Apple Pay : une « protection renforcée contre la fraude » activée sur les cartes VISA
Si vous utilisez une carte VISA pour payer avec Apple Pay, l'icône de votre application Cartes (ex-Wallet) a peut-être un petit point rouge vous informant d'une nouveauté. Plusieurs utilisateurs, dont tous les membres de MacGeneration concernés, ont reçu un message indiquant qu'une « protection renforcée contre la fraude » avait été activée sur leur carte. Cette nouveauté est apparue chez des clients de banques (La Banque Postale, Boursorama…) et même de pays différents, mais il y a apparemment un point commun : seules les cartes VISA sont concernées.
« Les cartes offrant une protection renforcée contre la fraude utilisent désormais certaines informations liées à votre compte, à votre appareil et à votre position pour partager une évaluation du risque de fraude avec votre réseau de paiement », est-il indiqué sous la carte concernée. Il faut savoir qu'un dispositif anti-fraude est présent pour toutes les cartes Apple Pay, mais il est donc question ici d'une protection « renforcée » qui s'appuie sur des éléments supplémentaires.
En touchant le bouton « En savoir plus », Apple donne plus d'explications :
Pour les cartes offrant une protection renforcée contre la fraude, votre appareil exploitera les informations liées à votre identifiant Apple, à votre appareil et à votre position (si le service de localisation est activé) lorsque vous tenterez d’effectuer une transaction sur le Web ou dans une app en vue d’établir une évaluation qu’Apple utilisera pour identifier et empêcher toute fraude. Apple transmettra les évaluations de lutte contre la fraude ainsi que les informations relatives à votre transaction (comme le montant de l’achat, la devise et la date) au réseau de votre carte de paiement en vue de lutter contre la fraude. Vous recevrez un avis vous informant que votre carte offre une protection renforcée contre la fraude lors de son ajout à Apple Pay et lors de votre première tentative d’achat avec celle-ci sur le Web ou dans une app. Si vous ne souhaitez pas que des évaluations de lutte contre la fraude soient transmises au réseau de votre carte de paiement, vous pourrez sélectionner une autre carte.
Par rapport aux informations déjà utilisées pour éviter la fraude (numéro de carte bancaire, nom et adresse de facturation associés à votre identifiant Apple, lieu de l’ajout de la carte…), la position en temps réel semble être le principal ajout. Il n'est pas possible de s'opposer à cette protection renforcée. Si, pour une raison ou une autre, vous voulez y échapper, la seule solution est de sélectionner une autre carte (non VISA) pour Apple Pay.
La page « Apple Pay et confidentialité » du site web d'Apple n'a pas encore été mise à jour avec la mention de la protection renforcée. Vous pouvez néanmoins y consulter toutes les données utilisées par Apple et ses partenaires dans le cadre de la protection « normale » contre la fraude, ainsi que les autres informations de confidentialité liées au service.
Il est écrit :
"les informations relatives à votre transaction (comme le montant de l’achat, la devise et la date) au réseau de votre carte de paiement en vue de lutter contre la fraude"
Les informations de la transaction sont transmises au réseau de carte de paiement par Apple. Ce sont donc les informations précises de la transaction, pas des montants approximatifs.
@r e m y
Le montant,…
Rien de choquant et expliquer clairement quand on veut ajouter une carte dans Apple Pay.
Quand on lit cette page https://www.apple.com/fr/legal/privacy/data/fr/apple-pay/ on a plutôt l'impression qu'Apple ne récupère aucune information en clair sur les transactions... alors que sur le texte accompagnant cette "protection renforcée", Apple semble dire que les informations détaillées de la transaction sont d'abord envoyées à Apple, qui les analyse et ensuite les envoie au réseau de carte bancaire pour procéder au paiement.
Cela dit, sur la page dont je donne le lien, Apple parle d'informations chiffrées mais ils indiquent que ces informations sont "brièvement" déchiffrées puis rechiffrees avec une clé que seul le commerçant possède... ce qui n'est pas clair. Si elles sont déchiffrées (même brièvement) c'est qu'Apple aussi possède la clé de chiffrage et que fait Apple de ces données pendant ce temps où les infos sont déchiffrées ??? Ce n'est pas dit...
Et si vous ça ne vous choque pas, moi, je me passerais bien qu'Apple soit au courant de façon détaillée de tous mes achats effectués avec mes diverses cartes bancaires via ApplePay.
@r e m y
Vous n’avez juste qu’à lire comment sont gérés vos données avec Wallet dans réglage 🤯
Tout est compréhensif là-dedans.
Apple n’est pas Google donc soit on lit pour en savoir un peu plus ou alors on le fait pas car on a confiance en elle.
Justement... j'ai bien lu (je vous ai mis le lien vers la page détaillée) et je trouve que c'est loin d'être clair. Apple indique ce que le commerçant, la banque ou le réseau bancaire obtient comme information, mais ils n'indiquent pas clairement ce qu'Apple récupère comme information ni, surtout, ce qu'ils en font. Par exemple quand il est écrit que les informations sont "brièvement" déchiffrées puis rechiffrees... rien n'est dit sur ce qui est fait des informations pendant le temps où elles sont "brièvement déchiffrées". (Et brièvement... ça ne veut rien dire non plus ! En matière de traitement informatique des données, même 1 seconde c'est une éternité !)
Je découvre ce souci de confidentialité (en ce qui me concerne) à l'occasion de cette "protection renforcée" alors que j'étais persuadé qu'Apple ne collectait absolument rien. Pour moi les informations étaient transmises au réseau bancaire puis au commerçant directement depuis l'iPhone, de manière chiffrée. Je ne pensais pas que tout était traité par Apple sur ses serveurs.
@r e m y
“Les informations de la transaction sont transmises au réseau de carte de paiement par Apple. Ce sont donc les informations précises de la transaction, pas des montants approximatifs. “
Apple transmet les donnees quand elle le peut, car elle n’est pas le owner de ces donnees, selon ce que laisse passer le card issuer (visa/amex/discovery/MC) ou la banque. Mais au depart, lorsqu’apple card a ete lancé en partenariat avec GS, elle expliquait anonymiser les donnees et que tout restait sur iPhone. Apple ne peut pas lire un achat, mais sait qu’un achat est fait, qu’il a ete paye ou non, avec un montant approximatif, etc. Ou alors ca a changé? 🤨
C'est ce que j'avais compris au lancement d'ApplePay et j'étais resté là-dessus. Mais le texte accompagnant cette "protection renforcée" semble dire tout autre chose quant au circuit des informations ( qui vont d'abord chez Apple pour être analysées puis seulement ensuite transmises au réseau de carte bancaire) et quand on lit la page dont j'ai mis le lien plus haut, tout n'est pas très clair sur les informations que collecte Apple et sur le caractère chiffré de celles-ci (Apple écrit noir sur blanc que les informations sont "brièvement" déchiffrées puis rechiffrees...)
Cela dit, je confonds peut-être ApplePay et Apple Card... quoi qu'il en soit, j'ai l'impression que pour les paiements ApplePay, Apple a accès à un niveau de détail de tous les paiements effectués dont je n'avais pas du tout conscience et que je trouve assez problématique en terme de confidentialité.
@r e m y
“Cela dit, je confonds peut-être ApplePay et Apple Card... quoi qu'il en soit, j'ai l'impression que pour les paiements ApplePay, Apple a accès à un niveau de détail de tous les paiements effectués dont je n'avais pas du tout conscience et que je trouve assez problématique en terme de confidentialité. “
Merci j’ai vu ton lien au-dessus.
Oui, apple est un intermediaire entre le reseau bancaire (emetteur de carte) et la banque qui l’exploite, donc on se dit qu’apple n’a pas besoin d’avoir acces au detail. Ca les aidera juste a orienter leur business futur… 😅
Je viens d'avoir l'info de protection renforcée en voulant faire un paiement ApplePaysur un site web (avec ma carte VISA Caisse d'épargne )
Pour pouvoir payer, j'ai dû activer "id commerçants ApplePay" dans Réglages/ confidentialité/ service de localisation / services système
Sans ça, le paiement ne passait pas.
@r e m y
Moi il était activer par défaut et impossible de recharger mon compte Revolut via Apple Pay 🤔
« application Cartes (ex-Wallet) »
Je ne sais pas vous, mais ça s’appelle toujours « Wallet » chez moi, et pas « cards ».
Nom changé si l’iPhone est en français ?
J’ai eu une notification pour une Visa Wells Fargo, mais pas l’autre.
Il y a un moyen de voir quelles cartes ont cette protection ? Car après avoir lu la notification, elle a disparu. Et je n’ai pas trouvé d’indication en fouillant carte par carte.
Pour la carte Visa pour laquelle ça s'est activé pour moi, quand je sélectionne cette carte dans Cards (ex Wallet), j'ai un texte en dessous de la carte qui l'indique clairement (entre l'image de la carte et la liste des transactions).
@r e m y
Tu as ton iPhone en français ou anglais ? Moi, il est en anglais et aux usa. Ça s’appelle toujours Wallet. Marrant.
Sinon, ce text, c’est une notification que tu peux supprimer ou pas ? J’ai eu une notification à cet emplacement que tu décris, mais après avoir lu le contenu, il a disparu. Et je n’arrive pas à retrouver l’info.
iPhone en français. Wallet s'appelle maintenant Cartes
Pour l'info sur la protection renforcée, le panneau affiché comporte une petite croix en haut à droite. J'imagine que si je clique sur cette croix, ce panneau sera fermé et je ne sais pas si je pourrai le ré afficher.
@r e m y
Je vois. Chez moi ce panneau a disparu après avoir lu son contenu. Et truc bizarre, c’était présent seulement sur une des deux cartes Visa de cette même banque. 🤷♂️
Pas mal !
Pourquoi pas encore avec les mastercards ?
Inutile, plus difficile ou simplement déploiement progressif ?
Intéressant comme démarche, en tout cas.
Pour savoir si c'est utile ou juste une intrusion supplémentaire pour capter toujours plus d informations sur les achats effectués (avec la localisation exacte depuis laquelle on a fait un achat sur internet ou dans une app), il faudrait savoir quel type de fraudes ont été constatées et si il est indispensable de mettre en place cette protection. Je pensais qu'ApplePay était totalement sécurisé et inviolable (au contraire des cartes bancaires "classiques" en version plastique).
Comment des malandrins ont-ils réussi à frauder en utilisant la carte ApplePay d'un tiers pour des achats sur internet ou dans des apps?
S'il y a une faille de sécurité dans le système ApplePay permettant à un individu de payer à ma place via ApplePay (en utilisant donc mon AppleID et l'une de mes cartes ApplePay), il serait peut-être mieux de corriger cette faille et pas simplement mettre en place ce processus permettant de détecter une possible fraude utilisant la faille existante.
@r e m y
Je ne pense pas que ce soit au niveau d’Apple Pay sinon toutes les cartes seraient dans le cas !!!!
Je pense plutôt à la réactive de VISA🤔
Il y a sans doute une partie du problème qui concerne VISA car pour l'instant ça ne concerne que les cartes de ce réseau, mais il y a quand même un gros problème avec ApplePay car la fraude dont il est question consiste quand même à ce que le fraudeur utilise MON appleID et l'une de MES cartes VISA pour payer via ApplePay sur internet ou dans une app.
Et pour essayer de bloquer cette fraude, Apple va vérifier au moment du paiement si la position GPS où est effectué le paiement est cohérent avec la position GPS de mon iPhone.
Comment quelqu'un à l'autre bout du monde peut-il faire un paiement ApplePay sur internet ou dans une app avec l'une de mes cartes VISA ??? 😳
@r e m y
Il me semble que les cartes VISA, on peut les ajouter facilement non ?
L’appli ID n’est d’aucune utilité il me semble.
Les cartes ajoutées à ApplePay sont liées à l'appleID. C'est comme ça qu'Apple peut vérifier que la position GPS d'où est effectué le paiement ApplePay est cohérent avec la position GPS de l'iPhone de l'utilisateur dont l'appleID correspond à la carte utilisée.
D'ailleurs quand on paye par ApplePay sur un site web sur un Mac, c'est sur l'iPhone lié à l'appleID qu'on doit valider le paiement via touchID ou FaceID. Qu'un fraudeur puisse passer outre cette validation biométrique est également incompréhensible à mes yeux...
@r e m y
Je sais pas. Faudra plus d’explications plutôt que de lancer des théories fumeuses 😎
Pas de théories fumeuses! J'essaie juste de comprendre (c'est mon esprit scientifique j'imagine...).
Ce que nous dit cette nouvelle protection contre la fraude c'est
1 - une fraude d'ApplePay est possible lors de paiement sur Internet ou dans des apps, a minima avec les cartes VISA (ce qui représente un nombre considérable de clients concernés)
2 - Apple et VISA n'ont pas trouvé (pas encore?) de solution pour empêcher la fraude et ils mettent en place un processus permettant de tenter de détecter des achats utilisant cette technique de fraude pour bloquer le paiement.
Ça ce sont des faits.
Après, comment cette fraude est possible reste pour moi un mystère car ApplePay me semble absolument sécurisé.
@r e m y
Ou alors une fraude pour toutes les cartes VISA car j’ai dû remplacer la mienne 😉
Qu'il y ait quelque chose de spécifique aux cartes VISA c'est probable, vu que cette protection est limitée aux cartes VISA, mais la sécurité d'ApplePay est aussi mise à mal si quelqu'un peut payer par ApplePay sur internet ou dans une app en utilisant une carte bancaire qui ne lui appartient pas...
Ça me turlupine cette histoire et malheureusement je suis persuadé qu'on ne saura jamais comment se passe cette fraude.
@r e m y
Ça n’a peut-être rien avoir avec Apple Pay spécifiquement. Ça n’a rien avoir avec la sécurité d’Apple Pay selon moi mais le temps que la carte soit supprimé quand on appel la banque pour la supprimer,…
Il y a nécessairement un problème ApplePay, car c'est bien de paiements ApplePay frauduleux. dont il s'agit! Quelqu'un à l'autre bout du monde, peut payer sur Internet ou dans des apps via ApplePay avec l'une de mes cartes VISA... je n'arrive pas à comprendre comment c'est possible.
@r e m y
https://www.zdnet.fr/actualites/apple-pay-et-visa-une-faille-de-contournement-permettrait-d-effectuer-des-paiements-sans-contact-39930055.htm
J’ai pas tout lu mais ça a l’air de bien expliquer le problème.
Cette faille là elle est bien connue maintenant et ça commence à dater (septembre 2021, l'article de ZDnet).
Ce n'est pas le problème que cette nouvelle protection renforcée essaie d'éviter, car dans le cas de l'article de ZDnet, il s'agit de faire effectuer un paiement sans contact à l'iPhone de l'utilisateur, à son insu, mais c'est bien l'iPhone du propriétaire legitime de la carte qui effectue le paiement.
La nouvelle protection renforcée pour les cartes Visa, vise à bloquer un paiement ApplePay effectué sur Internet ou au sein d'une app (pas un paiement sans contact), par un fraudeur qui n'est pas le propriétaire de la carte Visa utilisée, et qui de ce fait, se trouve à une position GPS différente du propriétaire légitime de la carte Visa (ce qui doit permettre d'identifier la tentative de fraude et bloquer le paiement).
C'est bien une autre fraude et une autre faille.
Est ce qu’on sait s’il y a un lien avec apple cash qui passe sur le reseau visa au lieu de discovery?
Pages