Apple Pay a donné de nouvelles idées à des spécialistes de la fraude à la carte bancaire, raconte The Guardian. Le système de paiement sans contact d'Apple n'a pas été "craqué" mais des malandrins ont su tirer profit d'une certaine passivité du côté des banques partenaires d'Apple. L'astuce est potentiellement exploitable par tout système similaire à Apple Pay.
Des banques ne prennent pas assez de précautions pour vérifier l'identité de la personne qui enregistre une carte bancaire avec Apple Pay. Résultat, d'après un spécialiste du paiement sur mobile, Cherian Abraham, des achats indus ont eu lieu, notamment dans les régions de Miami et de Dallas. Visés plus particulièrement, les Apple Store. Ces boutiques ont deux avantages : elles vendent des produits faciles à revendre à de bons prix et elles acceptent toutes Apple Pay.
Lorsque le propriétaire d'un iPhone ajoute une carte bancaire avec Apple Pay [fiche technique] il en entre manuellement les quelques informations essentielles (ou bien il photographie sa carte avec la caméra du téléphone). Puis iOS chiffre ces données avant de les envoyer sur les serveurs d'Apple. Apple déchiffre ces infos, regarde la banque concernée et chiffre à nouveau le tout en ajoutant une clef utilisable uniquement par l'organisme bancaire. La banque reçoit alors ce paquet avec quelques données en plus comme le nom de votre téléphone, sa position, etc.
C'est à ce stade que les choses se compliquent. La banque peut valider automatiquement votre identité, sans autre forme de procès, après avoir consulté le contenu des données reçues. C'est ce qui s'appelle dans le jargon bancaire, le "green path".
Une vérification supplémentaire peut être effectuée en cas de besoin, c'est le "yellow path". La banque vous demandera alors de lui fournir une autre preuve de votre identité pour s'assurer que vous n'enregistrez pas une carte volée. Cela peut être par le moyen d'un code reçu par SMS, un email, un appel…
Bien souvent, des banques ne réclament comme preuve à l'émetteur que les 4 derniers chiffres de son numéro de sécurité sociale, une information relativement aisée à obtenir par les malfaiteurs. Une fois la réponse donnée, le voleur peut s'en donner à coeur joie. D'autant que le paiement par mobile est beaucoup plus simple et rapide qu'avec une carte physique.
Aucun chiffre précis ne circule sur cette fraude qui permettrait d'en évaluer l'ampleur, The Guardian cite une source qui évoque « quelques millions ». Comme de coutume dans ce milieu, les quelques banques interrogées par The Verge ne font pas état de problèmes, elles soulignent la protection offerte à leurs clients en cas de débits frauduleux ou parlent d'une vérification en deux étapes déjà instaurée ou à venir.
Apple pour sa part a répondu au Guardian en rejetant la responsabilité de cette vérification sur les épaules des organismes bancaires, lesquels ont tous des politiques différentes.
Apple peut tout au plus faire de la double vérification de l'identité un passage obligé lorsqu'elle signe un partenariat avec une banque et ces dernières se doivent de trouver un moyen de rendre cette étape à la fois obligatoire, sans être fastidieuse. Mais cela pose un défi pour établir un protocole de vérification fiable et qui ne réside pas uniquement sur les petites mains des centres d'appels. Un établissement comme Bank of America a par exemple enregistré 1,1 million de cartes chez 800 000 de ses clients.
