Free cookie consent management tool by TermsFeed
C'est pas mon idée !

mardi 27 janvier 2015

Apple Pay : fraude record, les banques accusées

Apple Pay
Lorsque Apple annonçait son porte-monnaie mobile en septembre dernier, une de ses armes de séduction était le surcroît de sécurité qu'il apporte aux paiements, grâce à plusieurs innovations bienvenues. Quelques mois plus tard, il s'avèrerait que, au contraire, la fraude atteigne des niveaux catastrophiques… À qui la faute ?

L'alerte est donnée par un consultant d'Experian, dans son blog « Drop Labs ». Selon lui, tandis que les outils et bonnes pratiques de protection déployés par les émetteurs de cartes leur permettent de limiter les taux de fraude aux alentours de 0,10% (soit 10 cents de perte pour 100 dollars traités), la solution Apple Pay semblait – après un mois d'existence – être beaucoup moins performante (avec un pic identifié jusqu'à 6% !). Pourtant, les observateurs s'attendaient raisonnablement à une amélioration sensible de ces scores, espérant descendre à 0,02 ou 0,03%.

Y aurait-il donc un défaut majeur parmi les précautions mises en œuvre par le constructeur à la pomme ? A priori, non : les faiblesses connues de la lecture d'empreinte digitale TouchID ne sont pas (pour l'instant) exploitées massivement, les interfaces sans contact (NFC) continuent à résister aux attaques vraiment dangereuses, les données stockées sur le téléphone ou sur les serveurs d'Apple sont toujours en sécurité et la « tokenisation » des transactions remplit parfaitement son rôle. En fait, la faille, béante, se situe dans l'enrôlement des nouveaux utilisateurs.

Apple Pay - More Secure Payments

En effet, fidèle à son habitude, Apple a voulu rendre l'expérience la plus simple possible. Pour se lancer, il suffit à l'utilisateur de saisir les informations de sa carte – voire de les capturer via une photographie – puis de fournir le code de sécurité qui se trouve au dos. Malheureusement, le web souterrain regorge de sites sur lesquels il est facile d'acquérir des données complètes, par exemple volées à l'occasion d'une intrusion informatique, qu'il suffit de reporter sur un iPhone 6 pour obtenir immédiatement un moyen de paiement valide, prêt à l'emploi, parfaite réplique virtuelle de la carte originale.

Apple n'est cependant pas le premier coupable, car, réalisant le risque encouru (quoiqu'un peu tardivement), la société a rendu obligatoire une étape supplémentaire d'authentification du porteur, dont elle accompagne la mise en place, mais qui reste (inévitablement) à la charge des émetteurs. Ce sont en fait les procédures de ces derniers – trop faciles à tromper – qui sont directement à blâmer. En particulier, les banques qui ont délégué cette tâche à leurs centres d'appel paraissent être les plus vulnérables, leur méthodes de contrôle d'identité étant déficientes.

Les raisons invoquées pour expliquer cette négligence ont une certaine logique, entre complexité (et les délais subséquents) d'une intégration sécurisée de l'activation dans l'application mobile de la banque et exigence de simplifier l'expérience pour le consommateur (notamment lors de la découverte des nouveautés d'un iPhone tout juste déballé, avant l'installation d'une app quelconque). Hélas, ce sont des arguments qui ne devraient jamais mener à des compromis sur la sécurité. La réalité rattrape aujourd'hui cruellement ceux qui ont oublié ce principe élémentaire.

4 commentaires:

  1. S'il y a une personne que je dois glorifier dans la partie remerciement de ma thèse, c'est bien vous ! Merci pour ces belles infos quotidiennes !

    RépondreSupprimer
  2. Merci pour l'info et l'analyse. Suggestion: Pourriez vous ajouter un bouton partage sur linkedin sur votre blog comme pour G+ ou FB ?

    RépondreSupprimer
  3. heuuu... cela signifie-t-il que tous les sites "standards" sur internet soient eux aussi concernés ?! (lorsque je paye sur internet, je ne me rapelle pas faire plus que fournir un email bidon et les infos de ma carte...)

    RépondreSupprimer
  4. @Jean-Pierre, j'ai bien pris note de votre suggestion, malheureusement l'ajout d'un bouton n'est pas aussi simple que je l'espérais…

    RépondreSupprimer

Afin de lutter contre le spam, les commentaires ne sont ouverts qu'aux personnes identifiées et sont soumis à modération (je suis sincèrement désolé pour le désagrément causé…)