Apple Pay : les banques négligentes face à la fraude
Apple n'a pas lésiné sur les moyens pour sécuriser son service de paiement sans contact : enclave sécurisée, authentification Touch ID, système de jeton unique… Tout cela ne suffit certes pas à calmer les angoisses de certains hommes politiques (lire : Apple Pay : pour éviter la fraude, présentez vos papiers), mais jusqu'à présent, Apple Pay n'a pu être pris en défaut même si parfois la technologie marche un peu trop bien.
Comme souvent, ce n'est pas tellement la technologie qui pose des problèmes de sécurité, mais ceux qui s'en servent. Le blog Drop Labs, spécialisé dans l'actualité bancaire et les paiements mobiles, rapporte que le volume des fraudes empruntant Apple Pay avait explosé — attention, Apple Pay (ou les autres services de paiement sans contact) n'est pas la cause ici, mais plutôt le véhicule de ces pratiques répréhensibles.
Et celles-ci sont finalement relativement simples à mettre en œuvre : les fraudeurs achètent auprès de hackers les numéros de cartes de crédit volées vendus au plus offrant sur internet, puis ils se font passer pour les propriétaires du compte. Une fois en possession de ce numéro, il suffit de le renseigner dans Apple Pay. Plutôt que la Pomme, qui a blindé la sécurité d'Apple Pay, le problème est à chercher du côté des banques et des sociétés d'émission de cartes de crédit. Les partenaires d'Apple sont tenus de vérifier l'identité des porteurs de cartes d'une manière ou d'une autre — mais cette vérification, qui la plupart du temps passe par l'appel d'un call-center, est largement insuffisante pour prévenir les escrocs.
Pour éviter ces malversations, il existe pourtant des systèmes d'authentification autrement plus efficaces, comme demander une identification via l'application de l'institution financière ou n'importe quel autre système en deux étapes, comme Apple l'applique pour iCloud par exemple. Très peu de banques ont choisi ce type de système, ce qui explique des taux de fraude aussi élevés que 6% (sur 100$ dépensés, 6$ provient d'une fraude). Pour les cartes de crédit traditionnelles, ce ratio est de 0,10$ pour 100$.
Afin d'éviter les malversations de ce genre, Apple contraint ses partenaires à mettre en place un « Yellow Path » d'identification plus approfondie des clients Apple Pay; d'abord fortement conseillé, le constructeur de Cupertino a fini par l'imposer (un mois seulement avant le lancement du service de paiement), certaines institutions s'étant montrées très légères sur ce point. Le taux de fraude va sans doute pousser les banques à agir plus en amont.
Cet article est tellement mal écrit qu'il est difficile d'y comprendre quoi que ce soit...
@Mrleblanc101 :
Je ne le trouve pas compliqué à comprendre ... Peut être que le problème viendrait plutôt du lecteur ... Ou alors peut être est-ce le fait que j'utilise Apple Pay et que donc je vois exactement de quoi ils parlent car j'y est été confronté ... En tous les cas, pas besoin d'être aussi violent dans le commentaire !
L'avant dernier paragraphe porte à confusion. C'est probablement à ça que fait référence Meleblanc101.
Pas besoin de comprendre, c'est la faute des banques et pis c tout ..
Donc on rejette la faute sur celui qui hérite d'un système qu'il n'a pas demandé.
"on rejette la faute sur celui qui hérite d'un système qu'il n'a pas demandé."
Un contrat synallagmatique impliquant l'accord
de chaque partie, la banque partenaire ne l'a pas moins "demandé" qu'Apple.
@marcpafr :
Évidemment.
Il fallait tirer un petit peu sur Apple...
Apple pourrait ne valider la CB qu'après acceptation de la banque d'une manière où d'une autre (validation par courier par exemple). Apple est également un peu faiblarde sur ce sujet.
@Lemmings :
En fait Apple ne valide ma carte qu'une fois validation reçue par la banque. C'est à la banque de s'assurer de la véracité des infos et du bien fondé de la demande, d'où le pourquoi il faut que la banque ait signé un accord avec Apple pour déclencher Apple Pay...
Le souci ici c'est que la validation par les banques est faiblarde. Ils font au plus simple.
Applepay est une plaie à fraude! Super géniale leur super truc sécurisé....
@Keor
Mais ApplePay est super sécurisé. Aucune carte ne peut être validée sans l'accord de la banque. C'est à la banque d'effectuer les vérifications...
Ceci dit, je pense au gens qui fraudent, ils n'ont pas peur quand même. Ils sont très facilement traçables
Cette façon (constante) de vouloir dédouaner Apple est gerbante. On dirait que jamais rien n'est de leur faute: problème de fraude? Pas eux. Un défaut dans l'IPhone? C'est génial quand même parce qu'Android n'a pas cette fonction.
Etc, etc...
Je ne vois pas l’intérêt de sortir son iPhone plutôt que sa CB?
En exhibant son iPhone on risque juste de se le faire voler.
C'est pour frimer ou bien ?
@Ipader :
Plus pratique, plus sécurisé et un truc en moins à se trombe Klee partout
@Pato49 :
Je ne suis pas de cet avis, sécurité: c'est visiblement pas le cas, pratique: la demo de Tim de m'a pas convaincu, le coup du sac a main, mdr les femmes mettent souvent leur téléphone au fond du sac donc on revient au même point, une carte à trimballer: bon il ne faut pas pousser c'est pas insurmontable et en plus c'est étanche contrairement à iPhone et Apple Watch et ne casse pas et n'a pas besoin de se recharger.
En France notamment on est très "à cheval" sur les libertés, la sécurité, etc ..
Mais souvent ceux qui sont les premiers à critiquer sont aussi très souvent ceux qui ont comme mots de passe : "1234567890", "abcde ...", "040670" si ils sont nés le 4 juin 1970 !!!
Qu'est-ce qu'on peut lire comme bêtises, que ce soit dans les commentaires mais aussi dans l'article !
Ne parler pas de Banque ou de Monétique si vous n'y connaissez rien ou renseignez vous auprès des bonnes personnes...
Au lieu de parler de "l'authentification par la Banque" au moment de la transaction (qui ne se fait pour rappel que pour les transactions supérieures à 100€ ou pour les cartes à autorisation systématique ou alors pour les transactions e-commerce), posez-vous d'abord la question de l'enregistrement de la carte dans les applications Apple...
Car si les cartes ne sont pas vérifiées au moment de l'enregistrement dans le compte Apple, ce n'est pas à cause des banques... L'authentification 3D Secure (par SMS ou générateur d'OTP) suppose que la Banque du porteur de la carte soit compatible (99,9% des cartes en France) mais aussi et surtout que le commerçant (Apple par exemple) ait implémenté cette techno sur son site...
Or, beaucoup de e-commerçants ne l'ont pas mis en place pour des pseudos raisons de perte de CA qui étaient valables il y a 3 ou 4 ans quand peu de particuliers connaissaient le système...mais ce n'est plus le cas aujourd'hui...
Donc si Apple n'a pas mis en place 3D Secure au moment de l'enregistrement de la CB sur ses applis, la Banque ne peut forcément rien garantir...
Et parfois, même avec 3D Secure, certains petits fraudeurs malins ont réussi à pirater les cartes SIM pour capter l'OTP envoyé par SMS...
Donc je ne vois pas où la banque peut être responsable dans cette affaire si un hacker enregistre des cartes volées dans Apple Pay et qu'Apple ne met pas en place des systèmes de vérification bancaire ou de contrôles de fraude...
Ou alors ne cherchez pas le problème en France mais plutôt à l'étranger...(notamment aux USA...)
@Clubmax11 :
C'est tout à fait ça, merci pour ces précisions ;).
Mais Apple demande tout de même le code a 3 chiffres au dos de la carte, mais si ces informations ont été aussi volées sur des serveurs de sites e-commerce, il y a une faille.
Au moins avec 3D secure on reçoit un code via sms sur nôtre téléphone connu de notre banque.
Là c'est plus compliqué à contourner.
@Ipader :
Mais où est-ce que Apple dit qu'il utilise les 3 codes pour valider la carte dans l'iPhone (PassBook) ???
NON Apple n'utilise pas ces 3 chiffres du tout mais bien la validation de la banque.
http://youtu.be/5ExcCyS1ZH8
Regarde la présentation à 5 min 30 d'Eddy Cue
@XiliX :
Le cryptogramme est demandé pour le compte iTunes.
@Ipader :
Oui mais pas pour valider la carte bancaire pour ApplePay dans l'iPhone
@XiliX :
Si j'ai bien compris ce qu'il dit sur la vidéo , c'est lié au compte iTunes, mais je peux me tromper.
@Ipader :
"Add cards from iTunes account"
@Ipader
Non, iPhone capture le numéro sur la carte, puis envoi une demande de validation à la banque.
@XiliX :
C'est pourtant écrit sur la vidéo !
La clé de ton commentaire est dans la dernière phrase : "ne cherchez pas le problème en France mais plutôt à l'étranger".
Car oui, le fonctionnement des banques et des systèmes de paiement sont différents en fonction des pays. Je vais te prendre l'exemple de 3DSecure : en France, la banque t'envoie un SMS sur un numéro de portable que tu as communiqué à ta banque (que la Caisse d'Épargne vérifie en envoyant un courrier postal, au passage...), mais au Royaume-Uni, tu crées un mot de passe lors du premier paiement qui demande 3DSecure et les paiements suivants te demanderont 3 caractères au hasard de ce mot de passe (même fonctionnement pour accéder à son compte en banque sur Internet, l'idéal étant bien-sûr d'utiliser des mots de passe différents).
Je ne connais pas les États-Unis, mais il ne me parait pas impossible que leurs systèmes de vérification des paiements soient différents et relativement moins rigoureux. J'en veux pour preuve que la généralisation des cartes à puce est très récente (environ 2012), avec la mise en place du liability shift (point à partir duquel le commerçant peut être tenu responsable d'une fraude si le paiement n'est pas effectué avec une carte à puce) en Octobre 2015 au plus tôt. En attendant, il a l'air d'être possible de payer avec une carte à puce dont l'identité du porteur est confirmée par signature et non pas par code PIN (dans ce cas, l'avantage de la puce par rapport à la bande magnétique est l'authentification de la carte - si la puce est acceptée, il s'agit d'une vraie carte).
Je pense donc, en effet, qu'il s'agit plus potentiellement d'un problème qui nous échappe parce que les systèmes de paiement par carte aux États-Unis sont différents. Aussi, vu que la vérification par signature ne s'effectue presque plus en Europe (la dernière fois que ça m'est arrivé, c'était en 2006), et que l'identification du porteur par code PIN est quand même plus pratique et plus rapide, ça réduit un petit peu l'intérêt d'Apple Pay en dehors des US (mais loin de l'annuler complètement, il y a d'autres aspects où ça reste quand même plus pratique, au moins sur le papier). Surtout que je vois bien les banques françaises mettre des restrictions à la mords-moi le nœud sur les paiements Apple Pay (genre le plafond, etc) !
A la base le problème vient des serveurs/ordinateurs qui ont laissés fuités des identités bancaires :)
@Clubmax11 :
C'est rigolo mais c'est toi qui est passé à côté de la plaque.
Qui a parlé de demande d'autorisation lors de la transaction ? Ici tout le monde parle de la demande de validation par la banque lors de l'enregistrement de la carte bancaire dans l'iPhone. Donc pour ton info, car apparemment tu ne sais pas comment fonctionne l'enregistrement de la carte bancaire mais tu gueule quand même, LA CARTE BANCAIRE NE PEUT ÊTRE ENREGISTRÉ SANS L'AUTORISATION DE LA BANQUE. C'est donc plus sécurisé que la 3D secure, car comme tu dis, la protection 3D secure est piratable.
Donc le choix de validation que Apple a mis en place est ce qu'il y a de plus fiable. Aux banques de faire leur travaille de vérification avant de valider.
Je ne gueule pas...d'ailleurs ce n'est pas moi qui utilise les majuscules dans mon message...
Tu oublies une chose, c'est que la majorité des cartes qui seront utilisés pour Apple Pay proviendront de ce qui est enregistré dans iTunes...
Pour moi la faille est ici. Ce process n'est pas vraiment sécurisé.
Et pour l'ajout d'une nouvelle carte, la vidéo Apple Pay ne détaille rien du tout !
On ne connaît rien du processus de validation par la banque...s'il en existe un...
Et surtout si ce sera le même en France qu'aux USA...
L'authentification par la Banque qui est évoquée est peut-être une simple demande d'autorisation comme il y en a partout tous les jours, je vois mal les Banques mettre en place des processus internes spécifiques pour Apple...ça n'existe pas.
Si c'est une demande d'autorisation classique, ça ne protège pas non plus le porteur de la carte...car celui-ci n'est pas au courant que son N° de CB circule chez les fraudeurs, tant qu'il n'y a pas eu de transaction inhabituelle sur son compte...
La tienne, la mienne, circulent peut-être sur Internet en ce moment sans que nous le savons...
Donc la demande d'autorisation (si c'est ce qui est utilisé) ne fait que vérifier automatiquement et en temps réel dans les circuits bancaires si la carte est valable et pas mise en opposition. Si à l'instant T ce n'est pas le cas, le fraudeur peut tout à fait enregistrer une fausse carte avec un vrai N° dans Apple Pay, car le porteur ne sait pas que son N° circule sur le net...
A mon avis, aucune vérification manuelle, dédiée à Apple ne sera réalisée dans les banques françaises...
Quant au code à 3 chiffres au dos de la carte...les N° de CB qui circulent sur le net sont toujours accompagnés de ces 3 chiffres...
Parce qu'ils proviennent souvent de bases de données de commerçants (peu importe leur taille...) peu attentifs à la sécurité et rarement de la carte perdue par Mme Michu quand elle faisait ses courses au marché d'Uzès...
@Clubmax11 :
Donc on est bien d'accord que ce sont les banques qui doivent améliorer les contrôles avant validation.
Et concernant l'enregistrement de la carte bancaire dans le compte iTunes, il y a bien un SMS qui est envoyé à mon portable avec les codes à saisir.
Ce n'était pas super plus mieux sécurisé que toutes les autres technologies NFC d'Android réunies ?
Donc je résume: quand ApplePay est sorti ce site comme tant d'autres disaient que c'était la solution contre l'absence de puce et de code comme partout ailleurs..
Et maintenant, le problème demeure mais Apple est angélique?!
C'est du n'importe quoi: ils me font penser à un constructeur auto, qui blinde le design de son airbag et ceinture de sécurité et s'en fout de l'état des freins! Apple aurait dû veiller à l'ensemble de l'eco-système et ne pas diffuser un moyen qui facilite la vie aux escrocs. Si l'eco-système n'est pas prêt, que faut-il faire?!
Au bout du compte, ils vont obliger tous ceux payant par ce moyen à prouver leurs identités....
Le vrai problème est qu'une transaction en point de vente avec Apple Pay ne laisse aucune trace de l'identité de l'acheteur.
C'est donc le moyen idéal pour frauder avec une carte piratée.