Euh, sur de l’empreinte digitale, on est à une précision de 1⁄100 000 à 1⁄500 000 en identification, c’est à dire comparaison brute entre une empreinte et un fichier. Lorsque croisé avec des données, les probabilités tombent fortement, et encore plus si on les multiplie entre elles (comme un matching de reconnaissance faciale avec le matching des empreintes).
Je ne suis pas vraiment d’accord en ce qui concerne la responsabilité des banques, même si le commentaire de Vincent sur la chaine ApplePay est très pertinent.
Vu comment les choses ce sont passées pour les projets ApplePay, les banques n’ont pas vraiment eu leur mot à dire, ni les réseaux (ce qui est amusant quand on connait MasterCard). Donc je penche tout de même pour une responsabilité d’Apple dans cette histoire.
Il faut savoir que les banques ont été confrontées à un choix cornélien: accepter ApplePay avec toutes les règles dictées par Apple, à commencer par la gestion de l’authentifucation utilisateur, ou ne pas faire partie d’applepay. On voit d’ailleurs que la capacité de résistance des marchands a été bien meilleure puisque tout le réseau MCX refuse ApplePay.
Alors pour Orange: c’est un peu ApplePay V0.5. Le principe est que Orange mets ta (nouvelle) carte bancaire dans ta SIM. Ensuite tu payes avec ton téléphone NFC comme une carte sans-contact classique.
C’est aussi sécurisé qu’une carte bancaire physique Dual Interface (Sans rentrer dans des débats sur ces dernières, que je soutiens).
Maintenant, j’attends les remarques sur le gros Fail de Gemalto et la NSA, mais cette affaire n’impacte pas du tout le paiement mobile (les clés sont différentes et surtout gérées très différemment)
Pour ApplePay, c’est idem, sauf que:
- la carte bleue mise dans le téléphone n’est reliée à aucune carte enregistrée par ta banque et peut donc être répudiée / remplacée à volonté.
- la puce utilisée est soudée à ton téléphone et n’est pas la SIM.
Pour la carte bleue dans Windows phone, tu es plus sur un fonctionnement ecommerce, pour schématiser un peu. Elle est peut-etre tokénisée, je connais pas trop la wallet crosoft.
C’est un peu compliqué: la limite de 20 euros pour les transactions sans contact est mise en place pour palier le fait que tu ne présentes pas ton code PIN.
Ici, tu t’authentifies en utilisant touchID, qui remplace donc un PIN classique. Seulement, cette méthode d’authentification est une fleur faite à Apple par VISA et MasterCard dans la mesure où elle n’est pas vraiment décrite dans leurs spécifications officielles. Ce qu’ils peuvent faire aux US est différent de la France ou l’association des banques Françaises régule beaucoup les choses.
Donc il est difficile de s’engager à 100%, mais la logique voudrait que la limite saute.
Tu aurais pu aussi préciser que la banque faisant payer les ,15% au commerçant, il les répercutera sur l’utilisateur. Aux US, le modèle est différent car les commerçants y gagnent (changement de responsabilité en cas de fraude du commerçant vers la banque émettrice du moyen de paiement). Donc ils peuvent faire baisser fraude et assurance.
Chez nous, c’est déjà le cas, donc ils n’ont rien à y gagner et ce sera un surcoût direct.
mmm… Paypass, cela n’a rien à voir avec Paypal. C’est une transaction EMV tout ce qu’il y a de plus régulière, pas un ersatz de sécurité.
Et utilisé dans le cadre d’un paiement en ligne, on se rapproche plus de 3D-Secure que d’autre chose (la carte est utilisée pour faire de l’authentification forte, donc on utilise une autre appli de la carte que l’appli paiement classique).
maintenant, de mémoire, Intel voulait également plancher sur un vrai POS numérique, c’est à dire faire une vrai transaction bancaire sur le PC avec la carte. Mais ca, ce n’est pas pour tout de suite.
10 commentaires
Le 02/11/2016 à 16h45
Euh, sur de l’empreinte digitale, on est à une précision de 1⁄100 000 à 1⁄500 000 en identification, c’est à dire comparaison brute entre une empreinte et un fichier. Lorsque croisé avec des données, les probabilités tombent fortement, et encore plus si on les multiplie entre elles (comme un matching de reconnaissance faciale avec le matching des empreintes).
Le 02/05/2016 à 08h05
edit car lu trop vite.
Le 07/03/2015 à 09h53
Je ne suis pas vraiment d’accord en ce qui concerne la responsabilité des banques, même si le commentaire de Vincent sur la chaine ApplePay est très pertinent.
Vu comment les choses ce sont passées pour les projets ApplePay, les banques n’ont pas vraiment eu leur mot à dire, ni les réseaux (ce qui est amusant quand on connait MasterCard). Donc je penche tout de même pour une responsabilité d’Apple dans cette histoire.
Il faut savoir que les banques ont été confrontées à un choix cornélien: accepter ApplePay avec toutes les règles dictées par Apple, à commencer par la gestion de l’authentifucation utilisateur, ou ne pas faire partie d’applepay. On voit d’ailleurs que la capacité de résistance des marchands a été bien meilleure puisque tout le réseau MCX refuse ApplePay.
Le 24/02/2015 à 16h31
Bon je prolonge ma pause.
Alors pour Orange: c’est un peu ApplePay V0.5. Le principe est que Orange mets ta (nouvelle) carte bancaire dans ta SIM. Ensuite tu payes avec ton téléphone NFC comme une carte sans-contact classique.
C’est aussi sécurisé qu’une carte bancaire physique Dual Interface (Sans rentrer dans des débats sur ces dernières, que je soutiens).
Maintenant, j’attends les remarques sur le gros Fail de Gemalto et la NSA, mais cette affaire n’impacte pas du tout le paiement mobile (les clés sont différentes et surtout gérées très différemment)
Pour ApplePay, c’est idem, sauf que:
- la carte bleue mise dans le téléphone n’est reliée à aucune carte enregistrée par ta banque et peut donc être répudiée / remplacée à volonté.
- la puce utilisée est soudée à ton téléphone et n’est pas la SIM.
Pour la carte bleue dans Windows phone, tu es plus sur un fonctionnement ecommerce, pour schématiser un peu. Elle est peut-etre tokénisée, je connais pas trop la wallet crosoft.
J’espère que c’est plus clair.
Le 24/02/2015 à 16h18
Z’avez oublié de mentionner Samsung qui à racheté Looppay en “urgence”.
Le 24/02/2015 à 16h11
C’est un peu compliqué: la limite de 20 euros pour les transactions sans contact est mise en place pour palier le fait que tu ne présentes pas ton code PIN.
Ici, tu t’authentifies en utilisant touchID, qui remplace donc un PIN classique. Seulement, cette méthode d’authentification est une fleur faite à Apple par VISA et MasterCard dans la mesure où elle n’est pas vraiment décrite dans leurs spécifications officielles. Ce qu’ils peuvent faire aux US est différent de la France ou l’association des banques Françaises régule beaucoup les choses.
Donc il est difficile de s’engager à 100%, mais la logique voudrait que la limite saute.
Le 24/02/2015 à 16h00
le sujet est un brin compliqué, faut tremper dedans pour s’y retrouver.
Le 24/02/2015 à 15h59
Tu aurais pu aussi préciser que la banque faisant payer les ,15% au commerçant, il les répercutera sur l’utilisateur. Aux US, le modèle est différent car les commerçants y gagnent (changement de responsabilité en cas de fraude du commerçant vers la banque émettrice du moyen de paiement). Donc ils peuvent faire baisser fraude et assurance.
Chez nous, c’est déjà le cas, donc ils n’ont rien à y gagner et ce sera un surcoût direct.
Le 24/02/2015 à 15h50
Attention dans l’article:
- quelques approximations entre HCE et tokenization (Amazon 1Click n’est pas du HCE, c’est réservé à Android et BlackBerry)
Le 12/09/2012 à 15h21
mmm… Paypass, cela n’a rien à voir avec Paypal. C’est une transaction EMV tout ce qu’il y a de plus régulière, pas un ersatz de sécurité.
Et utilisé dans le cadre d’un paiement en ligne, on se rapproche plus de 3D-Secure que d’autre chose (la carte est utilisée pour faire de l’authentification forte, donc on utilise une autre appli de la carte que l’appli paiement classique).
maintenant, de mémoire, Intel voulait également plancher sur un vrai POS numérique, c’est à dire faire une vrai transaction bancaire sur le PC avec la carte. Mais ca, ce n’est pas pour tout de suite.