Alors que le paiement mobile explose, gare aux fraudeurs qui rôdent autour
Apple Pay, Google Pay, Samsung Pay et les autres sont de plus en plus utilisés en France. Au premier semestre 2022, le paiement mobile a connu une croissance de 131,5% en nombre (330 millions de transactions) et 135,7% en montant, rapporte l'Observatoire de la sécurité des moyens de paiements de la Banque de France.
Cette nouvelle est assortie d'un « point de vigilance » : la fraude liée au paiement mobile progresse elle aussi (0,081 % du total des fraudes de paiements au 1er semestre 2022 contre 0,074 % en 2021). Parmi l’ensemble des paiements sans contact, le paiement mobile reste minoritaire dans les montants échangés (9,9 % du total des paiements sans contact), mais il représente 51 % des montants de fraude.
Qu'est-ce qui cloche avec Apple Pay et les autres services du même type ? Les escroqueries sont essentiellement liées à des enrôlements frauduleux de carte volée ou usurpée dans des portefeuilles mobiles, des traquenards qui s'appuient notamment sur la manipulation des cibles. Autrement dit, un malandrin qui aura réussi à rassembler des informations sur vous (numéro de téléphone, email, nom de votre banque…) va essayer de vous faire activer à distance votre carte bancaire dans son smartphone, afin de s'en servir ensuite pour payer en Apple Pay, Google Pay ou autre.
Face à ces arnaques qui se développent, l'instance de la Banque de France formule une recommandation attendue par toutes les victimes concernées :
Lorsque l’utilisateur du service de paiement conteste une opération de paiement qu’il nie avoir autorisée et qui a été réalisée au moyen d’une solution mobile pour laquelle l’enrôlement de l’instrument de paiement n’a pas donné lieu à authentification forte, le prestataire de services de paiement du payeur procède sans délai au remboursement du montant de cette opération.
L'organisme de lutte contre la fraude va diffuser cette recommandation ainsi que d'autres auprès des acteurs concernés et suivre leur mise en œuvre. Un premier bilan sera dressé fin 2024.
Il y a moyen de bloquer cela en faisant comme ING par exemple, il faut passer par l’application ING Banking pour ajouter la carte de débit dans le wallet d’Apple. (Avec validation via son pin de l’app)
Si vous êtes clients de la caisse d'épargne, vous devriez sous peu (si ce n'est pas déjà fait) devoir supprimer votre carte VISA d'ApplePay pour ensuite la réinstaller.
Apple n'ayant finalement pas voulu sécuriser plus l'enregistrement d'une carte bancaire ApplePay, Caisse d'Epargne s'est résolue à ajouter un 2e facteur d'authentification (via leur app iOS) lors de l'installation d'une carte ApplePay.
Surveillez vos mails en attente de l'info de Caisse d'Epargne. Si vous loupez ce mail, vous risquez de vous réveiller un matin avec une notification que votre carte a été supprimée d'ApplePay. Pas de panique, il suffit de l'ajouter à nouveau (en validant via Banxo sur l'appareil que vous avez configuré SecurID, que c'est bien vous).
Je confirme! Ça m'est arrivé il y a 15 jours (et je ne crois pas avoir reçu d'info de la Caisse d'Epargne au préalable).
Ça fait tout drôle quand vous prenez l'iPhone pour payer et qu'une notification vous dit que votre carte a été désactivée 🥴. Comme j'étais à l'Etranger sans avoir prévenu ma banque de mon séjour, je me suis dit que ma banque avait considéré les paiements précédents effectués depuis un Pays inhabituel, comme frauduleux...
Une chance j'ai une 2e carte ApplePay d'une autre banque qui était toujours fonctionnelle pour payer.
@SyMich
Il suffirait que les banques utilisent l’autorisation par application comme elles le font déjà pour les payements ( pas toutes d’ailleurs et c’est pour ça que Apple n’y peut rien ) en plus du SMS.
Apple ne peut pas imposé au banque une manière particulière de faire, c’est au banque de décider comment s’y prendre. 😈
C'est la solution retenue par la Caisse d'Epargne mais les groupements VISA et Mastercard avaient proposé à Apple une solution standard qu'Apple aurait pu implémenter de façon systématique via le double facteur d'authentification iCloud (pour ne pas dépendre du bon vouloir des banques). Apple n'a pas donné suite. Du coup, chaque banque doit implémenter cette sécurisation renforcée et toutes ne le font pas.
@SyMich
D’accord merci, je pense que si Apple n’a pas voulu c’est pour ne pas prendre la responsabilité, et c’est dommage effectivement 👿
@SyMich
Beaucoup d’affirmations de ce commentaire. Les sources s’il te plait.
Source? Les développements que l'on vient de terminer chez Caisse d'Epargne...
Tu prends l'info comme je la donne si tu le souhaites, tu n'en tiens pas compte si tu n'acceptes que ce qui a été dûment publié préalablement sur Twitter ou TikTok, ça m'est totalement équilatéral.
Quoi qu'il en soit, les clients Caisse d'Epargne pourront valider l'info en constatant la désactivation de leur carte ApplePay avec nécessité de la ressaisir avec double authentification SecurID via leur app Banxo.
@SyMich
Argument assez discutable tant ils le font déjà pour les cartes classiques. Il doit y avoir aussi un côté assez réfractaires des banques tradi à adopter les dernières technos
@R-APPLE-R
Complètement et encore une fois les banques tradi sont très en retard. Cote banque en ligne quasi toutes le font depuis plusieurs années et c’est bien plus secure et fluide qu’un sms
@cosmoboy34
https://youtu.be/Lw826rTgHC0 😈
@R-APPLE-R
Génial. Les anecdotes sont top 🤣 c’est très parlant. J’avais déjà vu un truc du genre sur les systèmes utilisés par les banques c’est assez ahurissant t’as l’impression que tout est basé sur une château de cartes prêt à s’écrouler à n’importe quel moment si y’en a un qui fait une grosse bourde. Et il le dit très bien c’est un système basé sur la confiance mais si les gens en connaissaient le fonctionnement….
La bourse basée sur des Excels… 🤣
Je pense qu’à un moment les fintech vont finir par écraser les anciennes. Elles ont prit trop de retard et ne semblent pas avoir une démarche sincère de modernité. La seule chose qui les sauve aujourd’hui ce sont les régulateurs qui les protègent sans ça ils seraient déjà morts
@cosmoboy34
Les cryptomonnaie sont l’avenir surtout Bitcoin complètement descentraliser le réseau le plus sécurisé au monde bref de plus en plus de gens le voient et c’est inéducables 😉😈
@R-APPLE-R
J’ai l’impression aussi mais encore et toujours le même problème : les institutions protègent allègrement les acteurs du monde bancaire d’hier et d’avant hier. Les crypto c’est le pouvoir complètement décentralisé la possibilité que les banques ne dirigent plus le monde et que le paradigme de la planète entière change complètement avec tous ses risques et bénéfices. Ces changements ne se feront pas dans la facilité même si au final ce sera probablement très bénéfique pour les populations du monde
@cosmoboy34
C’est clair mais ça se fera quand même au final, ils ne peuvent que retarder l’inévitable 😈
@R-APPLE-R
C’est drôle je regardais ce que faisait trade republic tout juste ce matin 😁
@cosmoboy34
👍😈
@SyMich
Mi-juin et pour l'instant, pas de mail ni désactivation pour moi.
Remarque sur Banxo : la procédure de connexion est très anxiogène, avec ses écrans qui se succèdent rapidement comme des problèmes d'affichage, avant d'enfin demander TouchID. On se demande chaque fois si ça va marcher ou s'il va dire qu'il faut mettre à jour et que sur mon iOS trop vieux je ne peux plus.
@Lightman
Je peux confirmer de source sûre que tout est erroné dans ce qui a été énoncé, mais alors vraiment tout
Est-ce la même chose pour Banque Populaire? Puisqu’ils sont dans le même groupe que les Caisses d’Epargne?
Ça je ne peux pas vous dire car on n'est pas sous contrat avec la Banque populaire (uniquement Caisse d'Epargne).
Par contre je sais que des banques espèrent encore qu'APPLE mette en place la double authentification lors de l'ajout d'une carte ApplePay, de façon centralisée au niveau d'iOS et ne veulent pas se lancer elles-même pour ne pas devoir faire un développement puis faire machine arrière quelques semaines ou mois plus tard si Apple le fait (pour ne pas se retrouver avec une double double authentification...). C'est ce qui a retardé la décision à la Caisse d'Epargne (avec l'argument qu'ApplePay coûte cher aux banques et qu'Apple mettant largement avant le niveau de sécurité d'ApplePay, c'est à Apple de faire le nécessaire pour renforcer la sécurisation dont le niveau de fraude montre qu'il est défaillant.
Bref certaines banques ont sauté le pas, comme la Caisse d'Epargne, mais pas toutes.
Bon pour le coup ça reste le même système, c’est de l’ingénierie sociale finalement.
Mais il faut sensibiliser. Quand ma mère tombe sur des trucs à « 1€ » ou des SMS demandant de payer quelque chose, elle me demande systématiquement désormais. Quitte à être « dérangé » cinq minutes, autant que ça évite de grosses fraudes.
Chez Banque Populaire, ma femme a énormément de mal à activer Apple Pay et elle a du passer par l’application, il y a moins d’un an. Je n’ai pas souvenir d’avoir eu le moindre problème et ne pense pas être passé par l’application (il y a 3 ans). Je pense qu’ils ont mis en place la double authentification entre les deux.
Et le paiement par QR code, ça se développe en France ? Le commerçant présente un QR code que sait lire l’appli de ta banque et direct c’est prélevé sur le compte sans passer par une carte bancaire.
Ça bypass les CB mais ça requiert un compte local, pas super pratique pour les voyageurs. Et il faut l’argent sur le compte, comme pour une carte de débit. On est plutôt habitué aux cartes de crédit en France qui font l’avance des fonds mais sans les avoir au moment du paiement.