Aujourd’hui, je vois de plus en plus de terminaux de paiement acceptant le sans contact, de personnes l’utilisant, mais aussi d’utilisation de ce type de paiement.
Moi-même, j’ai essayé le paiement sans contact pendant plusieurs semaines tant il est tentant de s’y mettre.
Encore maintenant, le paiement sans contact est mal vu par plusieurs personnes trouvant la technologie pas assez sécurisée.
C’est le NFC qui est utilisé dans tout les paiements sans contact. Le NFC est une technologie de communications de très courte portée : d’une portée d’environs 10 centimètre, il faut généralement accoler les deux appareils afin que la communication se fasse.
Un autre fait, est que la carte sans contact contenant la puce NFC, qui doit recevoir une demande, n’a pas besoin d’être mise sous tension. L’énergie dont elle aura besoin pour fonctionner sera transmis grâce au champ magnétique du demandeur.
Ces deux éléments représentent des avantages non-négligeables à l’utilisation de cette technologie dans le paiement sans contact. Cela permet une sécurité en restreignant le champ d’action de la puce, mais aussi l’utilisation, dans des cartes qui n’intègrent pas de batteries.
Il est possible de faire la demande à la banque de désactiver le paiement sans contact sur sa carte bleue.
Mais le paiement sans contact ne se limite plus seulement aux cartes. On va le voir ici, il existe plusieurs façons aujourd’hui de payer.
Mais commençons tout d’abord par les cartes bleue :
Aujourd’hui, les banques proposent par défaut les cartes bancaires sans contact. Décrite comme sécurisé et simple d’utilisation, malheureusement une seule est véridique : la simplicité.
Nécessitant aucune action de la part de l’utilisateur mis à part de l’apposer à un TPE, celui-ci est en devient une faille, permettant potentiellement à des personnes mal intentionnées de dérober des informations sur la carte bancaire ou d’effectuer un paiement. Cela est possible avec un simple téléphone, sachant qu’aujourd’hui, ils intègrent tous une puce NFC.
D’ailleurs, des applications existent pour lire simplement des puce NFC dont celles des cartes bleues.
Aujourd’hui, sur une puce NFC de paiement bancaire, il est possible de lire les données dessus : nom, prénom, numéro de carte et d’expiration, mais aussi de dérober de l’argent. Les méthodes de vol d’argent ne sont pas forcément des plus simples, mais il est tout à fait possible de le faire. Il faut savoir que le NFC n’est pas une méthode sécurisée et ne transmet rien de façon cryptée. Le protocole utilisé dessus est très ancien et adapté à des cartes bleu classique. Ce protocole se nomme Europay Mastercard Visa (EMV).
De plus, sur les cartes NFC, il est impossible de désactiver les communications de données ce qui la rend vulnérable. Pour contrer à ce problème, des fabricants ont mis au point des portefeuilles comportant de l’aluminium permettant de bloquer au maximum les ondes en direction de la carte vulnérable. Les banques, de leur côté, limite les plafonds par paiement et par semaine du paiement sans contact et peuvent demander à insérer la carte dans le lecteur afin de confirmer l’identité du propriétaire par le code secret.
Les grands acteurs au taquet :
Le paiement sans contact, malgré qu’il soit mal vu, est devenue une mode surtout pour ceux ne connaissant pas sa vulnérabilité. Étant tout de même très utilisé, les grands acteurs tels que Google et Apple ont vite compris qu’il fallait déployer un système de paiement sur les mobiles. Chose faite, aujourd’hui, il est possible de configurer son téléphone pour payer en ligne avec Google Pay ou Apple Pay.
Mais comment configurer son téléphone pour l’utilisation de ces applications ?
Tout simplement en rentrant ces informations bancaires de la même façon que l’on pourrait le faire pour payer en ligne. La seule différence est que les informations entrées, bien que cryptées, sont sensibles et transitent dans des serveurs pouvant être sujet à être dérobé par des pirates informatiques. Une méthode que je n’ai pas voulue utilisé par sécurité. Des paramètres de sécurité existent pour refuser le paiement en ayant l’écran verrouiller par exemple ou utiliser son empreinte digitale pour accepter le paiement. Le fait d’utiliser le lecteur d’empreinte digitale peut être facilement contourné. On a vu que sur certains lecteurs d’empreinte digitale il n’était pas compliqué de contourner la sécurité de celle-ci.
Un système commun pour les banques :
Avec l’ampleur que les paiements sans contact ont prise et l’arrivé des paiements via son smartphone, les banques ont vite pensée à un système commun permettant de faire ses paiements de façon sécurisé.
Cette application est nommée Paylib et est directement intégrée au sein de l’application bancaire. Il existe aussi une application appartenant à MasterCard qui fait le même travail.
Cela garantit de ne donner aucunes informations bancaires à des corps non-bancaires. Ce moyen se limite au seul téléphone sur lequel il a été activé. Il faut avouer que ça paraît très sécurisé par rapport aux méthodes connus. J’ai moi-même céder à la tentation de cette méthode qui est, il faut l’avouer, très pratique.
Maintenant, au niveau de la sécurité, est-ce optimal ? C’est bien mieux sécurisé qu’une carte bleue sans contact ou du moyen Google Pay, mais on utilise encore le NFC qui est une technologie remplie de faille.
PayLib propose de mettre un plafond maximal de paiement sans demander d’entrer le mot de passe du compte. Ici, on n’utilisera pas le code secret afin d’éviter qu’il se divulgue. De toute façon, si quelqu’un récupère notre code secret et tente de se connecter à notre compte bancaire, afin de faire des paiements PayLib, il sera bloqué par la clé digitale qui ne reconnaîtra pas son smartphone.
Étant quelqu’un qui aime bien faire des modifications de ROM sur mon smartphone et qui est un peu touche-à-tout dans ce domaine, je me suis souvent bloqué avec PayLib qui ne voulais donc plus reconnaître ma clé digitale après une réinstallation de ROM ou une simple réinstallation de l’application.
Sachant que Paylib gère aussi les paiements en ligne, je ne pouvais plus faire d’achat par internet jusqu’à que mon conseiller la désactive. C’est la raison pour laquelle je n’utilise plus ce moyen de paiement : Après trois demande de désactivation en 6 mois je pense que j’ai saoulé mon conseiller (Kappa)
MasterCard va plus loin dans la sécurité de son application de paiement bancaire par téléphone, car celui-ci ce géolocalise par rapport à sa carte bleue. Il faudra toujours avoir sa carte bleue sur soit pour effectuer un paiement, ce qui peut aussi être perçu comme un désavantage.
Les objets connectés :
Récemment, on entend de plus en plus parler d’objets connectés permettant le paiement sans contact. Dans ce lot ressort une bague connectée. Celle-ci permettrait grâce à deux sécurités d’effectuer un paiement : la première est un bouton-poussoir, l’autre un scan du doigt qui analyse les flux sanguins.
Les objets permettant ce type de transactions, vont se multiplier dans les années à venir, la question de la sécurité sur ces objets est primordiale. Les laboratoires spécialisés recherchent constamment les différentes failles qu’il peut exister sur ces systèmes. Plus il existera de système de paiement sans contact différent, et plus de faille, il y aura.
Images :
Paiement carte sans-contact - Wikipédia
Petite information :
Ces derniers temps j'ai pas énormément de temps pour écrire. 10 jours se sont écoulés depuis mon dernier article. Je veux éviter de faire des articles fait trop rapidement. Celui-ci, j'avais envie de le faire et je me suis rendu compte du manque de temps que j'avais. Je l'écris depuis plusieurs jours. Je pense qu'il n'est pas forcément complet. Je suis ouvert aux critiques donc n'hésitez pas à me dire ce qu'il faut améliorer ! Bonne journée !