Apple Pay : Entre nouveauté et sécurité

En octobre de cette année, Apple a lancé son service de paiement mobile Apple Pay. Ils ne sont pas les premiers sur le marché mais au vu du nombre d’utilisateurs d’appareils Apple, le système de paiement de la firme de Cupertino risque d’être le plus en vue et le plus décortiqué ces prochains mois. Bien qu’Apple Pay soit récent et qu’il faille souvent plusieurs mois, voire années, avant qu’une vulnérabilité ne soit découverte, voici un état des lieux du sujet avant sa mise en service courant 2015 pour l’Europe.

Apple Pay permet d’enregistrer vos différentes cartes de paiement afin d’effectuer des achats en ligne ou physique via un terminal compatible directement avec son smartphone et sans avoir à entrer vos informations personnelles. Disponible sur le nouvel iPhone 6, l’iPad Air 2 ainsi que l’iWatch, la montre connectée d’Apple, Apple Pay est déjà adopté par la plupart des grands magasins, applications et banques américaines.

Comment ça marche ?

Contrairement aux autres systèmes sur le marché, Apple Pay utilise un système appelé « tokenization ». Ce terme est utilisé pour décrire leur système de « jetons de paiements ». C’est-à-dire que les données sensibles (telles que le n° de carte de crédit, nom, etc.) ne sont pas stockées sur le téléphone ou les serveurs d’Apple. Ce « jeton » est une sorte de « carte de crédit à usage unique » ce qui permet d’éviter que le marchand ne stocke vos informations bancaires. Ce jeton, même si il est volé, ne peut en théorie pas être déchiffré. Ce système serait également recouvert d’une autre couche de sécurité dont Apple ne veut pas communiquer d’avantage. Ils assurent également que toutes ces informations seront stockées dans une puce dédiée, la « Secure Element ».

Un autre argument utilisé par Apple en faveur de la sécurité d’Apple Pay est l’utilisation de la biométrie (Touch ID) plutôt qu’un mot de passe pour valider ses achats.

Schema_Apple_Pay

 

Les failles potentielles

Malheureusement pour Apple, la sécurité du système Touch ID a été mise à mal dès sa sortie. En effet, des hackers ont démontré qu’il était possible de passer au travers avec une empreinte récupérée sur une simple plaque de verre. Cette opération n’a pas été corrigée avec le nouvel iPhone 6.

Coté vulnérabilité, on peut également citer l’enregistrement de la carte sur son téléphone qui se fait via la prise d’une photo ou en entrant les informations manuellement. Ces informations pourraient être dérobées par un pirates à ce moment par un malware, une erreur de configuration ou un encore un défaut dans le logiciel iOS. La preuve étant qu’à l’heure actuelle, il est toujours possible de « jailbreaker » un iPhone, même sous iOS 8.

L’iPhone 6 apporte également le support du « NFC » qui s’est démontré facilement piratable. Bien qu’aucune information de carte de crédit ne soit communiquée lors de ces « transaction unique », ajouter une nouvelle interface de communication ouvre une nouvelle porte à un pirate. Celui-ci pourrait, par exemple, utiliser cette « transaction unique » pour effectuer une transaction au même moment.

A l’heure actuelle, les mesures mises en place par Apple pour sécuriser Apple Pay n’ont pas été clairement communiquées. En théorie, le système semble pouvoir faire face aux attaques et se montre plus efficace que ses concurrents. Comme tout système, il sera certainement vulnérable un jour, mais il offre un bon niveau de sécurité, une intégration de bout en bout et surtout centrée sur l’utilisateur.  La notoriété d’Apple, le nombre d’utilisateurs ainsi que la confiance apportée par les plus grandes entreprises au système Apple Pay en font certainement un des futurs leaders du marché. Or, plus que tout,  Apple Pay aide à vendre et cela reste la clé du succès de tout système de paiement.

Idriss Laoufir