Votre nom :
Votre email :
Email du destinataire :

Paiement sans contact Apple Pay : quid de la sécurité ?

Apple Pay, un trou dans la sécurité des paiements sans contact (NFC) ?

Le paiement sans contact (NFC) est connu pour ses lacunes au niveau de la sécurité. Cette technologie est pourtant intégrée aux appareils Apple de nouvelle génération : iPhone 6 et Apple Watch. Qu’offrent-ils comme garanties ?

La technologie NFC permet d’échanger des informations dans les airs, entre un émetteur et un récepteur rapprochés, à la manière des titres de transport (ex : Navigo, Korrigo, etc.). Les puces NFC intègrent aujourd’hui massivement nos cartes bancaires et nos smartphones, dans le but de généraliser le paiement sans contact, qui ne nécessite plus la saisie du code de sécurité à 4 chiffres, et qui serait donc plus simple à utiliser. Mais ce n’est pas sans risques…

Les risques du paiement sans contact (NFC)

Comme pour toutes les informations qui circulent dans les airs, les données bancaires transmises lors de paiements sans contact peuvent être interceptées à distance, y compris à l’aide d’applications mobiles gratuites, et réutilisées à des fins frauduleuses :

La CNIL a d’ailleurs émis de sérieux doutes quant à la sécurité du paiement NFC, et même les banques tentent de faire diversion, en attendant de développer et de généraliser un système de pare-feu sur les cartes bancaires équipées de puces NFC.

Apple Pay : des garanties de sécurité

Mardi dernier, lors de la Keynote Apple 2014, Tom Cook et ses acolytes présentaient les nouveaux produits de la marque à la pomme, dont l’iPhone 6 et la montre Apple Watch. Ces deux produits vont proposer le paiement sans contact, grâce à la technologie NFC et au dispositif Apple Pay. Ce dernier offre des garanties de sécurité pour combler les lacunes du paiement NFC :

Un numéro de compte lié au terminal

Le « Device Account Number » est un numéro de compte factice, propre à chaque terminal (iPhone ou Apple Watch). De cette manière, aucun numéro de carte bancaire réel n’est stockée sur l’appareil.

Le chiffrement des informations de paiement

Le « Device Account Number » est stocké sur le terminal de façon chiffrée, au cœur d’un espace appelé « Secure Elements », théoriquement protégé contre les intrusions et les applications malveillantes.

Des cartes de paiement à usage unique

Le « Device Account Number » permet de générer des cartes bancaires virtuelles à usage unique, à la manière des e-cartes proposées par certaines banques (ex : Virtualis). Ce procédé a le double avantage de ne pas transmettre aux commerçants son véritable numéro de carte bancaire (ni même son nom), et de limiter les éventuelles pertes financières en cas d’interception des données.

La suspension du Device Account Number

En cas de perte ou de vol de son terminal (iPhone 6, Apple Watch), l’utilisateur n’aura pas à intervenir auprès de sa banque pour suspendre l’activité de sa carte bancaire, mais simplement à désactiver le Device Account Number dans ses préférences Apple.

Une authentification par Touch ID

Plus besoin de taper son code de sécurité à 4 chiffres (PIN) ! En lieu et place, l’utilisateur devra s’identifier par Touch ID (autorisation par la vérification d’empreinte digitale). Faites attention à ne pas vous faire couper un doigt ! Ou alors pas n’importe lequel ;-)

L’activation ponctuelle de la puce NFC

Contrairement à une puce NFC intégrée à une carte bancaire, celle de l’iPhone 6 ou de la montre Apple Watch ne sera pas activée en permanence, mais seulement aux moments où l’application de paiement sera utilisée, limitant ainsi les risques d’interception.

Apple Pay, qui devrait être utilisable dès octobre 2014 aux USA (puis plus tard dans le reste du monde), ne résout aucunement les failles intrinsèques au système de paiement sans contact par NFC. En revanche, Apple aménage toute la procédure de paiement sans fil avec des dispositifs de contrôle, de limitation et de protection qui minimisent fortement les risques d’interception de données bancaires. Cette sécurisation impose une légère complexification du paiement (par rapport au fameux « Poser, c’est payé ! » vanté par les banques), mais celle-ci est indispensable. Et si elle vous effraie, vous pouvez aussi continuer à utiliser votre bonne vieille carte bleue (non équipée de puce NFC) et votre sempiternel code PIN à 4 chiffres !

Apple : demain votre banque ?

Finalement, le plus inquiétant dans ce système Apple Pay (qui ressemble assez au système Google Wallet), ce n’est pas tant le risque des transactions sans contact, mais le rapprochement presque insidieux entre un compte Apple et un compte bancaire : si Apple Pay est aujourd’hui un dispositif d’intermédiation, qu’est-ce qui peut l’empêcher demain de devenir directement une banque en ligne ? Certes, la confiance des utilisateurs dans le système bancaire traditionnel n’est pas au beau fixe, mais serons-nous tentés, demain, d’ouvrir un compte bancaire dans une société qui n’est pas une banque, mais une compagnie mondiale qui capitalise sur nos données personnelles et notre addiction aux nouvelles technologies ?

 

Source: 01net.com
Image: Flickr / Adam Fagen / CC BY-NC-SA 2.0

 

 

Suggestions de contenu lié à cet article
TAGS Applechiffrementdonnées bancairesiOSiPhonesécuritésmartphone

1 commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Protection anti-spam

«« Des bagages ! Pourquoi ? Il fallait que j'en prende ? »»

Dans le texte ci dessus, recopiez le verbe mal conjugué

Votre réponse :

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Dubois
19/10/2014 08:55

C’est un début technologique pour un monde à la big Brother, il y a un danger pour les libertés à utiliser une puce NFC RFID comme moyen d’identification et de paiement cela correspond exactement au futur système économique mondial annoncé dans la bible ; l’apocalypse chapitre 13 verset 16 il y a plus de 2000 ans :

« Et elle fit que tous, petits et grands, riches et pauvres, libres et esclaves, reçoivent une marque sur leur main droite et leur front et que personne ne puisse acheter et vendre sans avoir la marque le nombre de la bête ou le nombre de son nom, c’est ici la sagesse! Que celui qui a de l’intelligence compte le nombre de la bête ; car c’est un nombre d’homme et ce nombre est six-six-six. »

Regardez comment fonctionne un code barre, le 6 6 6 est déjà caché partout sur tous les produits de consommation que nous achetons, même sur votre nouvelle carte d’électeur (pour les Français) ! Ce sont les 2 petits traits (barre de garde ou guard bar en Anglais) à gauche du code-barres, du milieu, et à droite qui en langage code-barres donne le 6, les chiffres de la partie droite du code barre ne sont pas cryptés, si vous avez un 6 au-dessus vous avez systématiquement les 2 petits traits (pour quelle raison occulte cette norme a été validé dans le monde entier?). Je n’invente rien, encore simple à vérifier sous Google avec des dessins pour mieux comprendre (en tapant : barre code et 666, puce verychip ) …

après le futur krach économique à cause de la dette on va passer au mode d’argent électronique (plus de billets et de liquide) puis à la nano puce RFID implantée sur la main droite ou le front au nom de la sécurité et de la santé pour les épidémies (avec une modification faustienne de notre ADN en bonus) il faudra faire le bon choix …
on n’arrête pas le progrès, science sans conscience n’est que ruine de l’âme.
«Le monde est dangereux à vivre ! Non pas tant à cause de ceux qui font le mal, mais à cause de ceux qui regardent et laissent faire.» Albert Einstein