Apple n'a pas lésiné sur les moyens pour sécuriser son service de paiement sans contact : enclave sécurisée, authentification Touch ID, système de jeton unique… Tout cela ne suffit certes pas à calmer les angoisses de certains hommes politiques (lire : Apple Pay : pour éviter la fraude, présentez vos papiers), mais jusqu'à présent, Apple Pay n'a pu être pris en défaut même si parfois la technologie marche un peu trop bien.
Comme souvent, ce n'est pas tellement la technologie qui pose des problèmes de sécurité, mais ceux qui s'en servent. Le blog Drop Labs, spécialisé dans l'actualité bancaire et les paiements mobiles, rapporte que le volume des fraudes empruntant Apple Pay avait explosé — attention, Apple Pay (ou les autres services de paiement sans contact) n'est pas la cause ici, mais plutôt le véhicule de ces pratiques répréhensibles.
Et celles-ci sont finalement relativement simples à mettre en œuvre : les fraudeurs achètent auprès de hackers les numéros de cartes de crédit volées vendus au plus offrant sur internet, puis ils se font passer pour les propriétaires du compte. Une fois en possession de ce numéro, il suffit de le renseigner dans Apple Pay. Plutôt que la Pomme, qui a blindé la sécurité d'Apple Pay, le problème est à chercher du côté des banques et des sociétés d'émission de cartes de crédit. Les partenaires d'Apple sont tenus de vérifier l'identité des porteurs de cartes d'une manière ou d'une autre — mais cette vérification, qui la plupart du temps passe par l'appel d'un call-center, est largement insuffisante pour prévenir les escrocs.
Pour éviter ces malversations, il existe pourtant des systèmes d'authentification autrement plus efficaces, comme demander une identification via l'application de l'institution financière ou n'importe quel autre système en deux étapes, comme Apple l'applique pour iCloud par exemple. Très peu de banques ont choisi ce type de système, ce qui explique des taux de fraude aussi élevés que 6% (sur 100$ dépensés, 6$ provient d'une fraude). Pour les cartes de crédit traditionnelles, ce ratio est de 0,10$ pour 100$.
Afin d'éviter les malversations de ce genre, Apple contraint ses partenaires à mettre en place un « Yellow Path » d'identification plus approfondie des clients Apple Pay; d'abord fortement conseillé, le constructeur de Cupertino a fini par l'imposer (un mois seulement avant le lancement du service de paiement), certaines institutions s'étant montrées très légères sur ce point. Le taux de fraude va sans doute pousser les banques à agir plus en amont.
