la technologie SIM Centric. Hors de l’hexagone, certaines banques proposent encore du SIM Centric, mais elles ont déjà publié des versions basées sur HCE. Google Pay n’obtenant pas les faveurs des banques qui ont un doute sur les intentions de Google.

La carte bancaire physique

Dans un prochain article, nous vous détaillerons le fonctionnement et la gestion du code PIN entre autres les modes PIN online et offline. En France, les cartes sont configurées pour du PIN Offline, les TPE ne gérant d’ailleurs pas le PIN Online.

Quand vous êtes invité à saisir votre PIN, ce dernier est donc envoyé à la puce. Cette dernière va échanger avec une mémoire protégée pour savoir s’il est bon ou pas. A aucun moment la puce ne sait quel est le bon code PIN, elle n’aura qu’une réponse positive ou négative de cette zone protégée. Il est techniquement impossible de contourner la réponse de cette zone mémoire en situation réelle.

D’autres mécanismes comme des compteurs sont présents pour s’incrémenter à chaque paiement, mais aussi en cas d’erreur sur le code PIN afin de bloquer la carte. On peut également rappeler que chaque paiement avec la carte génère une signature unique et infalsifiable permettant à la banque de savoir que c’est bien sa carte et sa puce qui ont validé toutes deux le paiement. La signature permet d’ailleurs d’attester ou non de la saisie du PIN et sa validation par la zone mémoire protégée.

On parle de CVM pour l’authentification du porteur et de noCVM pour l’absence d’authentification.

Jusqu’à 30€ en France, les transactions peuvent se faire en noCVM, dans le respect d’une limite haute devant être fixée à 60€ de dépenses cumulées sur les nouvelles cartes. Actuellement, les limites hautes sont de l’ordre de 100€. Le seuil de déclenchement du CVM n’est pas un choix des banques. Ce sont là encore les réseaux qui fixent cela par pays et selon les risques propres à chaque pays. C’est pour cela qu’en France on trouve du 30€, du 25€ en Allemagne, 20€ en Espagne… Le Danemark a le seuil le plus élevé avec 47€ env., la Pologne le plus faible avec 12€.

On voit venir certains et dire « oui mais en Espagne je peux payer jusqu’à 3000€ en Sans Contact ». C’est exact, mais ce n’est plus du noCVM, vous vous authentifiez en PIN Online. Par conséquent, la transaction sera impérativement en Online. Ce n’est donc pas du tout pareil que du Sans Contact sans authentification.

Certains commerçants d’ailleurs imposent un code PIN lors de l’utilisation d’Apple Pay. Il n’est pas rare en Allemagne de voir des commerces où au-delà de 25€, on vous demande de saisir le code PIN de la carte embarquée dans Apple Pay. Des services comme boon ce sont d’ailleurs adaptés et proposent de définir un code PIN afin de répondre aux exigences de double authentification de certains commerçants. La transaction sera alors traitée en PIN Online, l’authentification Apple Pay seule (CDCVM : Consumer Device Cardholder Verification Method) étant jugée insuffisamment fiable.

Votre carte physique respecte donc les exigences en matière de contrôle. C’est bien elle qui va pouvoir valider le code PIN (en PIN Offline) et ainsi se substituer à votre banque pour accepter un paiement. Les réseaux (on rappelle une nième fois que les banques ne sont pas décisionnaires) confèrent donc le statut d’authentification forte à une carte bancaire, la considérant ainsi plus fiable qu’Apple Pay ou Samsung Pay. Elle peut donc rivaliser avec le SIM Centric en matière de sécurité.

L’autorisation systématique et le paiement hors ligne

Par cette absence de statut d’authentification forte (à l’exception du SIM Centric), l’ensemble des paiements effectués avec un mobile doit donc diligenter une autorisation online. L’émetteur de votre carte devra donc approuver chacune des opérations réalisées avec votre mobile.Cet impératif entraîne malheureusement certains échecs. Tous les acteurs en sont conscients.

Une solution serait toutefois envisageable, mais cela reste à la discrétion d’Apple et Samsung. Ces 2 acteurs seraient obligé de revoir leur politique pays par pays et pour chaque partenaire (banques, fintech,…). La solution serait de faire une authentification simple, comme actuellement, jusqu’à 30€ en France et une double au-delà. Mais cela n’arrivera jamais car on serait hors de l’expérience qu’ils souhaitent proposer à leurs clients.

Si à ce stade vous vous dites que les règles d’authentification forte sont archaïques, nous vous arrêtons de suite. Ces règles définissent qui porte la responsabilité en cas de fraude. Elles ont donc pour but de responsabiliser l’une des parties concernées par le paiement (vous, le commerçant ou votre banque). Pour remanier ces règles, il faudrait donc transférer la responsabilité sur le porteur (vous en l’occurrence). L’émetteur de votre carte n’aurait donc plus à prouver votre négligence pour vous faire porter la responsabilité. Elle serait d’office portée par vous-même. Ce serait à vous de prouver que vous n’êtes pas à l’origine de l’opération.

Soyons très clair à nouveau. Cela n’arrivera jamais pour une raison simple. Les réseaux, avec le concours d’autorités comme l’Europe, ont décidé que les porteurs devaient toujours être considérés comme victime. Par conséquent, il appartient à l’émetteur de prouver votre négligence. A défaut, il devra supporter les montants que vous déclarez comme frauduleux et vous rembourser.

Conclusion

La carte bancaire physique va évoluer en France avec l’arrivée du F.Code, permettant ainsi d’avoir une authentification qualifiée de forte dès le 1er centime. Plusieurs banques ont déjà répondu présentes pour la commercialisation de cette nouvelle génération de carte. Les cartes physiques ont encore de beaux jours devant elles car elles savent s’adapter aux situations et aux usages du quotidien.

Apple ne s’est pas lancé sans raison dans la délivrance avec Goldman Sachs d’une carte physique. Le paiement mobile trouve ses limites. Seule une carte physique sait s’adapter pour permettre en tout lieu et toute condition, le paiement.

Dans l’idée, les gens pensent que les cartes bancaires perdues ou volées sont systématiquement utilisées pour des opérations frauduleuses en Sans Contact car il n’y a pas de contrôle. En réalité, c’est extrêmement rare car les tiers ne s’essayent pas trop à ces usages, il y a toujours un risque de caméras ou tout simplement devoir insérer la carte. Si une telle situation devait se produire, la banque rembourserait les opérations. Dans tous les cas, les usages seraient fortement limités. On abaisserait le plafond du noCVM à 60€ cumulés.

C’est également amusant de voir certaines légendes sur les paiements à votre insu : par exemple en vous tapant le TPE sur les fesses, en vous frôlant dans les transports avec un TPE, ou plus récemment à la plage. Ces histoires font bien rire les monéticiens. Surtout quand elles sont relayées par des experts, ça vaut presque un spectacle de Florence Foresti. Nous comprenons cependant qu’elles soient prises au sérieux par les porteurs.

Dans la réalité, cela n’existe pas ! Ne croyez pas les « c’est arrivé à quelqu’un que je connais » ! Non, cela n’existe pas. C’est pareil pour ceux qui vous expliquent qu’on peut cloner votre carte pour ensuite dépenser l’argent en Sans Contact chez des commerçants… ce sont des âneries ! ( on n’avait pas écrit « âneries » au départ mais c’était pas joli joli alors on l’a enlevé…).

Mastercard, VISA, CB… ne sont pas fous, ils surveillent toutes les situations de risques. Ce sont eux qui fixent les règles. Les émetteurs (ex votre banques), les acquéreurs (ex banque du commerçant) ou encore les accepteurs (ex les commerçants) doivent tous se conformer aux règles.

Votre carte bancaire est donc parfaitement sécurisée en Sans Contact. Vous n’avez aucune crainte à avoir sur les détournements de cette dernière en Sans Contact. Le paiement mobile (ou montre, bague, porte clés, bracelet,…) est sécurisé, il n’y aucun doute. Toutefois, son niveau de sécurité est matériellement plus faible qu’une carte bancaire physique. Le mobile a toutefois un avantage certain. Pour les montants de plus de 30€ en France, il est plus simple de poser le mobile qu’insérer la carte et saisir le code PIN. Mais cette expérience d’utilisation s’accompagnera de la contrainte d’une autorisation online avec les aléas qui l’accompagne.