Les paiements sans contact via NFC transforment nos habitudes d'achat en magasin. Cette technologie connaît un essor fulgurant en Europe, au Canada et en Asie.
Au Royaume-Uni, l'objectif était que tous les terminaux de paiement soient compatibles sans contact d'ici 2020. En Australie, plus de 53 % des utilisateurs recourent à une application NFC au moins une fois par semaine. En Chine, les paiements NFC dominent au point que le pays pourrait devenir la première société sans espèces d'ici quelques années.
Aux États-Unis, l'adoption progresse rapidement : des enseignes comme McDonald's et Walgreens acceptent désormais les paiements sans contact, et d'autres s'y mettent constamment.
Avec la multiplication des commerces compatibles, les applications NFC se multiplient aussi. En Occident, trois leaders se distinguent : Apple Pay, Android Pay et Samsung Pay. Examinons leur niveau de sécurité.
Nous avons analysé en détail la sécurité d'Apple Pay dans un précédent article sur MakeUseOf. Lancée en 2014, elle est disponible sur iPhone 6, 7, 8 et X, pour les paiements en magasin et en ligne (sur Mac).
Comme beaucoup d'applications, Apple Pay repose sur la tokenisation : au lieu de stocker vos vrais numéros de carte, elle génère des comptes virtuels.
Ce processus implique un chiffrement avancé. Après saisie de vos données, l'iPhone les chiffre et les transmet à Apple. Ce dernier les déchiffre, intègre le réseau de votre carte, rechiffre avec une clé réservée au réseau, et autorise l'ajout. Un Numéro de Compte d'Appareil (DAN) spécifique est créé, chiffré et stocké dans le Secure Element (SE) de votre téléphone, une puce sécurisée standard de l'industrie.
En cas de perte, Find My iPhone permet d'effacer à distance toutes les cartes enregistrées. Vous pouvez aussi notifier vos banques via votre compte Apple ID pour bloquer les paiements.
Cependant, des préoccupations de confidentialité persistent. Selon les conditions d'utilisation : "Apple transmet des infos sur votre compte iTunes/App Store, votre appareil, son usage et votre localisation à votre banque ou émetteur de carte lors de l'ajout."
Android Pay partage de nombreuses mesures de base avec Apple Pay, dont un processus de tokenisation similaire, mais avec une différence clé.
Plutôt que le Secure Element physique, Android Pay utilise Host Card Emulation (HCE), intégré depuis Android 4.4. Les identifiants sont hébergés à distance dans le cloud.
Avantages par rapport au SE physique :
Inconvénient sécuritaire : HCE autorise les paiements hors ligne temporaires. Un voleur connaissant votre PIN pourrait dépenser avant reconnexion. Le risque est faible mais réel.
Samsung Pay, réponse sud-coréenne à Apple Pay, est exclusif aux appareils Samsung.
Outre NFC, il supporte les lecteurs MST et EMV, le rendant plus universel.
La sécurité repose sur Samsung Knox, basé sur ARM TrustZone (TIMA KeyStore, protection noyau temps réel, attestation). Comme Apple, il utilise un SE physique (Gemalto sur Galaxy S8), sans HCE.
Les paiements nécessitent PIN ou biométrie, signature pour gros montants. Tokenisation masque vos données au commerçant.
En cas de perte, une app web permet de bloquer et effacer Samsung Pay à distance.
Aucune app n'est infaillible : les failles existent, comme les jetons prévisibles de Samsung Pay (août 2016) ou l'ajout de cartes volées sur Apple Pay (mars 2016).
Cependant, ces apps surpassent en sécurité les espèces ou cartes avec signature. Et la technologie s'améliore constamment.
Ce comparatif présente les sécurités des leaders NFC en Europe et Amérique du Nord.
Et vous ? Faites-vous confiance aux apps NFC ? Sont-elles assez sécurisées pour remplacer l'argent liquide ? Partagez vos avis en commentaires et relayez cet article sur les réseaux sociaux !
Crédit image : REDPIXEL/Depositphotos
[]