D’après nos informations, le groupe E.Leclerc a adopté une nouvelle politique sur le paiement mobile, depuis quelques mois, à l’échelle nationale. Tous les paiements effectués à partir d’un appareil mobile, qu’il s’agisse d’Apple Pay sur les iPhone et Apple Watch, de Samsung Pay ou encore de PayLib sur les smartphones Android, sont bloqués dans les 660 magasins du territoire français. Certaines enseignes ont peut-être pris du retard, mais la consigne nationale est de ne plus accepter ce mode de paiement.

Étant donné la place des hypermarchés E.Leclerc dans le quotidien de nombreux consommateurs, cette décision fait beaucoup de bruit, comme en témoignent vos multiples commentaires à notre précédent article. Alors, est-ce que l’entreprise bretonne s’est lancée dans une fronde contre Apple Pay ?

La situation est complexe. Les supermarchés E.Leclerc portent une part de responsabilité, tout comme Apple, mais c'est aussi le cas des intermédiaires qui gèrent et contrôlent les transactions bancaires. On fait le point !

Apple Pay, une carte de paiement pas tout à fait conforme

Pour bien comprendre la situation, il convient tout d’abord d’expliquer ce qu’est Apple Pay. Quand les smartphones ont commencé à se généraliser, l’un des usages envisagés était le paiement mobile, sans utiliser une carte bancaire traditionnelle. La première tentative a été la NFC liée à la carte SIM, une solution très sécurisée, mais contraignante pour plusieurs raisons.

D’abord, il fallait que toute la chaîne soit coordonnée, de l’opérateur mobile à la banque, en passant par le fabricant de smartphones. Par ailleurs, il s’agissait d’une deuxième carte bancaire totalement indépendante de la première, ce qui compliquait sa gestion au quotidien. Vous pouviez avoir deux plafonds différents, il fallait aussi connaître deux codes différents. Sans compter que la procédure n’était pas immédiate : il fallait approcher le téléphone du terminal de paiement, saisir le code sur le smartphone et l’approcher à nouveau du terminal.

Depuis, deux autres voies se sont développées, plus simples et plus souples. D’un côté, le modèle d’Apple Pay ou de Samsung Pay : une enclave sécurisée sur le smartphone stocke les informations bancaires (pour être précis, les numéros de la carte physique ne sont pas stockés, c'est un numéro de compte d’appareil qui est créé, un numéro de carte virtuelle pour simplifier) et c’est le système d’exploitation qui authentifie l’utilisateur. En général, cette authentification est effectuée avec une mesure biométrique : empreinte digitale le plus souvent, reconnaissance faciale sur l’iPhone X. Dans ce modèle, tout repose sur la sécurité du téléphone et du système d’exploitation. Les détails sont consultables dans le guide de sécurité iOS.

La troisième solution est représentée par PayLib et elle implique une approche mixte. Les informations bancaires sont également stockées sur l’appareil, mais comme ce n’est pas dans une enclave sécurisée, la vérification doit aussi se faire systématiquement par la banque. C’est ce qui explique, notamment, qu’Apple Pay peut fonctionner même dans les situations où il n’y a aucune connexion (en avion, par exemple), là où PayLib a besoin que le terminal de paiement accède à internet. En contrepartie, les banques ont davantage confiance dans ce système, puisqu’elles peuvent contrôler chaque opération.

Revenons à Apple Pay : son modèle avec une enclave sécurisée où sont stockées les informations permet d’effectuer une transaction que l’on nomme « hors ligne » dans le milieu. Non seulement l’iPhone ou l’Apple Watch peuvent être coupés du réseau, mais le terminal de paiement peut aussi l’être et autoriser le paiement sans demander une autorisation à la banque. Toutefois, ce mode de fonctionnement dépend aussi du type de compte et du type de carte.

Dans certains cas, une vérification systématique est obligatoire. C’est le cas pour la carte Ticket Restaurant, puisqu’elle impose des règles très strictes sur son usage. Elle ne peut servir que les jours ouvrés, dans une limite de 19 € par jour et à condition d’avoir encore assez de crédit sur sa carte, et uniquement chez les commerçants autorisés. À chaque transaction, tous ces critères sont systématiquement validés, ce qui nécessite une connexion internet (lire : La dématérialisation des Tickets Restaurant nous laisse sur notre faim).

C’est aussi le cas pour les comptes qui n’ont pas de découvert autorisé. Le cas échéant, la transaction n’est normalement pas autorisée sans obtenir un feu vert préalable auprès de la banque, et donc pas autorisée sans une connexion internet. C’est ce qui explique que dans les avions et les trains, il a longtemps été impossible de payer avec certaines cartes associées à une autorisation systématique, comme les Visa Electron.

La carte de paiement virtuelle sauvegardée dans Apple Pay doit respecter le type de carte de paiement physique associée. Ainsi, une carte qui nécessite une autorisation systématique doit aussi nécessiter une autorisation avec le service de paiement mobile. C’est globalement le cas, mais pour des raisons qui ne sont pas totalement claires, Apple ne respecte pas l’un des paramètres spécifiques à chaque carte bancaire. Sans entrer dans le détail, indiquons simplement qu’une carte est associée à un « code service » composé de trois chiffres, un standard qui permet de restreindre le fonctionnement des cartes dans certains cas.

Toutes les cartes ajoutées à Apple Pay sont associées au même code service, quel que soit leur code original. Le constructeur a choisi le code le plus souple, celui qui fonctionne par défaut dans le plus grand nombre de cas. On ne connaît pas exactement les intentions d’Apple, mais on peut imaginer que c’était par facilité et sans doute aussi pour qu’Apple Pay fonctionne dans la majorité des cas. Par ailleurs, le code service n’est pas le seul critère qui définit si une carte nécessite une autorisation et Apple a sans doute pensé que ce ne serait pas un problème à l’usage.

E.Leclerc bénéficie d'une dérogation qui coûte cher

C’est pourtant cette entorse qui a conduit E.Leclerc à bloquer Apple Pay dans ses magasins. Mais c’est aussi parce que la chaîne de supermarchés a obtenu de la part des banques une dérogation : ses terminaux de paiement ne vérifient pas aussi bien les cartes qu’ils le devraient selon nos sources. Pour gagner du temps en caisse, les terminaux se contentent de vérifier le code service de la carte bancaire pour déterminer si une autorisation est nécessaire.

Se contenter du code service ne pose aucun problème avec les cartes de paiement physiques, puisqu’elles intègrent toutes la bonne information. Mais comme nous l’avons vu plus tôt, ce n’est pas le cas avec les cartes enregistrées sur Apple Pay, elles sont toutes associées au même code qui indique qu’aucune vérification n’est nécessaire.

Si la carte et le compte liés à Apple Pay autorisent les découverts, ce n’est pas un problème. En revanche, c’est quand il s’agit d’un compte bloqué, comme c’est presque systématiquement le cas avec les néobanques telles que N26, Lydia ou encore Orange Bank, que les soucis peuvent arriver. Si le compte est vide ou insuffisamment crédité au moment de la transaction, la vérification est censée la bloquer et afficher un refus de paiement sur le terminal. Mais dans les supermarchés E.Leclerc, la vérification n’était pas initiée avec Apple Pay et le terminal autorisait la transaction alors qu’elle était censée être bloquée.

Pour le dire autrement, on pouvait payer ses courses sans avoir les fonds nécessaires sur son compte. Le magasin ne pouvait pas savoir immédiatement qu’il y avait un problème, il y avait un décalage entre le moment où une transaction était validée en caisse, et le moment où le commerçant était censé récupérer l’argent.

Dans le cas où il n’y a pas d’argent sur le compte, la banque doit traiter manuellement l’opération et a alors deux options : soit se retourner contre le client pour exiger l’argent, soit rejeter la transaction. Puisque les vérifications d’usage n'étaient pas complètes dans le cas de E.Leclerc, les banques optaient en général pour cette deuxième option qui est nettement plus rapide et simple pour elles. Le magasin ne recevait ainsi jamais son argent.

Des petits malins l’ont noté et en ont profité pour faire leurs courses à l'œil. Même si Apple Pay est une goutte d’eau dans la totalité des transactions effectuées dans les magasins E.Leclerc (probablement autour de 1 % des transactions, d’après nos informations), cela représente au total des sommes suffisamment conséquentes pour prendre des mesures. Voici pourquoi Apple Pay et tous les moyens de paiement similaires ont été bloqués par le groupe.

Pourquoi ne pas bloquer seulement Apple Pay ? Parce qu'il n'est pas possible de distinguer simplement un service de paiement mobile d'un autre. Ils ont tous été créés pour fonctionner avec le matériel existant, sans changer l'architecture, ce qui implique aussi qu'on ne peut pas nécessairement les différencier.

Avant de continuer, il convient de noter que l’on parle à chaque fois d’E.Leclerc, mais toutes les grandes chaînes d'hypermarchés en France sont dans la même situation. Comme ce sont de très gros clients, ils ont obtenu les mêmes concessions de la part des banques et ont tous la même pratique. En fait, il ne s'agit pas vraiment d'une concession obtenue, c'est le mode de fonctionnement par défaut pour la grande distribution. Dans ce domaine, l'exception serait justement de demander une vérification complète. En outre, les supermarchés ne sont pas les seuls à privilégier la vitesse de traitement au détriment de la sécurité bancaire. Les péages, par exemple, peuvent choisir de ne plus vérifier systématiquement les cartes qui devraient l'être aux heures de pointe, pour fluidifier le trafic.

À notre connaissance, Carrefour n’a pas bloqué Apple Pay comme l’a fait E.Leclerc, même si vous êtes quelques-uns à témoigner de problèmes pour payer avec le service d'Apple. Il s’agit peut-être de décisions locales, à moins que ces problèmes soient liés à une tout autre explication. Chez Auchan, on a choisi de régler le problème de manière plus radicale : d’après nos informations, la chaîne n’accepte aucun moyen de paiement sans contact, Apple Pay ou cartes sans contact.

Ailleurs, on a parfois instauré des restrictions sur ce mode de paiement : dans les magasins U, par exemple, on peut payer jusqu’à 30 € en utilisant son iPhone ou son Apple Watch ; chez Picard, la limite serait à 50 € avant de devoir utiliser une carte de paiement physique. Chaque commerçant essaie de trouver un compromis entre les demandes de ses clients et le risque encouru en cas de fraude.

Une solution dès cet été ?

Cette situation n’est pas faite pour durer. E.Leclerc n’a aucun intérêt à se mettre à dos tous ses clients qui affectionnent Apple Pay, même s’ils sont extrêmement minoritaires. Et Apple, de son côté, n’a certainement pas intérêt à laisser son système de paiement bloqué par les plus gros acteurs du marché, sachant que l’entreprise est rémunérée sur chaque transaction. D’après nos informations, tous les acteurs impliqués travaillent à trouver une solution, qui pourrait commencer à se dessiner dès cet été.

Pour commencer, il faut savoir qu’Apple n’est pas l’acteur le plus important dans l’équation. Le constructeur a imaginé l’enclave sécurisée qui héberge les données, il a aussi créé l’interface qui permet d’ajouter une carte et celle qui permet de payer, et c’est lui qui gère la partie authentification, avec Touch ID ou Face ID sur l’iPhone. Mais la carte virtuelle stockée sur les appareils et surtout toute l’architecture derrière ne sont pas gérées par l’entreprise. Ce sont les réseaux de paiement qui gèrent cet aspect-là, et ils sont quatre en France.

Visa, MasterCard, American Express et le Groupement des cartes bancaires CB : votre carte de paiement est forcément fournie par l’un de ces quatre groupes. Le choix dépend de votre banque et éventuellement du type de compte bancaire que vous avez ouvert. Avoir un type de carte plutôt qu’un autre peut avoir des conséquences sur l’usage au quotidien, mais ce n’est pas le sujet ici. Ce qu’il est important de souligner en revanche, c’est que chaque groupe a un système en place spécifique à Apple Pay et cela fait autant d’acteurs à convaincre quand il faut modifier le service. Notons que ce n’est pas spécifique au service d’Apple, Google Pay ou Samsung Pay utilisent le même schéma.

Ces quatre acteurs sont essentiels pour trouver une solution, puisque ce sont eux qui servent d’intermédiaires entre les commerçants et les banques, notamment pour réaliser les vérifications. Apple aura peut-être un rôle à jouer, par exemple pour prendre en charge correctement le code service dans une future mise à jour. E.Leclerc et tous les autres commerces qui bénéficient des mêmes avantages ont leur mot à dire évidemment, tout comme les banques qui doivent gérer les impayés. La solution trouvée sera un compromis, les besoins des uns n’étant pas alignés sur ceux des autres.

Apple veut qu’Apple Pay soit le plus utilisé possible, et donc compatible avec le plus d’endroits possible. Les supermarchés veulent un passage en caisse rapide et limiter les refus de paiement qui impliquent de jeter tous les produits frais restés sur le tapis, mais ils veulent aussi être protégés contre les impayés. Les banques et les fournisseurs de cartes voudraient une autorisation systématique sur toutes les transactions, comme c’est le cas au Royaume-Uni par exemple, pour éviter les litiges.

Une solution évoquée parfois est d’obliger les utilisateurs d’Apple Pay à signer le ticket de caisse, mais sa généralisation ne serait pas envisagée d’après ce que l’on nous a rapporté. En cas de litige entre un commerçant et une banque, par exemple si un paiement a été validé alors qu'il n'aurait pas dû l'être, une signature sur le ticket de caisse fait foi. Néanmoins, le commerçant est censé vérifier votre identité et votre signature lors du passage en caisse, ce qui explique que la procédure stricte n’est jamais respectée. Il arrive malgré tout que le terminal de paiement réclame une signature, c’est en général une protection contre les transactions jugées « à risque »¹.

Nous ne savons pas encore précisément comment le blocage par E.Leclerc se terminera, mais selon nos informations, des essais pourraient être menés dès cet été. Certains magasins pourraient accepter à nouveau les paiements mobiles, au moins pour l’un des quatre fournisseurs de cartes dans un premier temps. Le groupe n’a pas souhaité répondre à nos questions et d’après ce que l’on sait, c'est un sujet sensible. On imagine donc que le retour de cette option de paiement se fera en toute discrétion.

L’exemple des magasins E.Leclerc révèle en tout cas une situation épineuse plus générale liée à Apple Pay et aux systèmes de paiement similaires. Une carte bancaire traditionnelle est strictement nominative et personnelle, seul le porteur est censé la garder et l’utiliser. C’est pourquoi il y a votre nom écrit sur l’avant, et votre signature au dos. Votre nom est même enregistré dans la puce électronique et transmis au terminal de paiement, ce qui peut servir de base lors d'une vérification d'identité. Quand on enregistre des cartes dans l'application Wallet ou un autre portefeuille électronique, cette association entre la carte et son propriétaire s’estompe, voire disparaît.

Vous pouvez ajouter une même carte de paiement à plusieurs appareils, c’est même bien utile si vous avez un iPhone et une Apple Watch. Mais cela veut dire aussi que vous pouvez l’ajouter sur le téléphone de votre conjoint, ou d’un ami. Pour les banques, c’est un problème : elles ne peuvent pas savoir si c’est vous qui avez validé le paiement ou un tiers. Alors qu’avec une carte physique, c’est plus simple. Tant qu’une carte n’est pas déclarée perdue, elle est en votre possession et vous êtes responsable de tous les paiements effectués avec elle. Les cartes virtuelles compliquent les choses, mais ce n’est pas un problème lié spécifiquement à Apple Pay.

Pour conclure, soulignons d'ailleurs que les impayés et les fraudes qui ont poussé E.Leclerc à bloquer Apple Pay ne remettent pas en cause la sécurité du service de paiement d'Apple. Votre carte bancaire est toujours à l'abri dans l'application Wallet. C'est un concours de circonstances — code service unique utilisé par Apple Pay et vérification sommaire chez E.Leclerc — qui débouche sur une « faille » exploitable dans la validation des paiements.