Paiement NFC
Nous avons eu récemment les iBeacon, ces balises / boitiers électroniques basés sur la technologies BLE qui vont permettre la géolocalisation d’objets et de personnes, une technologie qui d’après certains médias, aller « tuer » à coup sûr le NFC puisqu’on aller tout faire avec y compris du paiement. Nous avons proposer une explication plus rationnelle dans cet article. Et depuis, Apple a rappelé récemment qu’il n’existe pas encore de spécifications techniques des iBeacons sans compter l’absence de sécurité pour des applications paiement. Et après le BLE, voici maintenant le HCE, qui va également révolutionner le paiement sur mobile et rendre inutile le NFC.
Que faut il comprendre de ces annonces ?
L’information de départ – Visa Inc (*) et MasterCard aux Etats aux Etats-Unis ont annoncé qu’ils allaient « supporter » la technologie HCE. La bourse a pris très au sérieux cette annonce et par exemple l’action Gemalto, l’un des principaux acteurs du monde du NFC a perdu 5% de sa valeur en une journée.
Il faut d’abord comprendre le sujet de la sécurité dans le paiement sur carte et sur mobile pour comprendre les enjeux d’un sujet très complexe.
Partout dans le monde, sauf aux US, la sécurité des transactions cartes bancaires est assurée par une puce bien visible située sur la carte bancaire. Cette puce contient des informations protégées et cryptées qui autorisent les échanges et les paiements lors d’une transaction de proximité, lors de l’introduction de la carte dans le terminal de paiement électronique. Le standard utilisant cet élément de sécurité physique – Secure Element, est appelé EMV (pour Eurocard, MasterCard, Visa). Cette technologie réduit fortement le nombre et le montant des fraudes, beaucoup plus faibles dans les pays l’ayant adoptés : globalement la plupart des grands pays sauf les Etats-Unis. Ces derniers ne l’ont pas fait pour des raisons de coût d’investissement (changement de tous les TPE), des raisons liées au syndrome NIH – Not Invented Here, et le résultat est qu’ils font payer aux consommateurs, à travers le coût de cartes et des taux de crédit, le coût supplémentaire engendré par la fraude. Il faudrait également parler de la notion de CP – Card Present et CNP – Card Not Present ; garantissant la « qualité » de la transaction. Tous les achats frauduleux par carte EMV sont remboursés par les banques.
Dans le cadre d’un paiement sans contact par carte, le niveau de sécurité à travers cet élément physique est également assuré globalement de la même manière.
Dans le cas d’un paiement mobile NFC, l’élément sécurisé, le SE – Secure Element sous forme matériel, comme la puce de la carte, avait jusqu’à présent trois formes – la SIM de l’opérateur mobile, une microSD que l’on rajoute lorsqu’un slot est disponible sur le mobile, ou un circuit spécifique du mobile – le embedded SE. La SIM est le choix de la plupart des banques associées aux opérateurs mobiles – il est le plus sûr mais a un coût, lié à la location de l’espace protégé sur la SIM appartenant à l’opérateur mobile et l’utilisation de TSM – Trusted Service Managers, des plateformes assurant la sécurité des échanges de données.
Android Kitkat et HCE (c) Bell Id
Le HCE pour Host Card Emulation, introduit par Google dans Android KitKat, propose donc la sécurisation de la transaction dans le cloud. Ce système est également appelé Secure Element in the Cloud par Bell Id. Cela consiste globalement à placer les clés de déchiffrement du numéro de carte dans l’appli stockée dans la mémoire non sécurisée du mobile et autoriser un paiement suite à des échanges OTA – Over The Air nécessitant de la connectivité, ou, lorsque il n’y a pas d’accès Internet, cela engage un système complexe de tokenisation.
En simplifiant, ce tableau résume le parallèle carte et mobile entre les US et le reste du monde.
|
|
Carte
|
Mobile
|
|
Europe et
Reste du monde
|
EMV -> Moins de fraude
|
SE physique – SIM, microSD, embedded element – Moins de fraude (equivalent cartes)
|
|
US
|
Pas de EMV -> Plus de fraude |
HCE – Cloud based – Pas de SE physique – Niveau de fraude potentiel inconnu
|
Pourquoi ces annonces font elles réagir les acteurs ?
Côté acteurs de l’internet américain, comme Google, Paypal et potentiellement Apple et certaines banques, le HCE est la possibilité d’entrer sur le marché du paiement de proximité NFC, sur les terminaux de paiement électroniques sans contact de plus en plus installés dans le monde SANS passer d’accord avec les opérateurs télécom. C’est ce que Google avait déjà essayé de faire avec UN seul opérateur mobile aux US ce qui avait engendré en réaction la création d’Isis, par les opérateurs mobiles US, le paiement par mobile NFC sécurisé par la SIM.
De l’autre coté, MasterCard et Visa Inc, ne peuvent ignorer Google et surtout Android qui représente aujourd’hui 80% des smarphones vendus dans le monde. Ils se veulent agnostiques sur la technologie et si la sécurité est assurée (et c’est sur ce point que probablement tout va se jouer) alors un paiement sécurisé HCE pourra être accepté sur les réseaux de TPE Visa et MasterCard.
Pour le consommateur, l’expérience utilisateur HCE n’est pas encore bien défini. En NFC « standard » / opérateur, le paiement à moins de 20 € se fait sans code, instantanément. L’opérateur mobile maitrise la sécurité à travers la SIM. L’obligation d’échange OTA, sur Internet, ou la tokenisation, va forcément allonger le temps de traitement et probablement nécessiter un code coté utilisateur pour toutes les transactions, ce qui réduirait fortement l’intérêt du sans contact pour les petites sommes.
Quelles sont les conséquences pour l’écosystème du NFC ?
Elles sont excellentes car quoiqu’en disent certains articles mal informés, nous sommes toujours dans le NFC. Les mobiles seront NFC, les TPEs le seront, la seule chose qui change, si le HCE devient opérationnel avec un niveau de sécurité aussi important qu’avec un élément de sécurité physique, sera de pouvoir créer des applications de paiement sans passer par les opérateurs et peut-être (tout est encore flou) sans TSM ou avec un TSM simplifié (d’où la réaction de la bourse à l’égard de Gemalto).
Donc, c’est potentiellement plus d’applications NFC sur Android intégrant le paiement et plus rapidement et cette disponibilité de nouvelles applications est une bonne chose pour les consommateurs et tout l’écosystème y compris les opérateurs mobiles et les fabricants de SIM.
Cela permettrait peut-être même à Paypal de revenir dans le monde du NFC. Qui sait si un jour David Marcus oubliera ses déclarations sur l’inutilité du NFC pour proposer une appli sur mobile utilisant le HCE ce qui pourrait permettre enfin à Paypal de rentrer dans les magasins en utilisant les TPE des commerçants ! Et ce serait peut-être même une raison suffisante pour Apple d’ajouter du NFC sur l’iPhone 6, un NFC light n’utilisant pas la SIM comme élément de sécurité, mais permettant à Apple de contrôler, sa propre version du NFC seule.
Ceci dit, il reste tellement de questions en suspens en terme de sécurité et de certifications correspondants, d’ergonomie, de standardisation, de support en cas de problème, de données bancaires dans le cloud et quel cloud, qu’il est réellement très difficile de savoir ce qui va se passer dans les prochains mois.
Coté des sociétés proposant le HCE, le challenge va être de prouver à tous les acteurs, à commencer par les consommateurs, que cette manière d’effectuer du paiement sans contact de proximité, est aussi pratique, rapide, ergonomique ET surtout, aussi sûr, malgré l’abandon d’un élément physique de sécurité et cela va prendre de nombreux mois. Ce nouveau terrain de jeu dans le cloud va aiguiser la curiosité des hackers et du résultat de leur travail dépendra le futur du HCE. En attendant, l’infrastructure cartes, mobiles, TPE et applicatifs se déploient et vous pouvez l’utiliser dès aujourd’hui. Nul doute que ce sujet sera au cœur de nombreuses conversations au Mobile World Congress qui commence ce matin à Barcelone et nous y sommes.
A suivre.
Pierre Métivier
(*) L’annonce Visa vient de Visa Inc qui s’occupe de tous les pays sauf l’Europe. Elle est bien sûr importante mais , sauf erreur de ma part,n’engage les entités Visa européennes qui supportent le NFC depuis longtemps et n’a pas été relayée.
Pour aller plus loin :
Avec ou sans contact 
je m’intéresse beaucoup à ces questions
Merci pour ton article !
Ping : Mobile World Congress 2014 : un compte rendu spécial NFC et Internet des objets | Avec ou Sans Contact
Bonjour,
Tout d’abord j’aimerais vous féliciter pour la clarté de votre article.
J’aurais aimer avoir une précision au sujet du HCE, en effet la SE est placé dans le cloud, le consommateur pourra simplement récupérer les informations dont il a besoin dans le cloud.
Pourriez-vous m’éclairer sur les faiblesses de ce système, où sont exactement les failles de sécurité ?
Merci
Ping : Bref compte rendu du Mobile World Congress 2015 | Avec ou Sans Contact