Apple Pay souffre d’un maillon faible qui l’ouvre à la fraude

Publié le

27 janvier 2015 à 16:12

Par

Arnaud

capture_d_ecran_2015-01-27_a_16.10.10.jpg

Aux USA, Apple Pay prend doucement son envol, de nouveaux partenaires s’ajoutant quasi quotidiennement à la liste et l’habitude de paiement s’installant facilement chez les utilisateurs. Petite ombre au tableau, Apple Pay n’est pas aussi sûr qu’on aurait pu l’espérer.

C’est Drop Labs qui lance un pavé dans la mare. Le taux de fraude qui s’établit aux USA pour les cartes bancaires à 0,10 $ pour 100 $ de transaction ne serait pas tellement inférieur avec Apple Pay, loin des 0,03 $ initialement espérés par les spécialistes. Les données ne sont pas encore très parlantes statistiquement, mais dans un cas précis Drop Labs estime que le taux de fraude a été de 6 $ pour 100 $ de paiement. Insistons, il s’agit là d’un cas d’espèce, et pas d’une statistique.

Faible piste magnétique

Comment expliquer qu’Apple Pay ne soit pas, pour l’heure, plus sûr que les cartes classiques qui, aux USA, sont encore largement de simples cartes magnétiques, dépourvues de puce ? Rassurez-vous, il ne s’agit pas de la fiabilité de l’authentification Touch ID, ni de la sécurité de la transmission de proximité. C’est plus trivial que ça : la faiblesse d’un système est toujours celle de son maillon le plus faible, rabâchent les experts ès-sécurité, et ils ont raison. En l’occurence, la faiblesse de la chaine Apple Pay est celle des banques, qui ne vérifient pas avec assez de sérieux que la personne qui entre une carte bancaire dans son Apple Pay en est le légitime propriétaire.

Vrais pirates

Pour authentifier une carte dans Apple Pay, l’utilisateur se plie aux injonctions de sa banque, émettrice de la carte. Et, selon les établissements, la procédure à suivre varie grandement et n’est tout simplement pas sécurisée pour certaines d’entres elles. Ainsi, certains établissements demandent simplement un appel téléphonique à leur centre, et ne demandent que les numéro de cartes, date de validité et nom du possesseur comme informations de confirmation.

Or, il circule, sur l’Internet, nombre fichiers proposant des informations complètes de cartes bancaires. C’est facile de s’en procurer, les cartes étant encore souvent passées dans des sabots à empreintes, ou soustraites à la surveillance des clients pour les paiements. De fait, en disposant de ces informations, un escroc peut aisément enregistrer une carte bancaire dans son iPhone. D’autres établissements bancaires sont plus malins, et exigent une authentification via l’application maison.

La faute d’Apple

Apple a sa part de responsabilité dans l’affaire. Avant de lancer Apple Pay, cette question de la procédure de validation d’une carte bancaire était largement laissée dans l’ombre. Ce n’est qu’un mois avant le lancement officiel d’Apple Pay que la Pomme a rendu l’existence d’une procédure obligatoire, mais laissant en grande partie celle-ci à la discrétion des banques. Il est temps que cela change.