fbpx

Le paiement mobile, plus sécurisé qu’une carte bancaire ?

Introduction

Il y a globalement 3 systèmes de paiement mobile :

Le premier c’est le paiement mobile SE (Secure Element) qui est principalement utilisé chez les grandes agences telles que Samsung ou Apple.

Le second est le HCE (Host Card Emulation). Il est utilisé par Google Play, Paylib Sans Contact et Carrefour Pay.

Le dernier c’est SIM Centric/eSE (embedded Secure Element) qui lui, est en voie de disparition.

Toutes ces méthodes utilisent la technologie NFC (Near Field Communication) pour payer sans contact avec votre mobile.

Il existe d’autres technologies en voie de développement similaire au NFC telles que :

  • Le QR code
  • Le Bluetooth
  • L’EAN (les codes-barres)

Pour mieux comprendre en quoi consiste le paiement mobile et vous permettre de vous faire votre propre jugement sur la question qui est « Le paiement mobile, plus sécurisé qu’une carte bancaire ? », nous allons voir en détail toutes ces méthodes.

Secure Element

Un élément sécurisé (SE) est une plateforme matérielle sécurisée capable de contenir des données en conformité avec les règles et les exigences de sécurité fixées par les autorités de confiance.

Secure Element est une technologie basée sur le NFC. C’est une technologie très complexe mais je vais essayer de vous l’expliquer au mieux.

La technologie SE est une puce contenant un processus sécurisé, un stockage inviolable (qu’on appellera enclave) et la mémoire d’exécution. Pour vous aider à imager la chose, c’est un peu comme un château fort avec un pont-levis.

La partie avant le pont-levis est la partie interactive qui permettra le paiement, celle-ci interagira avec l’enclave en suivant les protocoles de sécurité via le pont-levis.

Cette technologie est ce qu’on fait de mieux en termes de sécurité mobile à ce jour, elle allie fiabilité, sécurité et rapidité. Elle est présente chez Apple et Samsung. Secure Element repose sur la technologie Java Card et respect des standards imposés par EMV. En d’autres termes, Samsung et Apple fonctionnent de la même manière pour le paiement mobile.

Avec ce type de sécurité, on arrive presque à égaliser avec les cartes physiques qui disposent elles aussi d’une zone mémoire uniquement accessible par la puce et entièrement hermétique à tout accès extérieur.

Host Card Emulation

L’émulation de carte hôte (HCE) est l’architecture logicielle qui fournit une représentation virtuelle exacte de diverses cartes d’identité électroniques (accès, transit et bancaires) en utilisant uniquement un logiciel.

Cette technologie est la technologie la plus utilisée sur Android. Elle peut facilement permettre aux émetteurs de fournir leurs services de paiement mobile via leurs applications. Apple ne prend pas en charge cette technologie. Elle est uniquement disponible sur Android depuis la version 4.4. La solution basée sur le Paylib sans contact utilise cette solution. Mais les systèmes fournis par le Crédit Agricole, LCL, le Crédit Mutuel et CIC utilisent également la technologie HCE.

Avec l’aide de l’HCE, les émetteurs utilisent principalement une technologie appelée « élément de sécurité » dans le cloud. Cela comprend le stockage d’une partie des données mobiles pour le paiement, et l’autre partie est stockée par l’expéditeur. Une fois les deux éléments liés, le paiement peut être effectué. Par conséquent, même s’il existe un logiciel malveillant sur le téléphone Android, il peut être entièrement protégé. Par conséquent, les programmes malveillants ne pourront pas obtenir les articles à payer.

En plus de se connecter au TPE (qui est un terminal de paiement), la technologie nécessite également de connecter fréquemment des appareils mobiles au réseau Internet.

Le paiement mobile est basé sur un système de jetons, souvent appelé tokens. Il s’agit en fait de numéros de carte virtuels liés à votre carte bancaire réelle. Avec l’HCE, plusieurs jetons peuvent être préchargés dans l’application. Par conséquent, nous pouvons définir le nombre de fois (ou combien) où le jeton peut être utilisé avant de passer au jeton suivant.

Pour faire plus simple, on peut comparer ça au système mit en place par Basic Fit pour ses clients. Via l’application, on peut réserver une heure à laquelle s’entrainer (le jeton) et cette information sera stockée dans votre carte membre pour vous permettre de passer la barrière à l’heure prévue.

SIM Centric et eSE

Cette méthode est la méthode la plus sûre et la plus fiable sur Android et Windows. SIM Centric est en avance sur Apple Pay et Samsung Pay en termes de sécurité. Sa première opération en France remonte à 2010. À partir de 2012, les utilisateurs mobiles pour Android ou Windows Phone ont pu utiliser cette technologie.

Quatre ans avant d’utiliser Apple Pay, SIM Centric a jeté des bases solides en matière de sécurité jusqu’à présent inégalées. Il est peu probable qu’un jour, le système de paiement dépasse SIM Centric. En raison des exigences de sécurité de cette solution, le système SIM central est en déclin. En 2012, La Banque Postale, Société Générale, BNP, CIC et Crédit Mutuel ont participé à l’activité de paiement mobile sans contact de SIM Centric.

SIM Centric peut être utilisé avec SE. Mais ce SE n’est pas stocké dans l’enclave, mais dans la zone protégée de la carte SIM. Par conséquent, la carte SIM est SE et les opérateurs doivent fournir une carte SIM NFC. Seuls Orange et SFR l’ont fourni à leurs clients. En plus de cette carte SIM NFC, l’opérateur et l’expéditeur doivent également se connecter à TSM (Trusted Service Manager). En France, IDEMIA (anciennement Oberthur Technologies) a assumé ce rôle.

Enfin et surtout, le téléphone doit être compatible avec la gestion de SIM Centric. Par conséquent, les fabricants doivent intégrer une bibliothèque pour manipuler la carte SIM afin de déployer les données de paiement dans leur version Android (ou Windows).

L’avantage de SIM Centric est que la SIM est un matériel physiquement inviolable et complètement isolé du système d’exploitation. Une carte SIM avec un contrôleur NFC peut contrôler l’antenne NFC au lieu du système d’exploitation. Par conséquent, la banque doit effectuer une opération de « réinitialisation » à distance pour un compteur tel que l’ATC (compteur de transactions d’application) afin que le téléphone mobile sache quand la banque effectuera le dernier contrôle de transaction. Cela nécessite une bonne maîtrise de la monnaie électronique.

Le cœur du problème, l’authentification forte

Il faut déjà comprendre ce que signifie l’authentification forte pour les réseaux VISA, Mastercard, CB, etc. Il s’agit d’un problème avec un élément physique, qui est responsable de l’authentification du titulaire (c’est-à-dire le titulaire de la carte).

La carte bancaire physique et la technologie Centric de la carte SIM sont des authentifications fortes. Apple Pay, Samsung Pay, Paylib sans contact ne sont pas considérés comme des authentifications fortes.

Authentification forte et SIM Centric

Dans SIM Centric, nous prendrons l’exemple de la carte M, qui est le nom de l’offre commercial du Crédit Mutuel et de CIC.

Lorsque vous souhaitez effectuer un paiement, vous devez déverrouiller votre téléphone. Le SE (SIM en bref) jusqu’à 20 euros fait confiance au système d’exploitation et estime que si ce dernier confirme l’authentification, il suivra. S’il s’agit d’un montant supérieur à 20 euros, le SE ne fait plus confiance au système d’exploitation, il veut contrôler votre authentification. Par conséquent, lorsque l’application démarre, vous devez entrer un code PIN à 4 chiffres qui a été envoyé au système d’exploitation. Si le code est valide, le SE ouvrira le paiement, si non, il ne s’ouvrira pas. Après avoir entré 3 codes d’erreur, le Secure Element est définitivement bloqué.

2 possibilités pour les paiements supérieurs à 20€ :

  • Première option, vous avez montré le téléphone, une fois la montant détecté, l’application démarre et demande le code PIN, puis vous représentez le téléphone en TPE. Entre ces deux présentations, le TPE a clairement indiqué  » Entrez le code sur le téléphone et représentez « .
  • La deuxième option comprend le lancement de l’application et la saisie d’un code PIN de paiement de plus de 20 euros. De cette façon, il n’y a pas 2 démonstrations à faire sur TPE.

Le code PIN du SE est envoyé par la poste. Plus tard, vous pourrez le personnaliser. Mais ce n’était pas le cas pour tous les concurrents à l’époque.

En SIM Centric, le SE ne fait pas aveuglément confiance au système d’exploitation. Il lui donne les moyens de vérifier son identité. Par conséquent, la technologie a été certifiée comme certification solide. Dans cet état, elle peut vérifier le paiement hors ligne comme une carte bancaire physique. Dans la pratique, si nous ne « gênons » pas le titulaire lors du processus de paiement de SIM Centric, notamment pour plus de 20 euros, nous serons malveillants. Apple et Samsung ont considérablement simplifié cette technologie, mais au prix de ne pas avoir d’authentification forte.

De nombreuses personnes se sont demandé si SIM Centric peut offrir une expérience plus fluide car la technologie n’est pas uniquement utilisée en France. Malheureusement, toutes les propositions de simplification sapent le puissant mécanisme d’authentification, obligeant le SE à contrôler les opérateurs à leur tour. Ces conclusions ont sans aucun doute provoqué le déclin de SIM Centric et ont stoppé le marketing préférentiel.

Authentification forte et HCE

Pour les services basés sur HCE, il n’est jamais possible d’effectuer une authentification forte. Surtout pour certaines personnes, une autorisation en ligne est requise pour collecter tous les éléments pour le paiement. Par conséquent, HCE interdit également l’utilisation de fonctionnalités hors ligne, tout comme Apple et Samsung Pay.

Authentification forte et xPay

Apple Pay est un système d’exploitation utilisé pour la vérification d’identité via la biométrie, ou plus traditionnellement en entrant un code PIN sur le téléphone. Samsung Pay utilise la même méthode, et certains modèles ont également une reconnaissance d’iris. Dans ces deux xPay, l’application Java Card ne peut jamais vérifier les revendications du système d’exploitation. Le système d’exploitation prouvera individuellement que l’authentification a été effectuée avec succès et que la transaction doit être effectuée. Il n’y a donc pas de double contrôle.

L’application Java Card doit faire entièrement confiance au système d’exploitation et à l’ordre dans lequel elle est émise. Par conséquent, l’authentification forte n’est pas conservée ici. Le réseau nécessite que le paiement Apple Pay ou Samsung Pay soit autorisé par le système. Il n’y a donc pas de connexion hors ligne autorisée. Le réseau jouera un rôle de double contrôle en analysant les transactions avec l’aide de votre banque.

Mais xPay n’est pas supporté que par les paiement mobile traditionnel tels que Apple pay ou Samsung pay. Il existe des industries comme N26, Bunq, Revolut, … qui supportent xPay. Ce qui renforce d’autant plus la sécurité pour des agences qui offrent des cartes bancaires physique.

Les différentes banques en ligne qui supportent le xPay :

  • N26
  • Bunq
  • Revolut

Les cartes bancaires physique

Lorsqu’on vous demandera votre code PIN, il sera envoyé à la puce par la même occasion. Cette dernière va échanger avec une mémoire protégée pour voir si il est bon. La puce ne saura à aucun moment quel est le code PIN correct, elle ne générera qu’une réponse positive ou négative dans la zone de protection. Dans la situation actuelle, il est techniquement impossible de contourner la réponse de la zone de stockage.

Il existe d’autres mécanismes comme des compteurs qui peuvent augmenter le coût de chaque paiement, mais peuvent également être effectués en cas d’erreur dans le code PIN pour empêcher la carte. On peut également rappeler que chaque paiement effectué avec la carte génère une signature unique et infalsifiable afin que la banque puisse savoir que sa carte et sa puce ont vérifié le paiement. La signature permet également de vérifier la saisie du code PIN et la vérification via la zone de stockage protégée.

Nous parlons de CVM pour l’authentification des opérateurs et noCVM quand il n’y a pas d’authentification.

En France, noCVM peut être utilisé pour des transactions jusqu’à une limite maximale de 30 euros, mais la limite maximale des dépenses cumulées de nouvelles cartes est de 60 euros. Actuellement, la limite supérieure est d’environ 100 euros. Le point de déclenchement du CVM n’est pas le choix des banques. De même, ces réseaux peuvent traiter ce problème par pays et par risques spécifiques à chaque pays.

Par conséquent, votre carte physique répond aux exigences de contrôle. C’est elle qui pourra vérifier le code PIN (en hors ligne), remplaçant ainsi votre banque pour accepter le paiement. Par conséquent, le réseau a donné à la carte bancaire un statut d’authentification fort, elle est donc considérée comme plus fiable qu’Apple Pay ou Samsung Pay. C’est pourquoi il peut rivaliser avec SIM Centric en termes de sécurité.

Pour finir, il existe une chose que peu de personnes connaissent : le Numberless.

Le Numberless est une sécurité qui permet de faire comme si on payait avec son mobile en soit mais sans vraiment le faire. Le Numberless, c’est faire disparaître toutes les informations de notre carte. Elles se retrouvent toutes dans votre application et donc personne ne peut y accéder à part vous.

Avec ce système, votre carte physique n’est la que pour payer. Comme pour votre mobile lors d’un paiement mobile. De plus, l’avantage est qu’elle possède cette sécurité + toutes les sécurités des cartes physiques.

En France, il existe une néo-banque très connue qui en propose à tout ces clients : Bunq.

Pour en savoir plus sur Bunq, il vous suffit de cliquer ici.

Pour en savoir plus sur le Numberless, il vous suffit de cliquer ici.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *