Tap to Pay est une fonctionnalité présente sur iPhone depuis quelques années, mais essentiellement aux États-Unis et dans quelques pays. Elle permet de recevoir un paiement sans contact, transformer le téléphone en terminal de paiement.
Le paiement peut être émis depuis une carte bancaire ou n’importe quel smartphone possédant ce type de système de paiement. Il fonctionne également avec les Apple Watch et les montres connectées Android. Côté iPhone, il faut au moins un XS pour que la fonction soit prise en charge.
Le service est officiellement disponible en France depuis hier soir, même si réservé (pour l’instant ?) aux entreprises. Il a nécessité un accord avec le groupe BPCE (Banques Populaires, Caisses d’Epargne et Payplug) et six sociétés spécialisées dans le domaine : SumUp, Adyen, myPOS, Revolut, Viva Wallet et Worldline.
Un certain nombre d’enseignes ont répondu présentes pour le déploiement du service, dont Apple elle-même, bien sûr, dans ses Stores. Christian Dior Couture, Dyson, Rituals et Sézane sont aussi de la partie, de même que les magasins Sephora (d'ici à quelques semaines), ou encore les restaurants (plus de 12 000) rattachés au service L’Addition.
Attention, Tap to Pay ne sera compatible dans un premier temps qu’avec les cartes Visa, Mastercard, American Express et Discover. Le réseau Cartes Bancaires sera ajouté dans les semaines qui viennent.
Commentaires (39)
#1
Ah les fraudes vont encore s’amplifier !
Merci Apple !
#2
Effectivement, ça va être le festival des pic-pockets NFC dans les rassemblements.
[Rappel sur la sécurité]
La sécurité bancaire passe par le chiffrement des échanges mais pas que. La carte bancaire est délivrée par la banque (CàD un support propriétaire contrôlé par la banque).
En transférant ses identifiants bancaires (N° de carte etc …) dans un smartphone, on perd la protection du format propriétaire. Les données sont alors stockées dans un support matériel « non bancaire » avec un système d’exploitation « non bancaire » (et accessoirement allégé du point de vue de sécurité parce que la fluidité des vidéos de chat est plus importante que la protection contre le vol de données)
#2.1
En vrai tu n’as jamais utilisé Apple Pay non ?
Parce que pour info, ça fonctionne totalement hors ligne. Aucun identifiant de ta carte n’est stocké, le système stocke une clé privée dans la puce Secure Enclave du smartphone et à chaque paiement, l’OS demande à la puce de générer un nouveau token de paiement. La puce ne peut pas être déchiffrée sans authentification de l’utilisateur (biométrique ou code).
Donc dans ce système :
En bref, j’ai vraiment du mal à voir en quoi ce système n’est pas mille fois plus safe qu’une bête CB.
Je ne connais pas Google Pay ou Samsung Pay mais j’imagine que les principes sont similaires.
#2.2
+1000, ma CB est nettement plus en sécurité dans mon smartphone que dans ma poche.
Si vraiment quelqu’un a réussi à péter la protection d’Apple Pay c’est qu’il m’a ciblé et avec des moyens importants, bien plus que s’il visait ma CB physique.
#2.3
Ce n’est pas parce que c’est plus complexe que c’est plus robuste.
Si tu y crois, c’est ton choix. Avec mon XP pro dans le domaine, je n’y vois que des risques.
Si tu fais confiance à Apple dont le métier n’est pas la sécurité bancaire, libre à toi.
#2.4
Merci!
J’étais passé à côté du fonctionnement de l’Apple Pay et je le trouve bien fait.
Du coup je vais regarder comment cela fonctionne sur mon Android :)
#3
Ben, côté débiteur il n’y a rien qui change j’ai l’impression, donc la sécurité devrait rester la même qu’avant, qu’elle soit bonne ou mauvaise.
C’est côté créditeur que ça change, la possibilité de se passer d’un terminal de paiement. Mais je pense que les vérifications d’identité et que la manière dont le créditeur récupère son argent seront les mêmes que pour obtenir un terminal, c’est juste l’appareil qui change, donc aussi difficile à exploiter de manière frauduleuse sans se faire attraper ou au moins se faire confisquer très vite l’argent récolté. Et rien ne change pour ceux qui voudraient récupérer les infos bancaires sans terminal.
Pour ma part, j’attends toujours de voir les déferlantes de fraudes annoncées à chaque évolution des paiements CB, mais elles ne sont toujours pas là.
Les infos bancaires sont aussi disponibles sur la piste magnétique, et même marquées sur la carte, comme support propriétaire sécurisé on a vu mieux quand-même. La sécurité des cartes bancaires n’a toujours que peu reposé sur la carte elle-même, mais surtout sur les vérifications qui sont faites par le réseau au moment du paiement puis en aval, la traçabilité des paiements et les obligations d’identification des créditeurs, des choses toujours applicables avec la nouveauté exposée ici.
C’est un peu de la sécurité old school mais elle fonctionne suffisamment bien et à l’avantage de peu dépendre de la sécurité technologique des appareils impliqués.
#4
Quid du taux d’adoption dans ces pays ?
#5
C’est la liste des partenaires, dont les clients vont pouvoir recevoir des payements sur un iPhone.
Donc ce n’est pas un accord “nécessaire” avec l’ensemble des parties, un seul aurait pu suffire pour lancer le service.
Sinon, je vois l’intérêt possible pour un artisan en déplacement, ou d’une manière générale des petites entreprises.
Mais pour les grandes enseignes, à part pour permettre de payer directement au vendeur plutôt qu’en caisse (donc un léger gain de temps), je ne vois pas…
#6
Tu as déjà des arnaques au SumUp … et les fonds récoltés sont très vite transférés vers d’autres comptes et la récupération des fonds devient difficile voire impossible. Les arnaqueurs ne sont pas tous des lapins de 3 semaines.
Toujours est il qu’en étant sur support offrant que peu d’accès indirects, cela reste plus sécure qu’un smartphone ouvert sur tous les réseaux / protocoles à la mode.
Avec une CB, les voleurs sont obligés de « violenter » la victime et d’y passer plus de temps qu’un bête scan NFC.
#6.1
Il n’y a pas de bouton pour désactiver le NFC sur les iphones ?
Je viens de regarder sur mon android et il y a une option permettant d’exiger que le téléphone soit déverrouillé pour que le nfc soit actif (étrangement l’option n’est pas activée par défaut).
Apple ne peut pas vraiment se permettre une vague de fraude, je pense que comme les banques ils ont évalué le risque et l’ont jugé acceptable.
#6.2
Il existe bien des moyens de limiter les risques sur les smartphones, mais bon, quand tu mets ce genre de paramétrage un peu pointu dans les mains d’utilisateurs 1er niveau, m’est avis que pour des raisons pratiques (ne pas se prendre la tête avec des trucs techniques), le bazar est laissé en mode open-bar H24.
D’autant plus que c’est proposé pour une population à iPhone.
#6.3
Apple Pay impose de déverrouiller l’appareil pour être utilisé il me semble, du moins par défaut.
#6.4
Merci, ça me semble logique, j’ai beaucoup à reprocher à Apple mais ce ne sont pas des idiots.
#7
Il y a des CB qui ne sont pas aussi Visa/Mastercard/etc?
#8
Il faut faire la différence entre les cartes bancaire en plastique (l’objet), et le réseau CB, abréviation de réseau Cartes Bancaires.
#8.1
L’avantage du réseau CB étant que les frais sont bien moins élevés, l’inconvénient étant que c’est uniquement en France avec des cartes émises en France (logo CB sur la carte).
Apple a beaucoup de gens qui bossent sur la sécurité, y compris bancaire. Par contre, un smartphone, c’est beaucoup plus de vecteurs d’attaque qu’une carte en plastique dans la poche. Et dans les 2 cas, il y a un secure element au coeur du dispositif.
#8.2
Je sais mais justement toutes mes cartes ont toujours été CB + Visa, j’ai déjà vu des CB + MasterCard mais jamais ddes cartes juste CB.
#8.3
Oui en effet
À creuser…jamais été claire cette histoire !
#8.4
C’est normal, car avec une carte uniquement CB, tu ne pourrais payer qu’en France, c’est quand même très limitatif
#8.5
Il existait et peut être encore les CB Electron : demande d’autorisation systématique à chaque achat et ne passaient pas à l’étranger.
#8.6
Certaines banques en ligne refont des cartes à autorisation systématique, mais ce ne sont plus des electron
#8.7
Tu es sûr que c’est CB Electron, parce que je ne trouve que des références à Visa Electron
#8.8
Je ne sais pas.
Je sais que j’ai eu une CB Electron il y a fort longtemps pour peu de temps et on m’avait dit qu’elle ne fonctionnerait pas à l’étranger, mais je ne rappelle pas plus, désolé.
#9
J’ai jamais dit que c’était complexe. Je trouve au contraire leur implémentation simple : le smartphone ne stocke aucune info qui pourrait être utilisée sur un autre appareil et il ne communique jamais d’éléments qui puissent être réutilisés. J’aimerai bien que tu m’expliques avec ton XP pro ce qui peut être volé sans duper le système biométrique ou faire du social engineering sur le code.
#9.1
Réfléchis, si tu as un générateur de n° pour chaque opération, c’est que tu as un token/clé secrète qui traîne quelque part.
Une fois ce token récupéré, les pirates peuvent générer tous les N° de cartes qu’ils veulent … et après bon courage pour remonter toutes les opérations frauduleuses.
J’ai plus confiance dans un élément « secure » piloté par ma banque et son façonnier que dans un conçu par une multinationale où la divulgation des informations est beaucoup moins bien contrôlée. Je ne serais pas surpris d’apprendre que les specs des éléments « secure » des iPhone circulent sur internet.
#9.2
Il arrive que ce soient les mêmes entreprises qui fournissent les secure elements pour les smartphones/CB/passeport/permis/… Entreprises qui sont aussi des multinationales, chez qui Apple n’hésite pas à débaucher
#9.3
Je comprends ce que tu dis … mais ces fameux façonniers ne sont pas des entreprises ordinaires. Les clauses de leur contrat de travail sur la sécurité et la divulgation d’informations sont bien spécifiques et bien au dessus de ce qu’on trouve dans les contrats classiques.
#10
Tout comme Samsung Wallet, le NFC n’est activé qu’à ce moment là
#11
C’est pas clair: “sans contact” et “tape to pay”, c’est antinomique.
#12
Tu me réponds sans me lire en fait, bien sûr qu’il y a une clé secrète. Sauf que cette clé secrète n’est :
pas accessible à l’OS (l’OS demande à la puce de générer un token et la puce ne fait que répondre avec un token unique)
ne peut pas être utilisée pour générer un token seule : elle n’est qu’une partie d’un tout qui comprend une clé unique à l’utilisateur (elle même chiffrée en deux copies : une déchiffrable avec le code et une déchiffrable avec l’empreinte biométrique) et une clé unique spécifique à la puce (générée “à l’usine”). Donc même en volant la clé spécifique à ta carte bancaire tu ne peux rien faire sans l’appareil pour lequel elle a été générée ni sans que l’utilisateur s’authentifie.
Bref, tout le système de la secure enclave est basé autour des principes d’authentification forte : je sais, je possède, je suis. Tu as beau “savoir” la clé, tu ne peux pas l’utiliser sans “posséder” l’appareil et sans prouver qui “tu es” puisque tu ne peux pas reconstituer la clé utile (celle qui génère des tokens de paiement ou encore le déchiffrement à la volée de la mémoire) sans rassembler tous ces éléments.
Oui elles le sont … sur le site d’Apple : https://help.apple.com/pdf/security/fr_CA/apple-platform-security-guide-c.pdf chapitres Secure Enclave et Apple Pay.
#12.1
Merci pour les explications.
+1
Les dites banques qui remboursent sans poser de question quand il s’agit de CB.
Et les claviers aléatoires troués par CSS
Après Apple prend ce qui marche.
Si vous vous intéressiez au colossal WeChat en Chine et que vous avez une très grosse base client, comme Apple à tout hasard, vous verriez le potentiel.
Pour rappel, en Chine ils ont saut l’étape CB et passé au paiements inapp.
D’ailleurs message à la rédaction, l’écosystème WeChat c’est énorme, si vous manquez de sujets y a de quoi faire, c’est extrêmement intéressant (et flippant) et tout le reste de ce qui s’y passe d’ailleurs.
#12.2
Ok.
Le discours officiel de la pomme est très bien …. mais difficilement vérifiable. Si tu y crois et que tu souhaites y mettre tes billes, libre à toi.
#12.3
Tu as confiance dans la puce tpm d’un pc? Nan parceque c’est juste le discours du fabricant de la carte mère hein.
#12.4
Non plus … ça ne serait que moi, j’utiliserais un HSM.
#13
C’est assez amusant de voir encore des gens se battre becs et ongles pour la sécurité par l’obscurité face à un truc sécurisé par un design très robuste mais ouvertement documenté
Tandis que les incroyables banques qui savent ce qu’elles font et qui sont incroyablement et savamment sécurisées limitent encore fortement le nombre de caractère des mot de passes, quand ce ne sont pas des mots de passes purement numériques de 6 ou 10 chiffres, assortis de leur fameux claviers cliquables dont la disposition est aléatoire et sont une purge à l’usage
#14
Je ne suis pas sûr de laquelle tu parles, mais des arnaques à petite échelle, il y en a oui et il y en aura toujours. C’est la stratégie choisie par les réseaux de paiement, ne pas tenter de faire un système parfaitement sécurisé par la technique, mais éviter que les arnaques dégénèrent à grande échelle, et principalement par des moyens non techniques.
Et pour ce qui passent entre les mailles, tant pis ils préfèrent rembourser les débiteurs (du moins pour les clients, pour les commerçants c’est plus compliqué). Mais si SumUp se retrouvait au centre d’arnaques généralisées, il se ferait vite recadrer par les réseaux de paiement pour qu’il vérifie mieux ses créditeurs et ses flux d’argent sous peine de se faire reprendre en pure perte par les réseaux l’argent arnaqué, voire de perdre le droit de les utiliser.
Ce que je veux dire au final, c’est que les évolutions techniques paraissant imparfaites ne génèrent jamais les hécatombes souvent annoncées, car ce n’est qu’une petite partie de la sécurité du système.
#15
Tu n’y vas pas suffisamment: 1 milliard de fois c’est mieux…
Dans un cas, comme dans l’autre des protections sont mises en place contre son utilisation.
Il existe une différence dans l’autre sens aussi: si ton téléphone n’a plus de batterie pour X raisons, tu l’as dans l’os.
#15.1
Quand il n’y a plus de batterie, c’est encore plus safe et bien plus qu’1 milliard de fois.
Mais ça a d’autres inconvénients, on est d’accord.