Trois ans après Google Wallet, Apple vient de présenter à son tour une solution de paiement mobile sans contact qui s’appuie sur les terminaux mobiles. La firme met particulièrement en avant le haut niveau de sécurité de cette solution par rapport à un paiement classique par carte bancaire. Qu’en est-il vraiment ?
A ce jour, Apple a juste donné les grandes lignes de cette solution, sans rentrer dans les détails techniques. Mais à première vue, cette technologie ressemble beaucoup à Google Wallet. « Comme Google Wallet, l’application Apple Pay va simuler une carte de paiement à usage unique pour réaliser la transaction avec le vendeur. Celle-ci va débiter un compte chez Apple, qui ensuite va débiter le compte bancaire de l’acheteur », nous explique un chercheur en sécurité.
En effet, l’application Apple Pay ne sauvegarde pas le numéro de la carte bancaire de l’utilisateur sur le téléphone, mais un « numéro de compte lié au terminal » (Device Account Number). Ce dernier est stocké de manière chiffrée dans un élément matériel du téléphone appelée « Secure Element ». Ce numéro est utilisé pour créer les cartes virtuelles à usage unique. Cette façon de faire à plusieurs avantages. Le vendeur n’a connaissance ni du véritable numéro de carte bancaire, ni même du nom de son détenteur. En cas de perte ou de vol du terminal, il n’y a pas lieu de faire bloquer la carte : il suffit de suspendre le Device Account Number, et le tour est joué. Enfin, le code PIN ne peut jamais être divulgué non plus, car il n’est jamais utilisé : en lieu et place, Apple propose l’authentification biométrique par Touch ID.
Certes, ni Apple Pay, ni Google Wallet ne pourront combler la célèbre faille des cartes bancaires NFC, car celle-ci est liée au standard même des paiements EMV. Un pirate pourrait donc toujours intercepter le numéro de carte à usage unique. Mais le risque est limité, car ce numéro est justement éphémère. Par ailleurs, l’interception ne pourrait se faire que lorsque l’application est activée, contrairement au module NFC d’une carte bancaire qui peut être siphonné à tout moment. La surface d’attaque est donc plus faible. « Au final, un paiement NFC par ce type de système est plus sécurisé qu’un paiement NFC par carte bancaire », résume le chercheur en sécurité, qui s’interroge en même temps sur l’utilité même d’un paiement NFC. « Un carte bancaire sans NFC avec un code PIN, ça marche aussi très bien aussi ».
Lire aussi:
Notre dossier sur l’iPhone 6 et Apple Watch
Ci-dessous notre chronique vidéo “Quand Apple Pay, PayPal pleure”
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
