Bon conseil ou arnaque ? C'est la question que s'est posé un lecteur vigilant après avoir reçu un email signé l'« équipe de support Apple » l'invitant à activer Apple Pay. Les tentatives d'hameçonnage étant de plus en plus soignées, on n'est jamais trop méfiant, mais dans le cas présent il s'agit bel et bien d'un email venant d'Apple.
L'adresse @insideapple.apple.com peut paraître un peu bizarre, mais c'est bien celle utilisée par l'entreprise depuis de nombreuses années pour toutes sortes de communication par courriel. Les deux liens dans le message dirigent vers le vrai site d'Apple, en l'occurrence vers la page d'accueil et vers une fiche expliquant une évolution dans l'acte de paiement sur les services Apple.
Quant au contenu du message, il manque de contexte, mais il est exact. La directive européenne sur les services de paiement (DSP2), qui est officiellement entrée en vigueur dès 2018, mais dont les obligations ne sont appliquées que très progressivement depuis, impose une authentification forte pour toutes les transactions en ligne de plus de 30 €. Cela signifie qu'il faut au moins deux éléments d'authentification parmi les trois suivants : un élément que vous connaissez (mot de passe ou code PIN), un élément que vous détenez (téléphone, clé de sécurité…), un élément qui vous définit (empreinte digitale ou reconnaissance faciale).
Vous avez peut-être remarqué récemment que l'app de votre banque demandait une sécurité supplémentaire, comme celle du Crédit Agricole qui oblige d'activer Sécuripass. Eh bien c'est lié au DSP2. L'App Store n'est pas en reste, Apple a activé au début de l'année l’authentification forte pour les abonnements.
Cette authentification forte, elle est mise en place pour protéger les clients, mais elle peut compliquer sensiblement l'acte d'achat, car elle implique souvent des redirections entre le site ou l'app du marchand et celle de la banque. « En théorie, la redirection en app to app est celle qui marche le mieux. En théorie. Car c'est ce qui fonctionne le moins bien. Les taux d'abandon de paniers sont très élevés », déplore Jean-Michel Chanavas, directeur délégué de l'association de commerçants Mercatel, auprès du JDN.
Les paiements avec Apple Pay, comme avec Samsung Pay ou Google Pay, sont épargnés par ces complications, car ces solutions sont « fortes » par nature. Et cela, Apple le sait très bien et compte en profiter pour assoir un peu plus Apple Pay.
« Les changements des normes de sécurité ont créé beaucoup de confusion sur le marché. Apple apparaît comme une valeur sûre dans ce contexte, puisque notre système est stable. Apple Pay est déjà conforme aux exigences des standards d’authentification forte de l’acheteur. Ceci aidera nos partenaires, les banques et marchands, à entrer en conformité avec la régulation DSP2 », déclarait Jennifer Bailey, la responsable du service, dès 2019.
À l'approche du 15 mai, une échéance qui verra la mise en place d'un nouveau système de sécurité, Apple passe à l'offensive en encourageant ses clients à utiliser Apple Pay afin de fluidifier leurs paiements. Ce conseil n'est pas désintéressé : la Pomme touche une commission sur chaque carte bancaire enregistrée dans Wallet et sur chaque transaction. C'est ce qu'on appelle du gagnant-gagnant.
Mise à jour : précision sur l'entrée en vigueur du DSP2.