Apple Pay : paiement sécurisé ou passoire NFC ?

Apple Pay : paiement sécurisé ou passoire NFC ?

MAJ 14/06/2016. Nous en parlions dans un précédent article : le NFC (Near Field Communications), qui permet entre autre le paiement sans contact et l'échange de données, via une carte bancaire ou via votre smartphone, comporte de grosses failles, à tel point que l'on pouvait parler de passoire. La technologie a plusieurs fois été pointée du doigt par des experts en sécurité. D’abord parce que les cartes bancaires l’utilisant n’ont pas recours à un protocole chiffré, ni à un système d’authentification, ce qui laisse la porte ouverte au piratage de données sensibles stockées en clair. Ensuite, parce que jusqu’ici, les smartphones NFC sont parfaitement piratables, là aussi, les données n’étant pas chiffrées.

Nous pourrions en rester là, et simplement vous conseiller de ne pas utiliser le NFC sur votre smartphone. Mais Apple change la donne, l’iPhone 6, l' iPhone 6s , l'iPhone SE et l’Apple Watch intègrent le NFC, et après les Etats-Unis, la solution de paiement d'Apple s'apprête à débarquer en France courant juillet.


Un système de jetons (apparemment) béton


A la différence des systèmes de paiement utilisés par Samsung ou Google, la solution Apple Pay serait sécurisée, car elle utilise la “segmentation”, ou “tokenization”. Il s’agit, en gros, d’un système de “jetons de paiement” : les données sensibles (le numéro de votre carte bancaire, votre nom, votre prénom) sont remplacées, grâce à un algorithme, par un “identificateur unique”, anonyme. Le jeton.



C’est ce jeton, une “carte bancaire virtuelle à usage unique”, qui est envoyé vers le terminal du commerçant, les organismes de cartes de paiement (Visa, MasterCard, American Express) étant ensuite chargés de valider la transaction. Autrement dit, ce système permet d’éviter que le marchand, à l’autre bout de la ligne, ne se retrouve avec votre numéro de carte bancaire, stocké dans sa base de données - à la merci de failles. Comme ce fut le cas, récemment, aux Etats-Unis, de l’enseigne de bricolage Home Dot.

Ce système de jetons semble plutôt sûr : en effet, selon Apple, les jetons ne peuvent être déchiffrés afin d’obtenir le numéro de la carte de crédit d’origine. Un hacker réussissant à intercter les données ne pourrait donc rien en faire. Ce système sera apparemment (Apple n’a pas voulu en dire plus) recouvert par une autre couche de sécurité, à savoir un code unique de vérification, sorte d’équivalent virtuel au CVV (le cryptogramme visuel, ou numéro de sécurité à trois chiffres, qui se trouve au dos de votre carte), via la technologie EMV. Ce CVV, là aussi unique, serait généré lors de chaque opération de paiement.


Où se trouve le numéro de carte bancaire ?


A noter que le numéro de votre carte bancaire ne sera jamais stocké sur votre smartphone, car dès la première utilisation du système, celui-ci est remplacé par un “jeton”. C’est ainsi un faux numéro de compte, le “device account number”, propre à chaque terminal, qui sera stocké dans l’appareil.


Autre argument en faveur de la sécurité d’Apple Pay : l’utilisation de l’identification biométrique, plutôt que celle d’un mot de passe. Le Touch ID, déjà présent duis quelques temps avec l’iPhone 5S, est un capteur d’empreintes digitales censé rendre à jamais le mot de passe obsolète, car on ne peut plus sécurisé, bien sûr... 

Le NFC en tant que tel est une technologie piratable, et le plus important reste donc le chiffrement des données. Là aussi, Apple garantit la sécurité : ainsi, le numéro de compte lié au terminal, qui permet de créer des jetons, sera stocké de manière chiffrée dans un élément matériel du téléphone, une puce sécurisée, baptisée le “Secure Element” - qui chiffre les données de paiement des jetons en utilisant soit la cryptographie à courbe elliptique (ECC), soit le chiffrement RSA. Ce procédé permet de protéger, notamment, vos informations des applications iOS indiscrètes. 


Et en cas de vol de l’iPhone ?

A noter qu’en cas de vol ou de perte de votre terminal (Apple Watch ou iPhone), l’utilisateur pourra désactiver le “device account number” duis son compte Apple, le rendant inutilisable. Et cerise sur le gâteau : la puce NFC de l’iPhone 6s ou de l’Apple Watch n’est pas (comme celle des puces des cartes bancaires sans contact), activée en permanence, mais seulement au moment du paiement, ce qui limite les marges de manoeuvre d’un hacker désirant intercter des données grâce à un système d’antennes.



Tous ces systèmes, qui complexifient la procédure de paiement, sont donc censés pallier la non-sécurité intrinsèque du NFC. Pas de données financières sur les serveurs, chiffrement : comment contredire Apple ? Son système semble vraiment béton. Sauf que des faiblesses demeurent.


Le spectre des vulnérabilités

Tout d’abord, le Touch ID, qui n’a hélas rien de béton. Au moment de la sortie de l’iPhone 5S, des hackers ont prouvé qu’il était possible de tromper le capteur au moyen d’une empreinte récupérée sur une plaque de verre. Cette opération s’est avérée tout aussi réalisable avec l’iPhone 6. Le Touch ID ne constitue donc pas, malheureusement, un argument de sécurité suffisant pour placer toute sa foi dans cet outil.

Ensuite, quid des failles potentielles ? Certes, le système des jetons semble imparable. Mais l’histoire de la sécurité montre qu’il existe toujours des failles. Même quand tout a été pensé. Il pourrait s’agir d’une faille présente sur le terminal du commerçant. Il pourrait aussi s’agir d’une faille concernant les comptes iTunes, qui sont reliés à Apple Pay, puisque l’inscription à Apple Pay peut se faire en utilisant sa carte bancaire, déjà enregistrée sur le compte iTunes.





L’Apple Watch, le maillon faible


En outre, Apple Pay a un talon d’Achille : l’Apple Watch. Utiliser sa montre pour payer, c’est pratique, mais quid de l’identification via cet outil ? Comme le rappelle l’expert en sécurité Francisco Corella, il n’existe pas de capteur d’empreintes sur la montre connectée, et l’Apple Watch peut fort bien être couplée à un iPhone 5, qui lui non plus n’utilise pas Touch ID.

L’identification sur l’Apple Watch se fait... via un code PIN. La montre, qui utilise des capteurs pour savoir si la montre est toujours au poignet, désactive tout, si celle-ci est retirée du poignet (donc volée, en théorie). Reste que le code PIN de l’Apple Watch est potentiellement piratable. On vous évitera les détails complexes, mais il s’agit ici d’une attaque par relais, qui rose sur une attaque menée par deux hackers simultanément... technique qui fonctionne déjà avec Google Wallet, le système de paiement mobile de Google, qui, lui, n’utilise pas le système des jetons.

 


Un jeton et ça rart ?

Concernant la “tokenization” : ce système ne fait finalement que transférer le risque vers le fournisseur de jetons, les données de la carte d’origine devant nécessairement être stockées quelque part, pour vérifier, à chaque paiement, la correspondance entre les jetons et le compte bancaire - pour éviter toute fraude, vous l’aurez compris. C’est là que réside la faille potentielle.

Il ne s’agit que d’une supposition, puisque le procédé de “tokenization” utilisé par Apple Pay n’a pas été présenté en détail, mais si l’on se base sur les normes de l’EMVCo (qui regroupe les entrrises de systèmes de paiement, comme Visa et American Express) ; pour créer des jetons, votre numéro de carte bancaire sera nécessairement stocké chez Apple, qui l’enverra à votre banque. Cette banque s’adressera alors à un fournisseur de jetons (un TSP, ou tokenization service provider), comme Visa, American Express ou Mastercard, puis renverra ensuite les jetons à Apple.


L’autorisation de paiement, moment clé 




Au moment du paiement via Apple Pay, le jeton anonyme envoyé au marchand sera d’abord “dé-tokenisé” par Visa, Mastercard ou American Express, afin de vérifier si rien ne cloche (c’est la phase d’autorisation) : le jeton est identifié, puis déchiffré, pour que le véritable numéro de carte soit ensuite envoyé à la banque - pour autorisation.

Dans ce cas, la question qui se pose est la suivante : ces deux processus (la création des jetons, la phase d’autorisation lors du paiement) sont-il totalement sécurisés, exempts de “backdoors”, et de risques de failles ? Si tout ce processus se passe dans le Cloud, pas vraiment réputé pour sa sécurité, par exemple ?

Bon, soyons justes avec Apple : dans l’absolu, il semble bel et bien que cette “tokenization” semble une solution imparable face aux hackers spécialisés dans la récupération des numéros de carte. Pour le moment, en tout cas.


Lire l'article sur cnetfrance.fr

Honor : la montre connectée Magic Watch 2 arrive en France

Honor : la montre connectée Magic Watch 2 arrive en France La montre connectée Honor MagicWatch 2 arrive en France à partir de 179 euros.

Pocophone F2 : c'est officiel, Poco travaille sur la suite

Pocophone F2 : c'est officiel, Poco travaille sur la suite Quelques jours après avoir annoncé sur Twitter son désir d'indépendance vis-à-vis de Xiaomi, la marque Poco tease sur le même réseau social une saison 2. Le Pocophone F2 pourrait bien être le premier épisode de cette nouvelle aventure.

Samsung Galaxy S20 : vers un zoom numérique 100x pour la version Ultra ?

Samsung Galaxy S20 : vers un zoom numérique 100x pour la version Ultra ? On fait le point sur le module photo du prochain Galaxy S20 Ultra. Il pourrait être équipé d'un capteur zoom numérique 100x.

Canal Plus Ciné Séries : prix, catalogue (Netflix, Disney+, OCS...) engagement, tout ce qu'il faut savoir sur le pack

Canal Plus Ciné Séries : prix, catalogue (Netflix, Disney+, OCS...) engagement, tout ce qu'il faut savoir sur le pack En signant des partenariats avec Netflix, Disney, OCS et diverses chaînes privées américaines, Canal+ propose, avec le pack Ciné Séries, une offre SVoD très complète pour les amateurs de films et séries télévisées. Prix, contenus aux catalogue durée d'engagement… voici tout ce qu'il faut savoir à son sujet.

Netflix : 3 séries supers (mais trop méconnues) à commencer sans tarder cette semaine

Netflix : 3 séries supers (mais trop méconnues) à commencer sans tarder cette semaine Vous voulez décompresser devant une excellente série Netflix cette semaine ? Bonne nouvelle, les pépites ne manquent pas dans le catalogue de la plateforme de streaming. Pour vous aider à trouver le programme qu'il vous faut, voici notre compilation de trois supers créations originales passées sous les radars.

MWC 2020 : rendez-vous le 24 février pour la conférence Honor, à quoi faut-il s'attendre ?

MWC 2020 : rendez-vous le 24 février pour la conférence Honor, à quoi faut-il s'attendre ? PC portables, smartphones, intelligence artificielle, Honor prépare une conférence pour le MWC 2020 de Barcelone.