Nos réflexions et analyses
Par Obiseb - 9 octobre 2012

NFC, Episode II : Paiements sans contact

Après quelques renseignement pris sur le NFC en général, je me penche donc sur les paiements sans contact.

C'est quoi ce truc ?

En fait il n'y a pas UN paiement mais DES paiements sans contacts utilisant le NFC

Il y a d'une part les solutions que je qualifierais de fermées, proposées par des commerçants, des collectivités, ou un intermédiaire lié à ces derniers. On peut rapprocher ce genre de solution au télépéage : il s'agit de s'inscrire au préalable auprès de l'organisme, on s'identifie avec le téléphone via NFC lorsque l'ont consomme le service, un RIB/RIP avec une autorisation de prélèvement ayant été fournis pour s’acquitter du paiement soit au fur et à mesure des services rendus soit à la fin d'un période définie.
On peut citer par exemple les accords entre PayByPhone (du groupe Vinci qui profite ici de son expérience dans le télépéage, dans la gestion de parking et dans les concessions de services publics en général) et plusieurs collectivités de la région Niçoise, Calais ou encore Issy-les-Moulineaux dans les domaines des transports, du stationnement, et de la location de véhicule (vélo,auto-partage).
Ce genre de système trouve rapidement ses limites quand il s'agit par exemple d'aller stationner ailleurs dans une commune avec un autre système (ou pas de système), ou pour les personnes qui veulent profiter occasionnellement du service.

D'autre part le fonctionnement de type cartes bancaires. Ce type de solutions est plus souple et ouverte. Pas besoin de s’inscrire il suffit simplement que le terminal de paiement soit compatible.


Concrètement comment s'en sert-on ?

Avec une carte bancaire sans contact (disponible en option, souvent gratuite, dans la majorité des banques)

  • paiement de moins de 20 EUR : il suffit d'un contact entre la carte et le terminal de paiement.
  • paiement de plus de 20 EUR : retour à la méthode classique : on insert la carte dans le terminal de paiement avec saisie du code comme avec n'importe quelle CB classique.
Dans le cas d'un téléphone, il s'agit de faire simuler une carte sans contact. Pour cela il faut :
- un téléphone équipé d'une puce NFC
- avoir installé l'application fournie par sa banque après souscrit l'option correspondante
- une carte sim compatible, elle est en effet l'un des éléments de sécurité (disponibilité chez Orange, Sosh, NRJ, SFR, Bouyges, mais apparemment ni B&You ni Free pour l'instant)

Ensuite les principes de fonctionnement par défaut restent les même :
  • paiement de moins de 20 EUR : il suffit d'un contact entre la carte et le terminal de paiement, chez certaines banque le code sera demandé de temps en temps, les appli dont j'ai pu consulter la doc permettent de rendre la saisie du code de façon systématique
  • paiement de plus de 20 EUR : l'application demandera obligatoirement le code pour valider l'opération

Pour éviter d'avoir à activer ou déactiver le NFC pour plus de sécurité quand on ne veut payer pas utiliser sa carte, il semble possible de désactiver uniquement les applications de paiement pour pouvoir continuer à utiliser le NFC pour d'autres usages



Et la sécurité dans tout ca ?

En avril 2012, une alerte sur la sécurité des transactions par cartes sans contact a été lancée par un ancien ingénieur de British Telecom qui aurais remarqué que certaines cartes ne sont pas sécurisée (Support de la présentation de la faille des cartes sans paiement par Renaud Lifchitz). Avec ces cartes, il serais possible de récupérer au maximum les noms et prénoms du titulaires ainsi que le numéro et la date jusqu’à plusieurs mètres avec du matériel adapté (capteur sensible, amplificateur, antenne ...). Très proche de la transaction il serait même possible de récupérer les informations de la transaction, mais qui, elles, doivent être cryptées avec une clé à usage unique donc en théorie non réutilisable. Cependant sur certaines cartes l'ingénieur en question affirme n'avoir rencontré aucune protection, et que les données disponibles facilement seraient suffisantes pour utiliser les informations de la carte dans de nombreux pays qui ne sont pas passé aux puces, mais utilisent encore à la piste magnétique voir le fer à repasser pour prendre l'empreinte de la carte.

Les banques, le groupement carte bancaire, visa, mastercard, etc ... se veulent évidement rassurant en indiquant qu'aucune transaction ne pourra jamais être sécurisée à 100%, mais qu'en cas d'hypothétique et improbable problème "le client sera remboursé".... mais ils ne précisent pas les délais et les tonnes de preuve qu'ils réclameraient. Pour limiter les risques les différents organismes concerné travaillent sur des mini-étuis faisant office de cage de faraday bloquant ainsi tout communication avec la carte quand elle n'est pas censé être utilisée.

L'affaire ayant fait pas mal de bruit non seulement dans les milieux concernés, mais aussi dans la presse, la CNIL c'est saisie de l'affaire. Ce qu'elle a confirmé début mai dans un communiqué que je vous livre :
CNIL a écrit:Selon plusieurs articles de presse parus ces dernières semaines, les cartes de paiement sans contact actuellement distribuées par certains établissements bancaires présenteraient un risque au regard de la sécurité des données personnelles qu'elles contiennent. Des tests auraient démontré que ces cartes seraient susceptibles de communiquer sur plusieurs mètres des informations relatives à leur porteur ou aux transactions effectuées par celui-ci.
La CNIL réalise donc actuellement des investigations techniques afin d'identifier d'éventuels problèmes de sécurité et d'évaluer leurs conséquences en termes d'impact sur la vie privée des porteurs de carte.
source : Lancement d'une enquête par la CNIL sur la sécurité des paiement sans contacts (10 mai 2012) : article sur le site de CNIL.

Selon le Forum des services mobiles sans contact, groupement des acteurs concernés avec pour objectif "de favoriser les synergies entre les acteurs pour permettre l'émergence rapide des services mobiles sans contact" et dont je vous laisse juger l'impartialité par vous même (liste des membres), a indiqué dans son blog début septembre :
SMSC a écrit:depuis cet été, la donnée nominative ne peut plus être captée : une parade, satisfaisante au regard de la CNIL, a été trouvée par le Groupement CB mise en œuvre par les industriels.
source : Forum des services mobiles sans contact


L'usage de ce type d'application pose également un autre problème : la perte ou le vol de votre téléphone. Sans parler de l'intérêt supplémentaire que cela représenteras pour les voleurs quand le système sera plus répandu, cela fait des raisons supplémentaires pour utiliser un verrouillage digne de ce nom sur votre téléphone si ce n'est pas encore le cas.


Le ton de ce billet vous l'aura peut être fait sentir, je reste encore assez frileux sur le sujet. Je pense qu'il s'agit probablement d'une idée d'avenir à fort potentiel, mais il reste encore du travail à faire sur la sécurité et la communication, au niveau des consommateurs mais aussi au niveau des commençant. Si je prend l'exemple de Strasbourg dont les commerçant sont équipés de terminaux de paiement compatibles pour la plupart depuis 1 voir 2 ans, pour les premiers, suite à un effort des banque majoritaires dans la région, il faut encore qu'ils en ai connaissance, l'acceptent et sachent s'en servir...

Qu'en pensez vous ?

Paiement Smartphone.jpg


11 réponse(s) -
Site standard | Site mobile
POUR ALLER PLUS LOIN