Téléphone, appareil photo, GPS, carte de fidélité… nos smartphones endossent aujourd’hui le costume de carte bancaire et porte-monnaie numérique. Pour les utilisateurs, ce nouvel usage préfigure une fluidification des transactions, que ce soit en ligne, chez les commerçants ou entre utilisateurs. Mais dans cette course à l’innovation et à la simplification des échanges monétaires, deux préoccupations pourtant essentielles semblent avoir été éludées : la sécurité et la confidentialité des données personnelles.
La simplification des moyens de paiement doit-elle se faire au détriment de la sécurité ? Certains moyens de paiements se démarquent-ils du point de vue de la fiabilité ? Réponses dans ce dossier.
157 000 portables déclarés volés en une année
Les risques majeurs qui pèsent sur les utilisateurs de moyens de paiement mobiles ne sont ni les hackers ni les virus informatiques, ce sont la perte et le vol. En 2010, pas moins de 157 000 téléphones portables ont été déclarés volés en France, autrement dit plus de 400 par jour. Aux Etats-Unis, 113 téléphones mobiles sont perdus chaque minute. Les chiffres ont de quoi faire peur.
Et nous sommes de plus en plus nombreux à être concernés, comme l’indique l’enquête Trusted Mobility Index (consulter l’enquête au format PDF) réalisée par Jupiter Networks : les personnes interrogées utilisent en moyenne trois appareils connectés à internet et 18% d’entre elles possèdent 5 ou plus appareils connectés.
Si des solutions existent pour sécuriser les données présentes dans son mobile et l’accès à son compte bancaire lié (blocage de la carte SIM, code d’accès, système 3D-Secure, etc.), le risque humain demeure, doublé du risque informatique.
Selon l’enquête Jupiter Networks, 15% seulement des utilisateurs font confiance à leurs smartphones, alors qu’ils sont 76% à utiliser des services sensibles (services bancaires, consultation de données médicales).
Faut-il pour autant tourner le dos aux nouvelles opportunités de paiement qui se développent, conçues pour nous rendre la vie quotidienne plus facile ?
NFC : pas d’authentification ni de chiffrage
Le Near Field Communication (NFC) est une technologie qui permet le paiement sans contact. Il suffit de passer un téléphone ou une carte équipée de la technologie NFC devant le terminal de paiement pour effectuer la transaction. Très répandue aux Etats-Unis (Google le propose avec son Google Wallet), les moyens de paiement utilisant la technologie NFC se développent massivement en France.
Utilisé comme moyen de paiement, le NFC nécessite des équipements spécifiques : un terminal de paiement pour le commerçant et un mobile pour l’utilisateur, équipés de la technologie NFC. Le paiement ne nécessite ni d’insertion de carte ni de composition de code ou de mot de passe… Pratique mais peu sécurisé !
Suite à la parution de nombreux articles de presse pointant les failles en matière de sécurité de la technologie NFC, la Commission Nationale Informatique et Libertés (CNIL) a lancé en mai 2012 une enquête. A lire sur cnil.fr : Sécurité des cartes bancaires sans contact : expertise en cours. L’objectif est d’évaluer le niveau de sécurité et les risques potentiels pour la confidentialité des donnés personnelles.
Plus sécurisées que les technologies Bluetooth et RFID, le NFC serait tout de même sujet à de graves failles de sécurité. Selon les hackers, pirater des données transmises par NFC serait un jeu d’enfant. Un téléphone équipé d’une antenne ou d’un logiciel spécifique suffirait à récupérer les données bancaires enregistrées sur le mobile de la victime…
Tout ce qui simplifie le paiement limite la sécurité
Outre le paiement NFC, de nouvelles offres de paiement mobile ont été développées par les grands groupes bancaires et de télécommunication. C’est le cas de Buyster, Kwixo, Paypal, des paiements qui nécessitent un enregistrement préalable du numéro de compte bancaire, puis la composition numéro de téléphone et d’un mot de passe au moment du paiement.
Buyster a été déployé en septembre 2011 par Orange, SFR et Bouygues, en association avec Atos. Après qu’un lien virtuel ait été établi entre la carte bancaire et le téléphone, l’application facture directement sur le compte bancaire de l’utilisateur.
Le très connu mode de paiement Paypal se déploie aussi sur les terminaux mobiles. Son fonctionnement, qui évite à l’utilisateur d’avoir à laborieusement renseigner ses coordonnées bancaires sur son smartphone, correspond tout à fait à une utilisation mobile.
Développé par le Crédit Agricole, Kwixo se positionne en référence du paiement en ligne sans carte bancaire. A l’image de Paypal, Kwixo permet à ses utilisateurs de régler leurs achats sur internet et d’échanger de l’argent entre particuliers. Au préalable, l’utilisateur doit ouvrir un compte Kwixo et renseigner ses coordonnées bancaires.
Et, début juillet 2012, la BCPE, une entité regroupant la Caisse d’Epargne et la Banque Populaire, annonçait le lancement du S-money. Ce porte-monnaie électronique, alimenté par un compte bancaire, permettra d’effectuer des virements crédités immédiatement sur le compte du destinataire (commerçant ou particulier). Après une période test dans les villes de Nantes, Rennes, Toulouse et Bordeaux, le S-money sera déployé dans toute la France au début de l’année 2013. La BCPE insiste sur l’aspect sécurisé de son application, mais il faudra attendre les tests des pirates pour vraiment savoir ce qu’il en est. S-money étant également disponible en NFC, le risque 0 n’existe pas.
Quels moyens de paiement sécurisés ?
C’est un véritablement bouillonnement de nouveaux moyens de paiement auquel nous assistons. Pour autant, aucun d’eux ne parvient encore à se démarquer réellement et se diffuser massivement auprès des utilisateurs, tant les problématiques de sécurité et d’interopérabilité prévalent encore sur l’aspect pratique.
Jusqu’à ce que le paiement mobile ait atteint l’âge de la maturité, mieux vaut privilégier les moyens de paiement qui ont fait leur preuve en matière de sécurité : carte bancaire, chèques espèces sonnantes et trébuchantes, etc. Une sécurité toutefois relative, si l’on s’en tient aux chiffres des cas de fraudes par carte bancaire et aux risques de dévaluation des monnaies. A quand une carte de débit pour utiliser ou recharger son compte or ?
Une erreur dans l’article : S-Money n’utilise pas (encore) la fonctionnalité NFC.