Réflexions sur la sécurité d’Apple Pay (MAJ)

Sécurité et NFC

Exclusif
Liste de tags

Avec le lancement de l’iPhone 6 (qui intègre enfin la NFC), Apple a introduit un nouveau système de paiement. Ce système est-il sécuritaire?

En effet, depuis le dévoilement de ce que l’entreprise nomme Apple Pay, plusieurs m’ont demandé à quel point ce système peut réellement être sécuritaire, surtout après le fameux #CelebGate. Essayons donc de décortiquer tout ça…

Ce qui rend Apple Pay intéressant d’un point de vue de sécurité, c’est le fait que le tout passe à travers un système de jeton, c’est-à-dire un processus de création et de manipulation d’un jeton anonyme.

La question des problématiques liées aux paiements

Apple fait un excellent diagnostic en ce qui concerne les faiblesses du système de paiement actuel. Il est vrai qu’une grande proportion des transactions effectuées à l’aide de cartes n’est pas adéquatement protégée. Toutefois, avant de paniquer et de mettre vos cartes dans un coffre-fort, il faut comprendre que c’est surtout aux États-Unis que ces problèmes se posent.

La sécurité des transactions : le contexte américain par rapport aux autres marchés

Pour mieux comprendre pourquoi l’introduction de l’Apple Pay fait autant de vagues aux États-Unis, il faut connaître le système de paiement américain. Par exemple, le fonctionnement actuel d’une carte de crédit est différent de ce que l’on voit au Canada. En fait, le processus moyen aux États-Unis est plutôt faible en matière de sécurité.

Ce système repose encore bien souvent sur l’authentification par la signature : le commerçant valide la carte et le client approuve la transaction en griffonnant sa signature sur un bout de papier. Quelle est la dernière fois qu’un vendeur, voire même une banque, a réellement validé l’authentification de votre signature avec celle située sur l’endos de votre carte? Poser la question, c’est y répondre.

Afin d’ajouter un faux sentiment de sécurité à ce genre de transactions, certains commerçants exigent de voir une pièce d’identité avec photo dont le nom correspond à celui inscrit sur la carte. Malheureusement, en 2014, falsifier ce genre de document est plus facile que jamais.

Bref, ces mesures ne sont pas très sécuritaires.

Au Canada, la situation est complètement différente. Nous avons en quelque sorte rejoint les Européens. Dans la vaste majorité des cas, les vendeurs vont exploiter un système à puce combiné d’un mot de passe communément appelé «numéro d’identification personnel» (NIP). Ce système est immensément plus sécuritaire que la pratique courante présente aux États-Unis. Certes, ce n’est pas parfait, mais c’est déjà beaucoup mieux.

Quoi penser de la sécurité d’Apple Pay?

Il faut voir Apple Pay comme étant deux systèmes : un système de paiement physique exploitant la NFC, et un système de paiement en ligne qui sera rendu disponible via une API.

Les systèmes exploités par les concurrents n’emploient pas un système avec jeton. Le commerçant se retrouve donc avec le numéro de carte de crédit dans ses systèmes, avec tout ce que cela peut comporter comme risque de sécurité.

Ce qui rend Apple Pay intéressant d’un point de vue de sécurité, c’est le fait que le tout passe à travers un système de jeton (ou tokenization en anglais), c’est-à-dire un processus de création et de manipulation d’un jeton anonyme. La donnée sensible, dans ce cas-ci le numéro de carte de crédit, est transformée sur le téléphone par un processus mathématique lui donnant une identité propre et unique. C’est donc cette donnée anonyme qui se retrouve dans le terminal de point de vente des commerçants. Elle est ensuite relayée vers les institutions de carte de crédit (MasterCard, Visa et American Express actuellement) qui valident ou non la transaction. Pour voir en détails toutes les étapes de ce genre de processus, je vous invite à lire le document explicatif du Security Standards Council.

Les systèmes exploités par les concurrents (dont Google et Samsung) n’emploient pas un système avec jeton. Cela veut donc dire que c’est le numéro de carte de crédit qui est transmis à travers de la NFC, et non pas un jeton anonyme. Le commerçant se retrouve donc avec le numéro de carte de crédit dans ses systèmes, avec tout ce que cela peut comporter comme risque de sécurité – la faille de Target, et plus récemment celle de Home Depot en sont des exemples frappants.

Grosso modo, on peut donc conclure qu’Apple Pay est passablement sécuritaire, voire plus que les systèmes actuellement en place avec le système à puce, et ce, pour la simple et bonne raison qu’il réduit le nombre de déplacements de la donnée sensible.

Autre élément à considérer : la transaction ne se fie pas à un NIP. Pour augmenter le niveau de sécurité des transactions, il faudra tôt ou tard se sortir de l’approche par mots de passe. C’est une façon désuète de fonctionner et elle a des limites fondamentales. Pour l’heure, les institutions bancaires demandent aux utilisateurs d’avoir des NIP d’environ cinq caractères, ce qui est très peu d’un point de vue de sécurité. C’est d’ailleurs probablement l’élément le plus intéressant avec l’introduction d’Apple Pay : il sort de la logique du mot de passe pour se tourner vers la mesure biométrique, l’empreinte digitale dans ce cas-ci.

Les limites du système

exempleapplepay2

Est-ce que cela veut dire que l’on fait face à un système complètement à l’abri de problématiques et de fuites? Bien sûr que non. Déjà, comme l’a démontré Charlie Miller en 2012, la NFC n’est pas complètement sécuritaire. Le chercheur en sécurité a réussi à faire rouler du code malveillant sur un téléphone en passant par la NFC. Ce que cela signifie, c’est que des failles potentielles demeurent toujours présentes, et que pour que ce genre de système puisse être sécuritaire, il faut que cela soit fait bout-en-bout.

Or, cela n’est pas toujours garanti, car cela implique de contrôler les comportements de plusieurs variables qui ne sont pas toujours à la portée des fabricants mobiles ou des institutions financières, notamment :

  • les terminaux des points de ventes;
  • les ressources web avec lesquels ces terminaux communiquent;
  • les comportements des utilisateurs, qui seront assurément tentés d’utiliser la NFC du moment qu’ils ont accès à une borne compatible avec ce genre de transmission.

En ce qui concerne ce dernier point, il est important de rappeler que la NFC peut également être utilisée pour autre chose que le paiement.

Mentionnons aussi la méthode utilisée pour inscrire une carte de crédit dans le système Apple Pay. L’utilisateur est invité à inscrire ses informations financières et – roulement de tambour – prendre une photo de la carte avant de l’envoyer à Apple. Cette méthode est pour le moins questionnable [NDLR : voir la mise en jour ci-bas]. Parlez-en aux vedettes du #CelebGate qui se sont fait voler leurs photos.

Finalement, le chercheur Jonathan Zdiarski a déjà fait valoir que plusieurs éléments du système iOS demeurent vulnérables. Selon ses dires, iOS 8 améliore la sécurité, mais un point demeure : il est possible d’exploiter l’appareil avec un accès physique. Soit, cette vulnérabilité est complexe à exploiter, mais elle n’est pas à mettre complètement de côté, considérant que l’information de base se trouvera sur l’appareil. On imagine qu’Apple voudra mettre l’emphase sur le fait qu’il est possible d’effacer le contenu du téléphone à distance advenant la perte ou le vol de l’appareil.

Une question de confiance et d’éthique

Au final, tout ceci repose sur une question de confiance. On pourrait avoir le système le plus sécuritaire du monde, si les utilisateurs n’y font pas confiance, ils ne l’utiliseront tout simplement pas.

À l’heure où les États-Unis commencent leur transition vers des points de paiements plus modernes, acceptant les cartes à puce et la NFC, Apple tombe à point. En plus, le fait de s’associer avec des géants du crédit et du commerce de détail aidera probablement la cause de la compagnie de Cupertino. Les dés sont donc jetés et j’ai vraiment hâte de voir si l’adoption de ce système sera conséquente au potentiel qu’il offre.

Mise à jour

La sagesse des lecteurs m’a permis d’en apprendre encore plus sur le système et il est, ma foi, encore plus solide que je le pensais. Tout d’abord, l’acquisition dudit numéro se fait au travers d’un système qui est déjà utilisé pour faire la lecture des numéros de carte iTunes. Lors de cette acquisition, ce n’est pas une photo qui est prise, mais seulement une lecture. L’image n’est donc stockée nulle part.

Ensuite, le numéro de carte de crédit n’est jamais stocké sur le téléphone. Lorsque l’utilisateur intègre la carte à son téléphone, la banque l’institution financière lui fournit une autorisation comprenant le jeton.

Merci à Patrick Desmarais, Bob et Opportun pour les précisions.

  • Bob

    «prendre une photo de la carte avant de l’envoyer à Apple.» – Apple ne prendra pas de photo, il utilisera plutôt la reconnaissance de caractères pour extraire les informations de la carte.

    • Benoît Gagnon

      Oui, l’application Apple Pay fait la reconnaissance des caractères. Mais, de ce que j’en ai compris, c’est que le tout est fait par la prise d’une photo. Or, c’est là que c’est flou. Si c’est effacé immédiatement – j’ose espérer que ce l’est – c’est bon. Par contre, si la photo reste dans les albums, albums souvent synchronisés dans les nuages, et que l’usager doit manuellement effacer la photo, c’est un problème.

      • opportun

        Benoit, c’est le même principe que d’utiliser une carte iTunes et de la présenter vers la caméra dans iTunes pour l’activer. Apple a développé autour de la technologie de reconnaissance de l’image la capacité de lire le contenu d’une image (chiffres/lettres) et d’utiliser ce contenu de façon intégrée pour communiquer de façon sécuritaire avec leurs serveurs ou leurs applications.

        C’est ce même genre de technologies qui est utilisée. Voir les exemples ci-joints.

        http://support.apple.com/kb/ht1574

        http://9to5mac.com/2013/09/23/ios-7-how-to-redeem-itunes-gift-cards-with-your-devices-camera/

        Et pour ceux qui se demande depuis quand cette technologie est disponible, j’ai vu des démos de l’analyse d’image sur des Mac en 2008 et 2009 aux conférences WWDC d’Apple. Donc, il n’y a rien de nouveau dans cette approche de reconnaissance de l’image, le tout a été passablement testé depuis des années.

  • S.R

    La sécurité des cartes de crédit est aussi faible au Canada, il ne faut pas oublié qu’on a toujours la bande magnétique!

    • Benoît Gagnon

      Oui, mais elle est de moins en moins utilisée. Certes, cela demeure, mais globalement la situation est meilleure au Canada.

    • opportun

      Les commerçants ne sont pas assurés (ou sont très à risque) s’ils utilisent une bande magnétique au lieux de la puce sur une carte. Donc au Canada, les marchands veulent absolument utiliser la puce. La bande magnétique est un dernier recours ou utilisable si la carte n’a pas de puce.

      • S.R

        Dasn tous les cas où votre carte à puce ne fonctionnera pas, la bande sera utilisé, il est donc facile de cloner des bandes magnétiques et de voler les NIPs (tout ça pour supporter les vieilles technoloigies) et c’est exactement ce que font les réseaux qui injectent des skimmer/skin dans les ATM/etc.

        • Denis

          NIP ne fait parti de la bande magnétique…et un marchand qui accepte une carte de crédit par la lecture de la bande magnétique seulement prend toute la responsabilité si celle-ci est cloné.

        • opportun

          Je travaille avec des centaines de marchands et je peux vous dire que si une carte à puce ne fonctionne pas (avec la puce et le NIP), ils vont probablement appeler la compagnie émettrice de la carte pour avoir une autorisation pour le paiement. Et souvent, il est mieux de perdre la vente que d’utiliser une bande magnétique.

          Les marchands signent un contrat long comme le bras et doivent se soumettre à une série de procédures afin de respecter le contrat. Ceux qui ne respectent pas les règles de base l’apprennent rapidement en voyant des transactions annulées. Les pertes sont souvent tellement importantes que ça ne vaut pas la peine d’utiliser une bande magnétique.

          Donc, le plus vite des modes de paiements plus sécuritaires comme Apple Pay seront disponibles, le mieux se porteront les consommateurs et les marchands.

    • ChristianB

      FAUX ! on a scartes à puce. C’est États-Unis que la bande magnétique a la cote. Plusieurs commerçants Canadiens refusent les cartes étasuniennes pour cette raison.

  • marco

     »Réflexions sur la sécurité d’Apple  »PLAY » en titre !
    Je crois aussi qu’on accuse un certain retard dans ce mode de payement
    en Amérique du nord et j’ai hâte de voir si ce système va s’imposé ou tout
    simplement disparaitre au détriment d’un autre. Merci pour l’article !

    • http://branchez-vous.com/ Laurent LaSalle

      C’est corrigé.

  • Supreme Neptune God

    Bonjour,

    La technologie est et sera toujours plus ou moins sécuritaire; que se soit du débit, du crédit au du payement par NFC.

    C’est si compliquer de payer avec du vrai cash ?

    S.N.G.

  • Patrick Desmarais

    Excellent article mais petite précision…

    Le numéro de carte de crédit réel n’est pas stocké dans le téléphone et transformé par le téléphone en token. Lorsque la carte est ajoutée, une autorisation de la banque ou de la cie de carte de crédit est demandée. Cette autorisation comprend ledit token et c’est ce même token qui est stocké dans le « secure element » du iPhone. C’est un peu l’équivalent du TouchID pour l’aspect de stockage sécuritaire.

    Apple n’a donc même pas le numero de la carte (du moins ils ne le gardent pas). C’est donc EXACTEMENT la même technologie que les cartes à puces (chip and pin – EMV). La seule différence, c’est qu’au lieu d’utiliser son NIP pour authentifier la transaction, ce sera le TouchID qui fera l’authentification.

    • Patrick Desmarais

      Les cartes à puce (chip and pin) utilisent déjà un token. Du moins selon la documentation EMV de MasterCard.

  • Steve C

    Les principes semble bon mais sincèrement j’attend quelle soit éprouvé …… De deux j’attend d’avoir plus d’info du coté des banques en cas de FAIL de ce système de paiement …

  • r2d3

    Est-ce que Google Wallet est bien? Quelqu’un l’a utilisé? Quelles seront les différences avec Apple Pay?

  • Marc Gibeault

    Deux gros avantages pour moi:
    -Le commerçant ne voit ni mon nom, ni mon numéro de carte.
    -Apple n’a pas connaissance de ce que j’achète, ni où je fais ces achats.

    • http://branchez-vous.com/ Laurent LaSalle

      Je vous parie ce que vous voulez que votre nom figurera sur le reçu.

      • Marc Gibeault

        Pourquoi? Mon nom n’est jamais sur les reçus de caisse.
        (Pari perdu)

        • http://branchez-vous.com/ Laurent LaSalle

          Écrire un commentaire en était distrait = se tromper de verbe. J’ai modifié mon commentaire.

          Donc, s’il est question de payer par carte de crédit (ce qu’Apple Pay est essentiellement), le nom du détenteur de la carte figure généralement sur le reçu. Particulièrement lorsqu’il s’agit d’un achat important (notamment au Apple Store). Bref, on verra bien… ;)

  • Steve Rodrigue

    Je suis un peu en retard, mais je veux préciser quelques trucs avec le NFC.

    Même si Google n’a pas eu le succès qu’il souhaitait (encore) avec le paiement NFC et son service Wallet, il y a tout de même beaucoup de trucs très sécuritaires avec la façon dont le NFC fonctionne sous Android.

    D’abord, l’appareil doit être déverrouiller pour que la puce NFC soit active. Donc, c’est IMPOSSIBLE de se faire scanner sa puce NFC quand notre téléphone est vérouillé ou en veille. Deuxièmement, la puce NFC des téléphones (Android ou Apple) ne sert pas seulement au paiement, c’est une puce de communication à « tout usage », donc on peut simuler une carte de crédit ou tout autre chose, ça n’est qu’un moyen de communication.

    Donc, ça n’est pas parce qu’un appareil a une puce NFC et que vous y avez associer de l’information financière que cette information va « couler » par la puce NFC. C’est lorsque vous approcherez votre appareil d’un terminal bancaire que l’application associée au paiement va s’activer.

    D’ailleurs, si vous mettez dos-à-dos 2 appareils Android déverrouillés qui possèdent une puce NFC, l’application « Android Beam » démarre automatiquement pour démarrer un échange de contenu (ce qui est à l’écran d’un appareil est « transféré » à l’autre appareil).

    Bref, le NFC ne se limite pas seulement au paiement, il y a aussi des applications du type échange de PIN Bluetooth via NFC: déposer son téléphone sur un système de son bluetooth qui possède une puce NFC et le pairage Bluetooth se fait automatiquement, etc…

    En passant, @benotgagnon:disqus, bel article!