Sécurité : Apple Pay…pas à l’abri des escrocs !

Frédéric Hourdeau

News

le 08/03/2015 à 19h50

Tweeter

Lancé en octobre 2014, le service de paiement Apple Pay a été utilisé par des escrocs pour se fournir produits de valeur dans des boutiques …y compris (un comble !) dans les boutiques Apple aux Etats-Unis.

Aux Etats-Unis, des escrocs ont abusé du système de paiement mobile Apple Pay en chargeant des données bancaires volées dans des iPhone 6 pour acheter des produits dans des magasins, et notamment les boutiques de la firme ! Les banques réagissent en mettant en place une série de contre-feux.

Retour sur ce nouveau mode de paiement :

Apple Pay, un système qui combine technologie sans contact (NFC) et identification digitale, a été lancé en octobre aux États-Unis mais ne devrait être disponible en France qu’en 2016.

Simplifier à outrance le paiement mobile :

Un iPhone, une borne de paiement sans contact, et… c’est tout ! La dernière livraison d’iPhone (iPhone 6 et iPhone 6 Plus) intègre une puce Near Field Contact (NFC), qui permet d’interagir avec des terminaux compatibles (sur le même principe que par exemple le Pass Navigo, pour les transports  en d’Île de France).

Il suffit de placer son smartphone Apple sur une base compatible, de placer son doigt sur le bouton de l’iPhone pour s’identifier, et le paiement est enregistré.

Pas besoin de mot de passe ni de signature, tout se fait électroniquement.

Apple assurait  qu’Apple Pay serait  parfaitement sécurisé.

En effet, l'information de sécurité de chaque paiement mobile devait être conservé sur la carte SIM, et non sur le téléphone ou dans le Cloud d‘Apple.

Ni les opérateurs, ni Apple n’y ont accès, ceci  lui conférant  un rôle de  « coffre-fort personnel ».

Quant au paiement, quelle que soit la somme, il doit être directement prélevé sur le compte bancaire de l’utilisateur.

La technologie NFC existe depuis de longues années, aux États-Unis comme en France.

Le paiement mobile, malgré de nombreuses tentatives, ne s’était  jamais jusqu’ici imposé à grande échelle.

Mais alors pourquoi est-ce qu’Apple devait réussir là où plusieurs acteurs ont dû y renoncer ?:

Grace l’utilisation ultra-simplifiée et surtout parce qu’Apple a conclu de nombreux partenariats pour s’assurer de la compatibilité de son système : Visa, Master Card ou American Express pour les émetteurs de cartes de crédit, McDonald’s, Sephora, Starbucks, Disney Stores et bien entendu les boutiques Apple côté des grandes enseignes.

A noter qu’Apple Pay n’est compatible qu’avec les iPhone 6 et iPhone 6 Plus, donc, pas d’Apple Pay pour les iPhone 3, 3GS, 4 ou 4S.

L’escroquerie :

Si les escroqueries dont a été victime Apple Pay ne remettent pas en cause la sécurité du système en lui-même,  elles montrent toutefois la facilité avec laquelle certaines banques autorisent l’utilisation de données bancaires de leurs clients sur le système de paiement.

Plébiscitée pour son caractère ultra-sécurisé lors de son lancement outre-Atlantique en septembre dernier, Apple Pay n’a ainsi pas échappé à une vaste escroquerie à la carte bancaire comme le révèle « The Guardian ».

Des données bancaires qui avaient été volées lors de récents piratages de grandes chaînes de magasins, comme Target ou Home Depot, ont ainsi été utilisées via Apple Pay.

Et pour comble, le « Wall Street Journal »affirme que leurs auteurs auraient visé dans quatre cas sur cinq les propres magasins d’Apple, car ils disposent de produits particulièrement onéreux !

En pratique, les fraudeurs n’ont pas attaqué la solution de paiement elle-même, mais ils ont profité de la simplicité de son processus d’enrôlement.

Les escrocs ont réussi à paramétrer des smartphones avec des informations bancaires volées, sans avoir donc besoin de cartes bancaires physiques pour effectuer des achats frauduleux et usurpé l'identité des titulaires.

En effet, pour ouvrir un compte Apple Pay, le détenteur d’un iPhone6 doit contacter la banque émettrice de sa carte pour que celle-ci soit liée au portefeuille électronique.

Or, face à l’afflux des demandes d’ouvertures (plus d’un  million dans certains cas), certaines s’effectuant en un coup de fil à une plate-forme d’appel, plusieurs établissements ont allégé les procédures d’authentification de leurs clients.

Ainsi, ils ont pu donner leur feu vert à l’enregistrement de cartes sans s’assurer que le donneur d’ordre correspondait bien au porteur de ces cartes.

« La sécurité du système monétique ne suffit pas : on a beau avoir un coffre blindé, si on laisse la clé dessus, n’importe qui peut l’ouvrir », souligne à cette occasion  Claude Megglé, professeur en cryptologie et membre de l’association Eestel (Experts européens en systèmes de transactions électroniques).

Les données volées (numéros de cartes et informations personnelles) proviennent des brèches de données qui ont frappées les géants de la distribution : Target fin 2013 (40 millions de données de cartes compromises) et Home Depot en 2014 (53 millions de données de cartes compromises).

A noter que cette fraude n'affecte cependant pas les clients qui ont fait opposition sur les numéros de cartes bancaires dérobés ces derniers mois.

Un marché du paiement mobile particulièrement  juteux !

Selon la société de recherche eMarketer, 3,5 milliards de dollars de paiements mobiles, réalisés avec un smartphone plutôt qu’avec une carte de crédit ou du liquide, ont déjà été effectués aux Etats-Unis l’an dernier ; ils pourraient atteindre 27,5 milliards en 2016 et 118 milliards en 2018.

Les promoteurs de portefeuilles électroniques n’ont donc d’autre choix: que de trouver le juste équilibre entre la simplicité d’usage et la sécurité du système pour gagner la confiance des consommateurs.

Selon Claude Megglé, ce type de fraude devrait toutefois être moins facile en France :

« Contrairement aux acteurs bancaires américains qui disposent de commissions d’interchange élevées de nature à couvrir les pertes liées à la fraude, les banques françaises ne pourraient se permettre d’être aussi légères. Pour vérifier l’identité de leur client, elles utiliseront le système de code à usage unique envoyé par SMS sur son mobile déjà authentifié par leurs soins. »

Les établissements français pourront ainsi  lors de la mise en place du système en France tirer les leçons de cette première vague de fraudes.

Pour que la solution puisse être déployée en France, il faudra d’abord que ses spécifications techniques soient intégrées dans le système d’acceptation français .

En matière de sécurité, Apple Pay devra en outre obtenir l’agrément du Groupement des Cartes Bancaires.

Ces deux étapes devraient encore prendre une bonne année, avant de voir se déployer Apple Pay en France au second semestre 2016.

La parade des banques : vers un système d'authentification plus efficace.

Dans le cadre de l'utilisation de l'iPhone 6 en tant que moyen de paiement, les banques américaines utilisent deux types de méthodes : l'une pour les cartes immédiatement approuvées (green path) et l'autre pour les cartes nécessitant des vérifications supplémentaires (yellow path).

Mais certaines banques vérifient l'identité des utilisateurs en demandant seulement les 4 derniers numéros de leur identifiant sécurité sociale. Or, ces numéros font  l'objet de vols en masse, avec en moyenne chaque année 11,5 millions d'américains abusés, ce qui a permis aux fraudeurs de duper la vigilance des banques.

Selon The Guardian, les établissements bancaires ont été pris de court par la technique employée par les fraudeurs et travaillent à l'amélioration de la vérification des identités des personnes réglant leurs achats via l'Apple Pay afin d'empêcher que le problème prenne une ampleur dramatique alors que près de 2 millions d'américains utilisent actuellement le système de paiement d’Apple .

Certaines banques veulent ainsi rendre plus difficiles le mécanisme de création d'un compte Apple Pay pour s'assurer que les cartes bancaires appartiennent vraiment à la personne qui les charge dans le téléphone.

Le principe de l'authentification à double facteur :

Sur le principe de l'authentification à double facteur, un code d'autorisation pourrait être envoyé par mail ou sur le téléphone de l'utilisateur, d'autres pourraient demander à appeler un numéro de service client pour vérifier l'identité de la personne via une série de questions sur ces achats récents ou des informations d'adresse, ce qui alourdit la procédure.

Quelques banques vont plus loin en demandant aux clients d'autoriser leur requête Apple Pay en les connectant à leurs comptes bancaires en ligne.

En France, l'arrivée de l'Apple Pay est à l'étude par le biais de Visa qui espérait  convaincre Apple de lancer prochainement sa plateforme de paiement sans contact en Europe, à moins que les récents évènements ne fassent réfléchir le Groupement des cartes bancaires !

Apple a dévoilé ce mardi son premier nouveau type d'appareil depuis quatre ans, une montre connectée, l’Apple Watch, deux nouveaux modèles d'iPhone et un système de paiement mobile. - News - publié le 10/09/2014 Comme prévu, lors de son show, diffusé sur internet, Apple a dévoilé un iPhone 6 décliné en 4,7 et 5,5 pouces, compatible NFC, disponible dès le 19 septembre. La montre connectée « l’Apple Watch » était aussi de la fête. Enfin, la firme à la pomme entend « remplacer le portefeuille » avec son système de paiement sans contact Apple Pay.