Les paiements NFC envahissent le monde - ou du moins révolutionnent la façon dont nous payons les marchandises dans les magasins. Au cas où vous ne le sauriez pas, la technologie est en plein essor dans une grande partie de l'Europe, du Canada et de l'Asie.
Le Royaume-Uni souhaite que tous les terminaux de point de vente soient sans contact d'ici 2020, tandis que plus de 53% des Australiens utilisent une application NFC au moins une fois par semaine. En Chine, les systèmes de paiement NFC sont devenus si répandus que les experts pensent que le pays est en passe de devenir la première société sans numéraire d'ici quelques années seulement.
Les États-Unis sont un peu en retard sur la courbe, mais gagnent rapidement du terrain. Des entreprises telles que McDonalds et Walgreens proposent désormais des paiements sans contact, et de nombreuses autres sont mises en ligne en permanence.
À mesure que le nombre d'entreprises acceptant les applications NFC augmente, le nombre d'applications augmente également. Mais dans l'hémisphère occidental, trois sont en tête du peloton :Apple Pay, Android Pay et Samsung Pay. Examinons les mérites de sécurité de chacun.
Nous avons examiné en détail la sécurité d'Apple Pay dans un article ailleurs sur MakeUseOf. L'application existe depuis 2014. Vous la trouverez dans toutes les versions de l'iPhone 6, 7, 8 et X. Vous pouvez l'utiliser pour payer en magasin, et si vous possédez un Mac, vous pouvez également l'utiliser pour effectuer des paiements en ligne.
Comme de nombreuses applications, la principale protection de sécurité d'Apple Pay est la tokenisation. Au lieu de stocker vos numéros de carte de crédit réels sur l'appareil, l'application crée des numéros de comptes virtuels.
La tokenisation fonctionne grâce à un processus de cryptage compliqué. Une fois que vous avez entré les détails de votre carte de crédit dans l'application, l'appareil les crypte et les envoie aux serveurs d'Apple. Dès réception des numéros, Apple les déchiffre, ajoute le réseau de paiement de votre carte et les rechiffre avec une clé que seul votre réseau de carte peut déverrouiller.
Le fournisseur autorise ensuite l'ajout de la carte, crée un numéro de compte d'appareil (DAN) spécifique à l'appareil, le crypte et l'envoie à Apple. Apple ne peut pas le déchiffrer. Enfin, Apple ajoute le DAN au Secure Element (SE) sur votre téléphone. Le Secure Element est une technologie standard de l'industrie dont nous parlerons plus en détail sous peu.
Apple vous protège également contre la perte grâce à l'application Find My iPhone. Il vous permet d'effacer l'appareil à distance et ainsi d'effacer toutes les cartes de crédit, de débit, prépayées et de récompenses que vous avez enregistrées. Vous pouvez également utiliser la page de votre compte Apple ID pour informer vos fournisseurs de cartes. Ils bloqueront automatiquement tous les paiements effectués via l'application Apple ID.
Tout sonne bien, mais Apple Pay soulève des problèmes de confidentialité. Selon les conditions d'utilisation de l'application :
"Apple envoie des informations sur l'activité de votre compte iTunes et App Store, des informations sur votre appareil, des informations sur l'utilisation de votre appareil et votre emplacement au moment où vous ajoutez votre carte de crédit, de débit ou prépayée à votre banque ou à l'émetteur de votre carte."
Cela semble inquiétant.
De nombreuses fonctionnalités de sécurité de base d'Android Pay sont identiques à celles d'Apple Pay. Le processus de tokenisation est globalement similaire, mais avec une différence fondamentale.
Au lieu d'utiliser Secure Element pour générer des jetons, Android Pay utilise un processus appelé Host Card Emulation (HCE).
Host Card Emulation fait partie du système d'exploitation Android depuis la version 4.4. Au lieu d'héberger les identifiants de paiement sur un élément sécurisé à l'intérieur d'un appareil, HCE les place dans un environnement distant et utilise le cloud pour communiquer avec l'appareil.
Cela présente certains avantages clés par rapport à une SE physique :
Cependant, il existe un inconvénient en matière de sécurité :comme HCE s'appuie sur un élément sécurisé distant, il doit vous permettre d'effectuer des paiements lorsque vous êtes hors ligne. C'est comme utiliser une carte de crédit temporaire.
La fenêtre d'opportunité ne dure pas longtemps; éventuellement, vous devrez vous reconnecter au serveur avant de pouvoir effectuer d'autres paiements. Mais cela signifie que quelqu'un qui entre en possession de votre appareil et qui connaît votre code PIN pourrait désactiver votre Wi-Fi et faire une petite frénésie de dépenses avant que vous n'ayez le temps de réagir. Le risque est minime, mais il existe.
La dernière des "trois grandes" applications de paiement NFC est Samsung Pay. C'est la réponse de la société sud-coréenne à Apple Pay. Comme Apple Pay, il s'agit d'une application propriétaire qui ne fonctionne que sur les produits Samsung.
Avant d'entrer dans les détails de sécurité de l'application, il convient de mentionner une fonctionnalité qui n'est proposée ni par Android ni par Apple. Samsung Pay prend en charge les terminaux de point de vente NFC et fonctionne également avec les lecteurs omniprésents Magnetic Secure Transmission (MST) et Europay MasterCard Visa (EMV). En tant que tel, il s'agit d'un produit plus holistique.
Samsung se rabat sur Samsung Knox pour se prémunir contre les activités suspectes. À son tour, Knox est construit sur l'architecture ARM TrustZone. La sécurité de TrustZone a trois facettes :le TIMA KeyStore, la protection du noyau en temps réel et l'attestation
Les téléphones Samsung s'inspirent du livre d'Apple ; l'élément sécurisé est physiquement situé sur l'appareil lui-même. La technologie HCE n'est pas utilisée. Dans le récent téléphone Samsung S8, le géant de la sécurité numérique Gemalto était responsable des SE.
Lors des paiements, les trois applications sont très similaires. Vous devrez utiliser votre code PIN ou votre identifiant biométrique pour autoriser chaque paiement. Pour les montants plus importants, vous devrez généralement également fournir une signature. En raison du processus de tokenisation, le fournisseur ne verra jamais les détails de votre carte.
Si vous perdez votre téléphone, vous pouvez utiliser une application en ligne qui peut bloquer et effacer l'application Samsung Pay à distance.
Aucune application n'est parfaite :les pirates sont toujours à la recherche de failles et de moyens de vous exploiter, vous et vos données.
Si vous suivez l'actualité technologique, vous verrez parfois apparaître des histoires qui exposent des failles dans les applications NFC. Par exemple, en août 2016, un chercheur en sécurité a affirmé que les jetons de Samsung Pay n'étaient pas suffisamment aléatoires et pouvaient devenir prévisibles.
De même, en mars 2016, des experts ont affirmé que les criminels pouvaient charger des cartes de crédit volées sur Apple Pay, les utiliser pendant une courte période, puis jeter le téléphone.
Certes, la situation est préoccupante. Mais les applications NFC sont toutes plus sécurisées que l'utilisation d'espèces et les cartes de crédit traditionnelles avec signature pour autoriser. Plus important encore, à mesure que la technologie évolue, la sécurité des applications ne fera que s'améliorer.
Dans cet article, nous vous avons donné une brève introduction aux fonctions de sécurité offertes par trois des plus grandes applications de paiement en Europe et en Amérique du Nord.
Utilisez-vous des applications NFC ? Leur faites-vous confiance ? Sont-ils suffisamment sécurisés ? Et pensez-vous qu'ils peuvent remplacer l'argent comptant? Vous pouvez laisser tous vos avis et commentaires dans les commentaires ci-dessous. Et n'oubliez pas de partager cet article avec vos abonnés sur les réseaux sociaux.
Crédit image :REDPIXEL/Depositphotos
