Commission européenne : Apple met en avant la sécurité pour refuser l'ouverture de la NFC

Mickaël Bazoge |

Apple fourbit ses arguments contre le projet de la Commission européenne d'ouvrir la puce NFC de l'iPhone, ce qui permettrait à des banques et à des services de paiement d'utiliser la même technologie qu'Apple Pay — et donc la même facilité d'utilisation. Les opérateurs de transports publics pourraient aussi en bénéficier pour leurs tickets dématérialisés (lire : La Commission européenne pourrait forcer l'ouverture de la NFC de l'iPhone).

Un porte-parole d'Apple a donné le point de vue de la société à Bloomberg, et sans surprise c'est une rebuffade. « Nous pensons qu'une législation qui dicte l'approche technique d'une entreprise en matière de sécurité matérielle et logicielle mettra en fin de compte les clients en danger et étouffera l'innovation », assure-t-il. Ces arguments n'étonneront pas grand monde, Apple ayant déjà par le passé expliqué que la restriction de l'accès à la puce NFC de ses produits avait été mise en place pour des raisons de sécurité.

Le constructeur avait également indiqué qu'autoriser les systèmes de paiement rivaux à exploiter la technologie sans fil découplée de la couche de sécurité d'Apple pouvait augmenter les risques de fraudes et de vulnérabilité. La Commission européenne a fait savoir qu'elle entendait cet argument, mais elle ajoute que les fournisseurs de ce type de services devraient être en mesure de développer et de proposer des « solutions de paiement innovantes en utilisant toutes les infrastructures techniques pertinentes dans des conditions d'accès justes, raisonnables et non discriminantes ».

Apple indique qu'elle travaille avec Bruxelles pour « l'aider à comprendre les bénéfices d'Apple Pay », ce qui ressemble à un rameau d'olivier un brin paternaliste que la Commission appréciera certainement. C'est dans le cadre du Digital Services Act, dont les contours seront dévoilés en fin d'année, que la Commission donnera ses critères identifiant les infrastructures nécessaires et les conditions pour accorder à un accès à la NFC.


avatar r e m y | 

"... qu'autoriser les systèmes de paiement rivaux à exploiter la technologie sans fil découplée de la couche de sécurité d'Apple..."

Pourquoi la technologie nfc devrait-elle être découplée de la couche de sécurité ???
Si les API donnant accès à la NFC sont correctement développés, ils intégreront cette couche de sécurité !
Quand Apple a donné accès à touchID, ils n'ont pas donné accès à la seule technologie de reconnaissance d'empreinte du bouton home en découplant cet accès de la couche de sécurité gérée par iOS via l'enclave sécurisée!

avatar jfvit77 | 

@r e m y

Je pense que si le nfc n’était pas dédié exclusivement à Apple Pay, il serait très simple de faire des clones de cb qui ne t’appartiennent pas et de payer en sans contact avec l’iPhone.
L’iPhone deviendrais donc un outil de fraude important...
Apple Pay fait lui même parti de la chaîne de sécurité qui permet de vérifier que la carte appartient vraiment au propriétaire de l’iPhone...
On pourrai aussi certainement faire des clones de carte Navigo ou de badge rfid sans aucun contrôle...

avatar r e m y | 

@jfvit77

c'est déjà possible d'installer sur un iPhone une carte bancaire qui ne t'appartient pas... Apple ne contrôle pas que la carte que l'on configure pour le paiement par ApplePay appartient bien au propriétaire de l'iPhone.

D'autre part, l'usage du paiement via NFC est déjà ouvert au cas par cas par Apple (Suica au Japon, paiement du métro à Londres, ...). Je ne crois pas qu'on ait entendu parler de fraudes. Ça montre bien qu'Apple peut ouvrir cet accès sans diminuer le niveau de sécurité.

avatar jfvit77 | 

@r e m y

Bah non, dans tous les cas que tu cites, il y a une validation nécessaire auprès de la banque qui elle même c’est engagé auprès d’Apple.
Je crois que le système japonais a une puce dédiée, et le métro à Londres fonctionne justement avec la carte Apple Pay que tu as sur ton iPhone ou n’importe quelle carte autre cb sans contact).

Le mode transport express n’est qu’une carte Apple Pay spécifique au transport, et il faut être initialement le titulaire d’une carte de transport compatible... (même principe que pour la cb donc...)

Personne ne peut actuellement avoir une appli qui envoie des données non vérifier au travers du nfc, mais si le nfc est ouvert, n’importe qui pourrai faire une appli permettant d’envoyer n’importe quelle données par le nfc...

avatar r e m y | 

@jfvit77

La banque pas plus qu'Apple ne peut faire le lien entre le propriétaire de l'iPhone et le titulaire de la carte bancaire.
J'ai installé la carte VISA de ma femme sur mon iPhone, et elle a installé l'une de mes MasterCard sur son iPhone. Ni Apple ni les banques concernées n'ont bloqué ces installations.
Il suffit d'avoir le numéro de carte et un accès de quelques minutes à l'iPhone qui va recevoir le code de validation par SMS, (même sans le déverrouiller car le code apparaît sur l'écran d'accueil).

Pour ce qui est de faire une appli envoyant n'importe quelles données via le nfc... Apple est supposé contrôler toutes les apps installables sur un iPhone donc ce risque ne devrait pas exister.

Bon et puis l'ouverture de la nfc, ça ne concerne pas que le paiement sans contact! Les usages sont multiples et pour l'instant on ne peut pas en bénéficier quand on a un iPhone, c'est quand même dommage!

avatar jfvit77 | 

@r e m y

Oui donc il y a bien une double authentification réalisée par la banque elle même, si tu n’a que la carte d’un inconnu tu ne peut pas l’enregistrer dans un nouvelle appareil...
C’est normal que tu n’ai pas eu de difficulté à installer ta propres carte ou celle de ta femme puisque tu avais aussi un libre accès au mobile lié ou l’application de la banque...
Il est évident que les code transmis par ta banque sont confidentiels et ne doivent être transmis à aucun tiers...

avatar r e m y | 

@jfvit77

La double authentification a une faille évidente car ça ne choque personne (ni Apple ni la banque) qu'on active Apple Pay avec une carte bancaire sur un iPhone différent de celui qui reçoit le sms.

Il suffirait que ma femme se fasse subtiliser quelques minutes son sac à main pour qu'un malandrin récupère tout ce dont il a besoin pour activer ApplePay sur son iPhone avec la carte bancaire de ma femme (comme je l'ai fait sur mon iPhone).

avatar jfvit77 | 

@r e m y

Oui la double authentification par sms est problématique, c’est bien pour ça que la législation européenne vas obliger les banque à s’améliorer de ce côté, car c’est bien les banques qui pose problème dans ce cas là ... La solution est de passer par l’appli de la banque qui sollicitera une identification biométrique ce qui devrai bientôt être le cas pour la majorité des banque françaises 😊

avatar Sgt. Pepper | 

@jfvit77

Tu as totalement raison ✊

Convaincre ici est impossible meme quand il s’agit de l’évidence :

digitaliser une CB avec mécanisme d’autorisation la banque
N’ a rien de comparable avec un clonage frauduleux.

Apple Pay permet ce qui est légal uniquement.

avatar fredsoo | 

@jfvit77

Le crédit agricole a mis en place Securipass, tu valide tes achats sur internet avec ton empreinte.

avatar fredsoo | 

@r e m y

Ne pas hésiter pour éviter ce genre de problème à effacer le crypto de la CB... a la maison tous les crypto sont effacés. Le sans contact est désactivé. Je peux perdre ma carte je risque rien.

avatar jfvit77 | 

@r e m y

N’importe qui peu installé n’importe quelle app a partir du moment qu’il en possède le code source... il suffit d’utiliser Xcode, et sans payer quoi que ce soit... donc non un fraudeur peu très bien installer une app a but frauduleux utilisant du nfc...

avatar r e m y | 

@jfvit77

Mais il ne fraudera que lui-même ! Donc quel intérêt?

avatar jfvit77 | 

@r e m y

Bah non, il pourrai reproduire le signal nfc de n’importe quelle carte qu’il aurai pu croiser... sans même avoir besoin de les manipuler...
Tu pourrai même développer une appli personnel qui sauvegarde toutes les cb croisé suffisamment proche dans ta journée 🤔 je dit pas que c’est facile mais c’est envisageable...

avatar r e m y | 

@jfvit77

Il faudrait qu'il installe son app frauduleuse sur les iPhones qu'il croise et pas sur le sien... car sans ça, ces iPhone ne communiqueront pas par NFC les infos dont il a besoin.

avatar jfvit77 | 

@r e m y

Oui non on ne parle pas de la même chose 😂 je parle de reproduire le signal nfc de carte de payement physique qui elle délivre leur signal sans aucune authentification :s
Évidemment cela induit de garder le plafond de 50€...
Je pense que Apple a juste peur de ce genre de manipulation et que son appareil soit associé à ce genre de fraude...
Malgré cela, cela resterait certainement fastidieux à réaliser pour un gain relativement faible, mais c’est plutôt optimiste de se dire que personne n’essayerait...

avatar r e m y | 

@jfvit77

Ok mais là c'est le sujet du paiement sans contact ni validation... dont les banques ont déjà expliqué plusieurs fois qu'on n'avait aucun cas recensé au monde.
En effet il ne suffit pas de se faire passer pour un terminal de paiement pour déclencher un paiement sans contact. Derrière ce "terminal nfc" fictif, il faut adhérer à l'un des réseaux de cartes bancaires (Visa, MasterCard, CB, ...) et un compte bancaire alimenté par les paiements reçus. Tout ça ne peut pas se faire anonymement et un faux terminal non connu car non affilié à un réseau de cartes, ne fonctionne pas.

Et de toutes façons, si la fraude que vous évoquez était possible, les iPhones ayant activé "Transport Express" serait déjà attaquables, car cette option autorise le paiement ApplePay de petits montants sans aucune validation.

avatar jfvit77 | 

@r e m y

Oui en effets c’est dommage...

avatar bibi81 | 

Je pense que si le nfc n’était pas dédié exclusivement à Apple Pay, il serait très simple de faire des clones de cb qui ne t’appartiennent pas et de payer en sans contact avec l’iPhone.

Non absolument pas, il n'est pas possible de cloner une carte bancaire par le NFC.

Apple Pay fait lui même parti de la chaîne de sécurité qui permet de vérifier que la carte appartient vraiment au propriétaire de l’iPhone...

C'est le fonctionnement même de la CB qui veut ça, pas Apple Pay. Soit on entre les données manuellement et il faut le cryptogramme pour vérifier que la personne possède la carte, soit c'est le code PIN.
Ni le PIN ni le cryptogramme ne sont communiqués via NFC.

avatar jfvit77 | 

@bibi81

« Ni le PIN ni le cryptogramme ne sont communiqués via NFC. »
Oui néanmoins le signal émis par une cb sans contact peut être reproduit à l’identique et le payement fonctionnerai... cela serai possible avec le nfc ouvert...

avatar r e m y | 

@jfvit77

Non je ne pense pas. Le signal émis lors d'un paiement est spécifique à CE paiement et correspond à un dialogue entre le terminal de paiement et le smartphone. Reproduire ce même signal plusieurs fois ne générera pas plusieurs paiements identiques. Une fois le 1er paiement validé, le signal émis à l'occasion de CE paiement, n'a plus aucun utilité.

avatar bibi81 | 

Oui néanmoins le signal émis par une cb sans contact peut être reproduit à l’identique et le payement fonctionnerai...

Non, les informations que tu peux lire avec un lecteur NFC ne sont que les informations qui sont écrites sur la carte (nom, numéro et validité). Cela ne suffit pas pour faire un paiement.
Lors d'un paiement, il y a une communication bidirectionnelle entre la carte et le terminal, ce n'est pas juste la carte qui "parle" !

avatar sachouba | 

@jfvit77

"Je pense que si le nfc n'était pas dédié exclusivement à Apple Pay, il serait très simple de faire des clones de cb qui ne t'appartiennent pas et de payer en sans contact avec I'iphone."

Imaginez un peu la catastrophe si certains appareils étaient capables de lire une carte NFC sans la couche de sécurité d'Apple !...
Ah, c'est en fait possible depuis 10 ans sur Android, et le clonage de cartes bancaires NFC via un smartphone n'est toujours pas une pratique courante (en fait, il n'y a aucun cas recensé aujourd'hui).

Il s'agit donc d'une excuse bidon.

En réalité, les cartes de paiement sans contact ne peuvent pas être copiées, car les transactions sont signées avec un cryptogramme unique calculé à chaque transaction, qui est vérifié en ligne par le réseau de paiement (MasterCard, Visa), et basé sur une clé secrète ne pouvant pas être extraite de la carte.

avatar raoolito | 

@r e m y

apple peut certainement mettre en place un systeme de partenariats, fournissant des API securisés à des tiers de confiance.

avatar Solunne | 

Du bon courage de gueule par Apple comme on les aime.
J'ai pas souvenir de faille ou d'arnaque via le NFC sur Android donc c'est du blabla.
Et comme dit plus haut, touchID a bien été ouvert sans aucun soucis, c'est juste qu'Apple encore une souhaite garder sa prison dorée.
Ou alors elle avoue indirectement qu'iOS est une passoire codée avec les pieds.
C'est juste une histoire de sous.

avatar Krysten2001 | 

@Solunne

Samsung a eu un ou des problèmes 😉

avatar r e m y | 

@Krysten2001

Apple également! Plusieurs prestataire utilisant ApplePay ont dû désactiver cette option pendant quelques semaines suite à des arnaques, le temps que la faille soit comblée (même si on n'a pas su si le problème venait d'Apple ou de l'implémentation d'ApplePay par ces prestataires, ça montre quand même que ce n'est pas infaillible)

avatar Krysten2001 | 

@r e m y

Non ce sont les prestataires qui avaient un problème 😉 rien n’a démontré que c’était Apple la fautive.

avatar r e m y | 

@Krysten2001

On n'a jamais eu le fin mot de l'histoire. Ni Apple ni les prestataires en question n'ont expliqué le problème qui avait été rencontré. Simplement il y en a eu plusieurs simultanément qui ont dû désactiver ApplePay.

avatar Krysten2001 | 

@r e m y

Donc votre commentaire précédent ne peut pas être prit en compte car il ne démontre pas une faille d’Apple Pay 😉

avatar r e m y | 

@Krysten2001

Justement mon commentaire indique noir sur blanc qu'on ne sait pas si la faille venait d'Apple ou de l'implémentation d'ApplePay par ces prestataires...
Mais que ce soit l'un ou l'autre, le problème était bien lié à l'utilisation d'ApplePay car ils n'ont dû désactiver QUE le paiement par ApplePay.

avatar Krysten2001 | 

@r e m y

« Apple également! Plusieurs prestataire utilisant ApplePay ont dû désactiver cette option pendant quelques semaines suite à des arnaques, le temps que la faille soit comblée »

Oops 🙊 et après ça dit son contraire. C’est à ni rien comprendre.

avatar guilpa | 

@Krysten2001

J'ai jamais eu de problèmes avec samsung depuis le premier galaxy, et je ne connais personne dans ma famille ou mes amis ayant eu un quelquonque problème avec cette marque.

avatar Krysten2001 | 

@guilpa

Je n’ai pas dit qu’il y avait de problèmes sur l’utilisation ;) vous savez payer 💰

avatar digitalscreen | 

@Solunne

« Du bon courage de gueule par Apple comme on les aime.
J'ai pas souvenir de faille ou d'arnaque via le NFC sur Android donc c'est du blabla.
Et comme dit plus haut, touchID a bien été ouvert sans aucun soucis, c'est juste qu'Apple encore une souhaite garder sa prison dorée.
Ou alors elle avoue indirectement qu'iOS est une passoire codée avec les pieds.
C'est juste une histoire de sous. « 

tu peux toujours aller sur android ! ne te gene pas !!

avatar Solunne | 

T'inquiète pas j'y suis déjà depuis qu'Apple se fout de ma gueule niveau tarification.

J'ai un Xiaomi sous Android One sans NFC (et puis de toutes façons le LCL ne supporte pas Google Pay) donc je m'en bas un peu les noisettes puissance 10000.

Le paiement par mobile c'est marrant 5 minutes, ça permet de briller en société mais ça ne fait rien de plus que ce que ma CB que j'ai toujours sur moi et capable de faire.
J'entends déjà le bruit des bottes de ceux qui vont m'expliquer qu'ils peuvent payer plus de 50€ en sans-contact au lieu de taper un pauvre code à 4 chiffres.

Au moins ça m'évite de me retrouver comme un con devant le terminal de paiement à essayer de me rappeler de mon code le jour où mon smartphone est resté dans la voiture.

avatar FrDakota | 

@jfvit77

Non, Apple peut très bien refuser qu'une App auto signé avec XCode fasse du traitement bancaire.

@Solunne
Payer avec la montre est bien plus pratique que de sortir mon portefeuille de la poche interne de mon manteau, puis sortir le porte carte et finalement la carte.

Un double appui sur le bouton latéral, présenter la montre et c'est payé.

avatar r e m y | 

Et l'argument "si on est plusieurs à proposer des solutions concurrentes ça tuera l'innovation "... là je dois avouer que je ne le trouve pas particulièrement convaincant.
Moi j'ai toujours constaté l'inverse. Plus il y a de monde en competition, plus il y a de chance qu'ils proposent tous des solutions pour se démarquer.

avatar Krysten2001 | 

@r e m y

On a vu que sur Android, le marché du payement n’a pas décollé et pas eu d’innovation de ce côté là.

avatar fte | 

@Krysten2001

Samsung Pay est plus utilisé dans mon pays que Apple Pay.

avatar Krysten2001 | 

@fte

Des stats ou vous avez juste vu ça a l’œil ? Car globalement au niveau du système de payement sous Android, ça n’a pas trop décollé.

avatar fte | 

@Krysten2001

Et toi, des stats ou tu affirmes au doigt baveux ?

avatar Krysten2001 | 

@fte

J’arrive 😉 et de toute façon vous avez vu aussi que ce soit sur macg ou autre que sur Android va n’a pas décollé 😉

avatar juluparien | 

en terme de partenariat avec les banques et non en termes de fonctionnalités.
Et cela entre autre car sur android c'est ouvert et que du coup les banque ont déployé leurs solution maison avec paylib par exemple.

avatar Krysten2001 | 

@juluparien

Oui et donc les tiers ne pourront pas proposer la leur, après des banques se retirent des paylib,... l’utilisateur ne comprend plus rien. Le payement mobile ne décolle pas sur Android.

avatar guilpa | 

@Krysten2001

Franchement je ne pourrais pas vous dire si googlepay ou samsung pay et mieux ou non qu'apple pay, en tout cas Google pay me permet de payer mes cafés sur l'autoroute, permet de faire mes courses a moins de 30€, et permet de laver ma voiture.

avatar occam | 

@r e m y

Steve Ballmer et Bill Gates doivent rire bien jaune.
C’est du copier-coller de l’argumentaire des avocats de Microsoft lors des procédures du DoJ et de la Commission européenne. Allant jusqu’à la phraséologie (« stifling innovation »).

Vraiment, Apple n’a aucune honte. Aucune.
J’espère que ça leur retombera sur la tête, juste pour ça.

avatar digitalscreen | 

pourquoi obliger un constructeur a ouvrir son produit ?
si les clients ne sont pas d accord ils ont le choix d acheter une autre marque ! c est pas comme si Apple avait le monopole du telephone !

avatar fte | 

@digitalscreen

"pourquoi obliger un constructeur a ouvrir son produit ?"

Parce que les iPhone n’appartiennent pas à Apple, mais aux clients qui les ont acheté.

De même que tu n’as pas besoin d’acheter de la lessive chez Siemens pour ta machine à laver Siemens, qui t’appartient donc, pas à Siemens.

"si les clients ne sont pas d accord ils ont le choix d acheter une autre marque !"

Qu’en sais-tu ?

J’ai pendant longtemps été obligé d’acheter des iPhone pour raisons professionnelles. Mon amour ou mon dégoût de l’iPhone n’aurait rien changé à cette obligation professionnelle.

"c est pas comme si Apple avait le monopole du telephone !"

Apple a le monopole du téléphone iOS. Les régulateurs de nombreux pays sont justement en train d’examiner la question d’abus de position dominante sur les téléphones iOS.

Pages

CONNEXION UTILISATEUR