Archives mensuelles : février 2014

Ce qu’il faut retenir des annonces Visa et MasterCard sur le HCE et les conséquences sur l’écosystème NFC

Paiement NFC

Paiement NFC

Nous avons eu récemment les iBeacon, ces balises /  boitiers électroniques basés sur la technologies BLE qui vont permettre la géolocalisation d’objets et de personnes, une technologie qui d’après certains médias, aller « tuer » à coup sûr le NFC puisqu’on aller tout faire avec y compris du paiement. Nous avons proposer une explication plus rationnelle dans cet article. Et depuis, Apple a rappelé récemment qu’il n’existe pas encore de spécifications techniques des iBeacons sans compter l’absence de sécurité pour des applications paiement. Et après le BLE, voici maintenant le HCE, qui va également révolutionner le paiement sur mobile et rendre inutile le NFC.

Que faut il comprendre de ces annonces ?

L’information de départ – Visa Inc (*) et MasterCard aux Etats aux Etats-Unis ont annoncé qu’ils allaient « supporter » la technologie HCE. La bourse a pris très au sérieux cette annonce et par exemple l’action Gemalto, l’un des principaux acteurs du monde du NFC a perdu 5% de sa valeur en une journée.

Il faut d’abord comprendre le sujet de la sécurité dans le paiement sur carte et sur mobile pour comprendre les enjeux d’un sujet très complexe.

Partout dans le monde, sauf aux US, la sécurité des transactions cartes bancaires est assurée par une puce bien visible située sur la carte bancaire. Cette puce contient des informations protégées et cryptées qui autorisent les échanges et les paiements lors d’une transaction de proximité, lors de l’introduction de la carte dans le terminal de paiement électronique. Le standard utilisant cet élément de sécurité physique – Secure Element, est appelé EMV (pour Eurocard, MasterCard, Visa). Cette technologie réduit fortement le nombre et le montant des fraudes, beaucoup plus faibles dans les pays l’ayant adoptés : globalement la plupart des grands pays sauf les Etats-Unis. Ces derniers ne l’ont pas fait pour des raisons de coût d’investissement (changement de tous les TPE), des raisons liées au syndrome NIH – Not Invented Here, et le résultat est qu’ils font payer aux consommateurs, à travers le coût de cartes et des taux de crédit, le coût supplémentaire engendré par la fraude. Il faudrait également parler de la notion de CP – Card Present et CNP –  Card Not Present ; garantissant la « qualité » de la transaction. Tous les achats frauduleux par carte EMV sont remboursés par les banques.

Dans le cadre d’un paiement sans contact par carte, le niveau de sécurité à travers cet élément physique est également assuré globalement de la même manière.

Dans le cas d’un paiement mobile NFC, l’élément sécurisé, le SE – Secure Element sous forme matériel, comme la puce de la carte, avait jusqu’à présent trois formes – la SIM de l’opérateur mobile, une microSD que l’on rajoute lorsqu’un slot est disponible sur le mobile, ou un circuit spécifique du mobile – le embedded SE. La SIM est le choix de la plupart des banques associées aux opérateurs mobiles – il est le plus sûr mais a un coût, lié à la location de l’espace protégé sur la SIM appartenant à l’opérateur mobile et  l’utilisation de TSM – Trusted Service Managers, des plateformes assurant la sécurité des échanges de données.

Android Kitkat et HCE (c) Bell Id

Android Kitkat et HCE (c) Bell Id

Le HCE pour Host Card Emulation,  introduit par Google dans Android KitKat, propose donc la sécurisation de la transaction dans le cloud. Ce système est également appelé Secure Element in the Cloud par Bell Id. Cela consiste globalement à placer les clés de déchiffrement du numéro de carte dans l’appli stockée dans la mémoire non sécurisée du mobile et autoriser un paiement suite à des échanges OTA – Over The Air nécessitant de la connectivité, ou, lorsque il n’y a pas d’accès Internet, cela engage un système complexe de tokenisation.

En simplifiant, ce tableau résume le parallèle carte et mobile entre les US et le reste du monde.

 
Carte
Mobile
Europe et
Reste du monde
EMV -> Moins de fraude 
SE physique – SIM, microSD, embedded element – Moins de fraude (equivalent cartes)
US
Pas de EMV -> Plus de fraude
HCE – Cloud based –  Pas de SE physique – Niveau de fraude potentiel inconnu

Pourquoi ces annonces  font elles réagir les acteurs ?

Côté acteurs de l’internet américain, comme Google, Paypal et potentiellement Apple et certaines banques, le HCE est la possibilité d’entrer sur le marché du paiement de proximité NFC, sur les terminaux de paiement électroniques sans contact de plus en plus installés dans le monde SANS passer d’accord avec les opérateurs télécom. C’est ce que Google avait déjà essayé de faire avec UN seul opérateur mobile aux US ce qui avait engendré en réaction la création d’Isis,  par les opérateurs mobiles US, le paiement par mobile NFC sécurisé par la SIM.

De l’autre coté, MasterCard et Visa Inc, ne peuvent ignorer Google et surtout Android qui représente aujourd’hui 80% des smarphones vendus dans le monde. Ils se veulent agnostiques sur la technologie et si la sécurité est assurée (et c’est sur ce point que probablement tout va se jouer) alors un paiement sécurisé HCE pourra être accepté sur les réseaux de TPE Visa et MasterCard.

Pour le consommateur, l’expérience utilisateur HCE n’est pas encore bien défini. En NFC « standard » / opérateur, le paiement à moins de 20 € se fait sans code, instantanément. L’opérateur mobile maitrise la sécurité à travers la SIM. L’obligation d’échange OTA, sur Internet, ou la tokenisation, va forcément allonger le temps de traitement et probablement nécessiter un code coté utilisateur pour toutes les transactions, ce qui réduirait fortement l’intérêt du sans contact pour les petites sommes.

Quelles sont les conséquences pour l’écosystème du NFC ?

Elles sont excellentes car quoiqu’en disent certains articles mal informés, nous sommes toujours dans le NFC. Les mobiles seront NFC, les TPEs le seront, la seule chose qui change, si le HCE devient opérationnel avec un niveau de sécurité aussi important qu’avec un élément de sécurité physique,  sera de pouvoir créer des applications de paiement sans passer par les opérateurs et peut-être (tout est encore flou) sans TSM ou avec un TSM simplifié (d’où la réaction de la bourse à l’égard de Gemalto).

Donc, c’est potentiellement plus d’applications NFC sur Android intégrant le paiement et plus rapidement et cette disponibilité de nouvelles applications est une bonne chose pour les consommateurs et tout l’écosystème y compris les opérateurs mobiles et les fabricants de SIM.

Cela permettrait peut-être même à Paypal de revenir dans le monde du NFC. Qui sait si un jour David Marcus oubliera ses déclarations sur l’inutilité du NFC pour proposer une appli sur mobile utilisant le HCE ce qui pourrait permettre enfin à Paypal de rentrer dans les magasins en utilisant les TPE des commerçants ! Et ce serait peut-être même une raison suffisante pour Apple d’ajouter du NFC sur l’iPhone 6, un NFC light n’utilisant pas la SIM comme élément de sécurité, mais permettant à Apple de contrôler, sa propre version du NFC seule.

Ceci dit, il reste tellement de questions en suspens en terme de sécurité et de certifications correspondants, d’ergonomie, de standardisation, de support en cas de problème, de données bancaires dans le cloud et quel cloud, qu’il est réellement très difficile de savoir ce qui va se passer dans les prochains mois.

Coté des sociétés proposant le HCE, le challenge va être de prouver à tous les acteurs, à commencer par les consommateurs, que cette manière d’effectuer du paiement sans contact de proximité, est aussi pratique, rapide, ergonomique ET surtout, aussi sûr, malgré l’abandon d’un élément physique de sécurité et cela va prendre de nombreux mois. Ce nouveau terrain de jeu dans le cloud va aiguiser la curiosité des hackers et du résultat de leur travail dépendra le futur du HCE. En attendant, l’infrastructure cartes,  mobiles, TPE et applicatifs se déploient et vous pouvez l’utiliser dès aujourd’hui. Nul doute que ce sujet sera au cœur de nombreuses conversations au Mobile World Congress qui commence ce matin à Barcelone et nous y sommes.

A suivre.

Pierre Métivier

(*) L’annonce Visa vient de Visa Inc qui s’occupe de tous les pays sauf l’Europe. Elle est bien sûr importante mais , sauf erreur de ma part,n’engage les entités Visa européennes qui supportent le NFC depuis longtemps et n’a pas été relayée.

Pour aller plus loin :

L’objet comme antenne d’une étiquette RFID, un des projets présentés à la Conférence du Pôle SCS

Pole SCS

Pole SCS

Le 30 janvier 2014, live from Sophia-Antipolis, le Pôle SCS, le pôle d’innovation des Solutions Communicantes Sécurisées, a présenté le déploiement de sa stratégie d’innovation, en s’appuyant sur 3 SSA – Smart specialisation Areas : Sans contact; Réseaux, M2M & Services Mobiles; Sécurité & Identités Numériques. Trois grands sujets et six tables rondes très concentrées (les anglo-saxons diraient shoe-horned) en une matinée associant industriels et professeurs, grandes entreprises, PME et startup . Nous nous focaliserons sur les trois premières tables rondes plus technologiques et donc sur ce projet innovant en matière d’étiquettes RFID.

Enjeu technologique Stockage Sécurisé et Cloud

Enjeu technologique Stockage Sécurisé et Cloud

La première table ronde, animée par Christian Bonnet, Professeur EURECOM, a abordé le sujet « Enjeu technologique Stockage Sécurisé & Cloud » avec SecludIT, HP, le laboratoire I3S, Orange Labs. Pour Christian Bonnet il faut « S’entendre sur la sémantique, le vocabulaire des données – pouvoir se comprendre. » Sur les protocoles et les standards de l’internet des objets, il cite OneM2M.  Le groupe de travail Big Data du Pole SCS représenté par Pierre Baudelle, Marketing Manager, Hewlett Packard, présente ses travaux. Pour Thierry Nagellen, Orange Labs, les caméras de surveillance et autres réseaux dédiés sont faciles à pirater, de même pour l’internet des objets et autres objets connectés type Nest ou frigo à base de réseaux privés et publics. Il y a un réel manque de sécurité. Autre exemple, l’iPhone n’est pas plus sécurisé, une heure de cours permettrait à chacun de savoir comment récupérer toutes les informations personnels stockées. La solution à tout cela pour Thierry Nagellen, la SIM bien sûr. Sergio Loureiro, CEO & Fondateur de la société, SecludIT, propose une solution de sécurité dans le cloud  et présente le CSA – Cloud Security Alliance.  Même constat sur la sécurité. Même sur les Amazon Web Services, il y a des failles de sécurité / machines virtuelles. Karima BOUDAOUD, Maitre de Conférences Laboratoire I3S, UNS, se focalise sur la sécurité des consommateurs. « Quand vous pensez sécurité, pensez aux utilisateurs finaux« .

Cette première table ronde a abordé sans ménagement les sujets de sécurité du monde connecté, l’importance de la sécurité à tous les niveaux dans l’internet des objets, le cloud, le M2M mais sans aborder la notion de degré ou de gestion de risque. On n’a pas besoin de protéger de la même manière les données d’un passeport électronique et d’un Parrot Flower Power.

Enjeu Technologique Gestion et portabilité des services avec protection des données

Enjeu Technologique Gestion et portabilité des services avec protection des données

Deuxième table ronde « Enjeu Technologique Gestion et portabilité des services avec protection des données » animée par Laurent Manteau de Gemalto avec Neowave et le CEA Leti. Laurent présente une infrastructure où les termes – Global Platform System messaging, open mobile, API, SWP et HCI se cotoient. Ses mots-clé sont confiance, innovation, échelle / « scalabilité », valeur d’usage et services, associant l’importance des TSM au développement de l’écosystème NFC, et cite le rôle du Forum SMSC comme acteur-clé pour évangéliser les services mobiles sans contact. Merci Laurent (1) Assia Tria, responsable du département, Systèmes et Architectures Sécurisées, ENSMSE & CEA Leti prononce la phrase du jour en faisant allusion à l’affaire Snowden « De l’internet des objets à l’internet des espions, c’est bien pour la communauté de la sécurité. » communauté très représentée dans cette matinée et au sein du Pôle. Assia cite un exemple de problèmes de données personnelles non sécurisées avec le site booking.com. L’hotelier reçoit en clair avec la réservation toutes les infos CB du client. Le « privacy by design » devrait être la règle et chaque citoyen doit également se protéger. Enfin, Michel Leduc, VP du SSA Sécurité et Identités Numériques et VP MarCom, Neowave nous parle de simplifier cet écosystème du sans contact ainsi que de l’importance d’offrir d’autres objets NFC que le mobile ou la carte (en l’occurrence des clés USB connectés) et de laisser le choix au consommateur.

Enjeu Technologique Radiofréquence RFID

Enjeu Technologique Radiofréquence RFID

La dernière table ronde abordée dans ce compte-rendu est intitulée « Enjeu Technologique Radiofréquence RFID » animée pas Christophe Loussert, VP SSA Sans Contact, VP, RFID Integration Tagsys avec également IM2NP, LEAT. Philippe Pannier Professeur des Universités, Responsable Equipe RFID – Capteurs Laboratoire de l’IM2NP aborde le sujet de la récupération d’énergie radio fréquence / « energy harvesting », un vrai sujet déjà abordé dans ce blog, parle de RFID imprimé, d’étiquette RFID complexe ultra-wide band pour la localisation, UHF pour l’identification, et des possibilités de tout imprimer sur papier. Il évoque le projet Tacites, le rapprochement de la RFID UHF et HF / NFC, un projet dont le Proof of concept, a été réalisé mais qui peine à trouver son marché – voire sur le sujet cet article du blog. Robert Staraj, VP SSA Sans Contact, Prof. des Universités, du Labo LEAT UNS, Université Nice aborde le développement des antennes RFID. Tout comme le fameux choix cornélien entre Qualité vs. Temps vs. Coût – bien connu des chefs de projets (2), le design des antennes propose des choix entre efficacité vs. miniaturisation vs. bande passante vs. energie. Le sujet de la réduction de la taille des antennes est important pour le marché des « wearables ». Cette session a été sponsorisée par Mr Maxwell et ses équations qui permettent toujours le calcul des antennes RFID.

La phrase « Evitons de cuire l’être humain » a été prononcée, image osée, signifiant, réduisons l’énergie émise et reçue pour les échanges radio-fréquences à travers l’étude de nouvelles formes d’antenne et justement … le dernier intervenant et animateur de la table ronde est Christophe Loussert de Tagsys.

Comment intéresser un ingénieur au RFID !

Comment intéresser un ingénieur au RFID !

L’Europe a raté le 1er lancement de la RFID UHF malgré une avance technologique au départ et des sociétés compétentes et leader. 3 Milliards d’étiquettes RFID UHF ont été vendus en 2013. Pour Christophe, la deuxième vague sera la RFID UHF intégrée directement aux objets car en associant les ondes mécaniques et l’électromagnétisme, il est possible d’augmenter la portée des tags RFID UHF. Par exemple, l’utilisation de certains éléments d’objets comme les branches de lunette en tant qu’éléments mécaniques, on renforce la puissance de l’antenne RFID et améliore ses performances. Ces éléments de l’objet deviennent partie prenante de l’étiquette, sous forme de dipôle. Comme le décrit Christophe, les branches de lunette, les armatures d’un soutien-gorge ou la collerette métallique d’une bouteille agissent comme une antenne (électrique), bien plus efficace que le tag seul (antenne magnétique). L’antenne électrique en UHF fait 15 cm (lambda/2) ce qui est à peu près ce que l’on a dans ces objets.

De plus, Tagsys travaille également sur un tag HF et UHF, comme dans le projet Tacites, pour combiner à la fois :

  • UHF pour avoir une portée en mêtre avec un petit tag sur un objet « sympathique » dans le sens porteur d’une antenne électrique
  • HF pour donner accès à des centaines de millions de mobiles NFC capable de le lire

Un projet à suivre donc dans le cadre du développement des objets connectés.

Une conférence passionnante, ayant abordée tous les sujets couvert par le Pôle : sécurité, cloud, IoT, RFID, sans contact, à la fois par les cotés technologies, applicatifs et marché (retail, transport, santé) : ces derniers sujets non couverts dans ce bref compte-rendu, une pléthore de sujets qui auraient mérité une journée complète pour couvrir sereinement leurs richesses et le nombre des intervenants.

A suivre.

Pierre Métivier

Notes

(1) L’auteur de cet article est délégué général du Forum SMSC salué par Laurent
(2) et de mes élèves de Neoma Business School que je salue.

Ce compte rendu ne relate pas les trois tables rondes applicatives qui ont suivi autour du transport (à laquelle l’auteur de cet article participait), du retail et de la santé, pourtant également très intéressantes ni la Présentation des Priorités & du Plan Animation 2014 du Pôle SCS par Georges Falessi. Merci aux organisateurs et l’ami Julien Bonnel de Laser Symag qui non seulement a brillamment participé à sa table ronde sur le retail mais m’a apporté un support logistique et transport bien utile. Merci à toi.

Aller de l’avant (ou pas) : la presse face aux défis du numérique aux Mardis de l’Innovation

La presse et les défis du numérique

La presse et les défis du numérique

Dématérialisation et désintermédiation, les deux compères du monde numérique. La semaine a été riche de ces deux concepts sans qu’ils soient toujours nommés, que ce soit au sujet d’Uber et des taxis parisiens ou la une de Libé de ce samedi. Et pourtant, il se crée de nouvelles entreprises, en particulier coté presse dans ce contexte qui semble peu propice. C’est donc le moment de revenir sur une séance des Mardis de l’Innovation de Marc Giget, du 21 janvier 2014 sous le titre « Lancer un magazine d’innovation, Web, papier, hybride… en période de crise« .

« La presse magazine fait face à une révolution marquée par la multiplication des nouveaux formats Web, papier, hybrides… l’expansion du gratuit, dans un contexte de réduction et de redistribution des budgets publicitaires. De nombreux titres disparaissent parallèlement à la multiplication d’initiatives très créatives. Evolution du contexte de la presse magazine et stratégies de nouveaux acteurs, dans le domaine des magazines ciblés sur l’innovation, les changements de paradigmes et le progrès humain. »

Nos trois intervenants sont Gérard Ayache pour Up Magazine, Jérome Ruskin pour Usbek et Rica et Maryline Passini pour le blog Proâme.

Gérard Ayache, Up Magazine

Gérard Ayache, Up Magazine

L’idée de Up Magazine vient de la vision d’un ballet mélangeant le corps humain, la machine et le numérique.  Une idée : « Déchirer l’écrasant filet de pessimisme qui enserre les esprits et amène à l’immobilisme. » Mélanger le son, l’image, la vidéo – éléments mixés, « hybridés« . Esthétisme. Dans Up, il n’y a pas que des innovations technologiques mais aussi sociétales. (Rappelons qu’il n’y a qu’en France qu’innovation est synonyme de technologie. #ndlr) Up cherche les innovations, les signaux faibles, les mutations de toute sorte. Séparer le bon grain et l’ivraie, repérages, décryptages. Up, c’est une vingtaine de journalistes et de contributeurs. 4000 articles, 100 K visiteurs et 500 K pages/mois. La stratégie de développement est en cours, y compris à travers un modèle de paiement « intelligent » (sans plus de précision). Une levée de fonds en cours, pas de version papier, un « pure player ». Pas de pub dans le sens bannières pour des raisons d’esthétisme mais rubriques sponsorisées. donc … 😉

Jérôme Ruskin et Marc Giget

Jérôme Ruskin et Marc Giget

Deuxième intervenant, Jérôme Ruskin, fondateur d’Usbek et Rica qui a apporté quelques exemplaires du dernier n° de la revue avec 48 heures d’avance sur les kiosques. Merci ! Pour la petite (et la grande histoire), Usbek et Rica sont les deux personnages des Lettres persanes de Montesquieu, apportant, par leurs échanges, une vue critique de la France du début du 18ème siècle (*). Jérome se propose de « Démocratiser la prospective » et ceci depuis depuis 2008. Mais c’est aussi participer et batir ce changement en utilisant un prisme sociologique. Il n’y a aucun journaliste de formation dans la rédaction sans que ce soit un parti pris. Usbek et Rika est une entreprise de presse spécialisée dans la prospective, dont le contenu est distribué sous de nombreuses formes que ce soit en B2C directement à travers le magazine papier qu’en B2B à travers des sites d’entreprises comme le magazine Pulse d’EDF ou le FutureMag d’Arte. Usbek & Rica en version papier existe depuis 2010, sous forme d’un trimestriel. Un magazine pour comprendre le monde qui vient. C’est aussi donc une offre « corporate » vers les entreprises suite à une première demande « aidez nous à comprendre le futur« . Des applications mobiles/tablettes sont en cours de réalisation comme l’application Futur – l’appli qui explore le futur. A suivre hahstag #futurit et un nouveau site web. C’est enfin l’animation de l’événement « Le tribunal pour les générations futures » et des livres. Pulse, réalisé par Usbek et Rica, pour EDF est plus lu que le magazine. Le B2B participe à la démocratisation du futur. Usbek et Rica est une entreprise de presse et non une agence, elle fait travailler des journalistes et se développe à travers une vision très claire de l’entreprise et de ses acteurs (ce qui semble manquer aux journalistes de Libé à en croire la une du jour – CQFD) Jérôme enfonce le clou « La presse, c’est le Moyen-Age, imprimer 28 000 exemplaires pour en vendre 15,000, c’est honteux ! »

Maryline Passini, Proâme

Maryline Passini, Proâme

Troisième intervenante, Maryline Passini et son blog Proâme, le blog du changement d’époque et de société, une intervention centrée sur le contenu et les idées développés dans le blog. Maryline n’aime pas le mot futur. Prévision vs. prospective ? Le débat à peine effleuré est esquivé. Pour Maryline, pessimisme et attentisme sont des freins à l’innovation, aux changements positifs. (Yes ! #NDLR) Non à la dictature des biens pensants, toujours les mêmes experts dans les médias, quel que soit le sujet. Savoir faire la part des choses, ne pas croire à des livres comme « Population Bomb« , tissu d’ineptie   Maryline cite Michel Maffesoli « Les nouveaux biens-pensants »  « Moi je mets des bémols partout » en défendant un optimisme rationnel. « Les liens valent plus que les biens » et dans son approche, apporte son savoir de prospectiviste à des PME. Les grands chantiers sont le défi climatique « sauver les hommes », les révolutions technologiques, la crise de croissance humaine. Maryline présente les « Magellans de l’avenir« , cite Gaston Berger, se méfie de Ray Kurzweil, fait le tri dans ses idées, le trouve visionnaire tout en se posant des questions sur les limites du transhumanisme. « On se demande si Google ne se prend pas pour Dieu. » Une intervention empreinte d’un bon sens qui se fait trop rare.

A travers ces trois projets, c’est une nouvelle vision de la presse s’appuyant sur les nouvelles technologies, numériques mais aussi sur le papier, sur une coopération saine avec les entreprises,  sur un ensemble cohérent de supports – blogs, mobile/tablettes, TV, apps, réseaux sociaux, conférences, qui nous a été présentés, trois projets optimistes pour se projeter vers l’avant, imaginer, surfer, analyser, prospectiver et créer de la valeur pour les porteurs de ces projets et leurs lecteurs.

A découvrir, à lire et … à suivre.

Pierre Métivier

(*) Les lettres persanes se terminent avec une satire mordante du système de Law (dixit Wikipedia et  j’avoue, je n’ai pas relu le livre pour l’occasion). A mettre en parallèle avec les Bitcoins !

Pour aller plus loin

Vous pouvez retrouver deux des trois interventions (celle de Maryline Passini ne semblant pas être encore en ligne) et bien d’autres, sur le site Viméo des Mardis de l’Innovation

  • Usbek & Rica: naissance d’une nouvelle entreprise de presse spécialisée dans la prospective
  • Naissance de UP’Magazine, le magazine en ligne de l’innovation et de l’économie créative.