Archives pour la catégorie Sans contact

Forum CB 2018, la carte bancaire dans tous ses états !

Forum CB 2018

Forum CB 2018

Le 3 octobre 2018 s’est tenu le Forum CB, un conférence annuelle organisée par le Groupement Cartes Bancaires à la Maison de la Chimie. Et les sujets n’ont pas manqué (parcours client, données, RGPD, confiance, …) Des intervenants de provenances variés y compris en dehors du cercle bancaire ont permis des débats animés et moins techniques qu’il n’y parait pour une conférence autour des systèmes de paiement. Morceaux choisis des interventions et débats plus ou moins édités et commentés, forcémment incomplets.

Pascal Célérier CB

Pascal Célérier CB

Pascal Célérier, le président du Conseil de Direction, Groupement CB a présenté quelques données de marché – 2 milliards de paiements sans contact NFC annuel en France en route vers les 3 milliards, une des rares fois de la journée où le paiement carte sans contact sera abordé, preuve de son acceptation par le grand public. 10 millions de paiement sans contact mobile ont également été annoncés ce qui est la fois beaucoup et très peu par rapport à la masse des paiements cartes. (Ceci dit, rappelons nous les débuts poussifs de la carte de paiement sans contact et tournons nous vers la Chine pour prendre du recul par rapport à cette information – NDLR). Enfin, le système cartes bancaires en France a le taux de fraude le plus bas au monde à 0,034%. Pascal Célérier ne croit pas au grand soir du paiement. L’instant paiement, les paiement alternatifs, le paiement par mobile ont leur rôle mais le socle reste la carte.

Eric Salobir

Eric Salobir

Et donc un premier intervenant médiatique « différent » au Forum CB, le Frère Eric Salobir, Président OPTIC, dont l’intervention se nomme « Digitalisation de l’économie, enjeux et place de l’humain dans ce monde de plus en plus technologique ». M. Salobir nous parle de confiance, ou plutôt, du manque de confiance dans les technologies. Il cite Descartes (Tabla rasa) pour parler de la rupture apportée par les nouvelles plateformes type Uber. Il faut que les mots aient la même valeur pour tout le monde, l’interopérabilité a été permise jusqu’à présent par les institutions. La blockchain casse ce modèle de confiance pour la remplacer par une confiance dans les algorithmes. (« Code is law », pour cité Lawrence Lessig NDLR). Non sans humour, il nous dit « La religion est un « business » basée sur la confiance. » Mais il existe un décalage entre la « parole » (double sens ? NDLR) et les faits. Il faut repolitiser la technologie, un sujet trop sérieux pour la confier aux technologistes, paraphrasant Clémenceau. Foi et confiance ont la même racine latine rappelle Martial You, RTL, l’animateur de la journée, avant de présenter la première table ronde.

Forum CB TR1

Forum CB TR1

Cette première table ronde porte sur la confiance et les sources de données. « A l’ère de la donnée, dont on dit que c’est le nouveau carburant de l’économie, les relations de confiance qui unissent acteurs économiques et citoyens sont en train de changer de nature. Il n’est pas d’économie sans confiance et il n’est plus d’innovation sans données. Le rôle des tiers de confiance est dès lors central et banques comme commerçants sont en première ligne. » avec Denis Jacquet, Président, «Parrainer la croissance», Stéphane Hugon, Sociologue et Claire Levallois-Barth, Maître de conférence, Telecom ParisTech.

Nous apportons notre confiance de façon légère nous dit Denis Jacquet. Qui connait personnellement Jeff Bezos ? Comment expliquer la méfiance autour de Linky, le compteur « connecté » d’EDF et la confiance (traduit par les achats) autour des assistants vocaux /enceintes connectés type Google Home ou Amazon Echo, ose Martial You avec raison. Toujours pour Denis Jacquet, le plan IA en France est « pathétique ». Confiance, données, RGPD, on doit parler d’autres choses, de l’avenir, de notre avenir. Claire Levallois-Barth, Telecom ParisTech présente l’étude « Signes de confiance – l’impact des labels sur la gestion des données personnelles ». Il y a un monde au delà de la seconde qui suit. Message à faire passer à nos ados pour Denis Jacquet. Rétablir la confiance dans l’avenir, un projet pour le Groupement CB. Pour Stéphane Hugon, l’individu est une « invention » occidentale, le concept n’existe pas en Asie. ça explique la différence de perception de la confiance entre l’Europe et l’Asie. La valeur est dans le vide. La richesse est dans les interactions. Importance de l’empuissancement (empowerment et merci à nos amis québecois) des consommateurs.

Forum CB TR2

Forum CB TR2

« Les systèmes de paiement : vers plus d’indépendance et de souveraineté ? » est le thème de la deuxième table ronde. La question posée : « Alors que les tendances économiques poussent vers toujours plus de globalisation, nombre de choix politiques récents s’orientent vers plus d’indépendance et de souveraineté des territoires. Comment se conjuguent ces apparentes contradictions pour les systèmes de paiement nationaux en Europe et dans le monde ? » avec Matthias Hönisch, GiroCard (Allemagne),  Thierry Huque, Bancontact-Payconiq (Belgique), Juan-Carlos Martin, STMP(Espagne), Cédric Sarazin, Groupement CB (France), Zhihong Wei, UnionPay (Chine)

Pour Thierry Huque, Bancontact-Payconiq, la technologie « système de paiement » est chère. Soit vous investissez dans des technos propriétaires, soit vous utilisez les technos des autres, soit vous collaborez et c’est notre choix. Cédric Sarazin rappelle que le Groupement CB a toujours coopéré avec les autres schemes comme Visa et Mastercard et désormais UnionPay. UnionPay est devenu plus important que ces derniers, d’où l’accord signé le 19 juillet 2018. Il ne faut pas oublier les autres schemes européens et leur interconnexion à travers le Projet ECBI (pas sûr de l’acronyme — NDLR) Est-ce que le paiement mobile signifie la fin de la carte physique ? On en est loin pour Thierry Hughe. Les paiements mobiles n’ont pas encore dépassé la carte en Chine (21% des paiements) pour Zhihong Wei, UnionPay. Le marché du paiement mobile chinois est divisé entre deux technologies : NFC et QRCode. Pour Cédric Sarazin, l’intérêt des consommateurs sur la protection des données oblige à changer fondamentalement les systèmes de paiement, tout comme les paiements instantanés.

Forum CB TR3

Forum CB TR3

Troisième table et dernière table ronde Respect de la vie privée, sécurité et fluidité des parcours clients : une équation impossible ou une opportunité ? avec Karine Boubel, Directeur Juridique, Groupement Cartes Bancaires, Jean-Michel Chanavas, Délégué Général, MERCATEL, Bilal El Kouche, Directeur Groupe Paiement, VentesPrivée.com, Loÿs Moulin, Directeur du Développement, Groupement Cartes Bancaires. La question posée par la table ronde : «  A l’heure du RGPD et du RTS, peut-on répondre à la triple d’exigence de renfort des dispositifs de sécurisation, de demandes de parcours clients toujours plus fluides et de respect de la vie privée des consommateurs ? Que propose CB ?  » 

La RGPD permet de recréer de la confiance dans les marques. La RTS, une norme technique d’un article de la DSP2 pour sécuriser les transactions en ligne – authentification forte pour Karine Boubel, Directeur Juridique, Groupement Cartes Bancaires.

Pour les représentants du commerce sur la table ronde, la RTS et l’authentification forte ne sont peut-être pas les meilleures solutions.  » Pour vous vendre un rosbif, le boucher n’a pas besoin de vos informations personnelles  » nous rappelle Jean-Michel Chanavas, Délégué Général, MERCATEL. Il y a une différence entre « je te donne des infos, je reçois des promos » et une relation de confiance entre un commerçant et son client qui passe par la relation humaine.
Prendre les régulations comme des opportunités. Les RTS sont liés à la fraude, nécessaire dans le e-commerce à cause des fraudes beaucoup plus importantes en ligne qu’en paiement carte en magasin physique. La fraude en ligne, c’est un vrai problème mais une mauvaise solution. Laissons l’écosystème gérer le problème.

 » On n’a jamais acheté de data, on n’a jamais vendu de data « . La confiance des clients est clé pour notre business nous dit Bilal El Kouche, Directeur Groupe Paiement, VentePrivée.com
La fraude en ligne est un vrai sujet, l’authentification forte (type 3D-Secure non cité) est une vraie friction / frein pour les ventes. La reconnaissance faciale (par selfie) est mieux acceptée par les jeunes générations. (Non dit, la sécurité est une question de coût par les entreprises. Si le coût de la sécurité est plus important que la perte de CA liée à la fraude correspondante, certaines entreprises acceptent la fraude. #NDLR)

Pour Loÿs Moulin, Directeur du Développement, Groupement CB, dans le RTS, il y a 2 dimensions : l’authentification forte et la sécurisation des échanges. Payer sans passer à la caisse, ça me fait penser à Raymond Devos. (Pas sûr qu’Amazon se soit inspiré de Devos pour créer ses magasins sans caisse – NDLR) Il est nécessaire que les systèmes d’authentification soient acceptés par les consommateurs, Biométrie – 50% prêt et donc 50% pas prêt, c’est encore moins bon pour les selfie ou la reconnaissance des veines.

Le LabByCb a profité de l’événement pour présenter une carte CB sans contact ET à authentification biométrique pour encore plus de sécurité. Une expérimentation en conditions réelles sera lancé début 2019. La démonstration sur le stand du LabByCB était fonctionnelle.

De même que les produits et services présentés par les startups suivis et encouragés par le LabByCb.

Philippe Laulanie CB

Philippe Laulanie CB

L’écosystème du groupe va bien, nous dit Philippe Laulanie, directeur général de Groupement CB, en conclusion, que ce soit en magasin ou en ligne (90% du paiement en ligne est en carte). La place du consommateur est à son centre. Audace, sérénité, constance et ouverture sont les valeurs gouvernant l’action du Groupement CB. Avant de développer les aspects technologiques, il faut réunir les hommes et créer une stratégie. Développer la confiance des français et des européens sur le premier scheme européen. Et ouvrir, interconnecter les schemes dans la sécurité en gardant l’indispensable confiance. CB, un atout français et européen, moteur de croissance et d’innovation au service de la confiance.

Enfin, en terme de confiance, nous devrions prendre exemple sur les abeilles et la ruche. (Ceci dit, même si la notion de solidarité semble présente chez les abeilles, la notion de confiance existe-t-elle ? Ou alors peut-être, dans une version plus asiatique qu’européenne. Dans tous les cas, les abeilles, c’est bien aussi pour faire le buzzzzzz – NDLR). 

A suivre !

Pierre Métivier

@PierreMetivier

Pour aller plus loin

Cybersécurité – Evikey et Evicard ou la technologie NFC au service de la sécurité de vos données personnelles

Evitag et Evicard by FullSecure

Evitag et Evicard by FullSecure

La sécurité des mots de passe et autres informations type cartes bancaires est un enjeu majeur à l’heure où nos activités quotidiennes (services bancaires, achats en ligne, réseaux sociaux, messageries) se passent de plus en plus derrière un écran. Pouvoir protéger ses données d’accès confidentielles n’est pas un luxe mais une nécessité. Pour cela, des solutions existent, ce sont les gestionnaires de mots de passe, des « coffres forts électroniques » des solutions logicielles comme Dashlane ou 1Password, souvent payantes sur abonnement, avec vos informations parfois en local mais le plus souvent dans le cloud ( » l’ordinateur de quelqu’un d’autre  » en reprenant la définition de Tristan Nitot). Vous trouverez en bas de ce billet deux comparatifs de ce type de solutions.

Un nouveau type de gestionnaire de mots de passe vient d’être créé par la société andorrane, FullSecure. C’est une entreprise spécialisée dans la cybersécurité. Parmi ses produits, les clés USB – Evikey et les disques durs – Evidisk sont déjà sécurisés par la technologie NFC, l’accès aux données n’étant possible qu’après un échange sans contact entre ses deux appareils et le mobile NFC de l’utilisateur. L’entreprise propose désormais deux gestionnaires de mot de passes physiques, uniques par leur sécurisation matérielle permise par la technologie NFC, sous forme de carte (Evicard NFC) ou de porte-clés / keyfobs (Evitag NFC).

Chaque opération de lecture ou d'écriture est sécurisée par tag NFC

Chaque opération de lecture ou d’écriture est sécurisée par tag NFC

Avant la première utilisation, il est nécessaire de lier le mobile et le gestionnaire de mots de passe (le porte-clés ou la carte) grâce à une clé d’appairage unique fournie avec les devices. Une fois cette opération effectuée, en place et lieu d’un mot de passe maitre et unique qui sécurise l’accès à tous les autres comme dans les solutions logicielles, tous les échanges (lecture et écriture) entre votre gestionnaire de mot de passe et le mobile se font à travers un échange sans contact, en approchant le porte-clés (ou la carte) du mobile. Aucun élément ne transite par le cloud, les données confidentielles sont stockées dans le porte-clés ou la carte NFC, chiffrées en temps réel en AES256. Evitag et Evicard fonctionnent en relation avec des mobiles Android uniquement mais il est possible d’automatiser l’accès à des sites web sur mobile et PC à travers Google Chrome ou Mozilla Firefox. Une fois le plugin de connexion automatique Evilock NFC installé et le lien effectué entre les éléments du compte (identifiant et mot de passe) ou les éléments d’une carte bancaire et d’un site web d’ecommerce par exemple, l’accès à votre service de vente en ligne ainsi que les paiements sont sécurisés par un « tap » de la carte ou du porte clé sur le mobile sans autre manipulation avec une sécurité maximum. Un site https://ai.server.evilock-nfc.com/ référence les sites compatibles avec la connexion automatique proposée par Evilock NFC.

Evitag est vendu sous la forme de deux porte-clés ce qui permet de d’avoir un backup de ses mots de passe en cas de perte d’un des portes clés, l’option Clone permettant facilement la copie du contenu d’un porte-clés sur l’autre (un porte-clés précédemment appairé avec sa clé unique bien sûr). Un grand nombre de fonctions standard dans ce type de services type génération de mots de passe sont disponibles, d’autres plus rares en particulier sur les différents niveaux de sécurisation de par l’utilisation d’un élément physique de sécurisation. De nombreuses vidéos sont disponibles pour comprendre la mise en place et l’utilisation d’Evikey et Evicard sur le site YouTube de l’entreprise. Vous trouverez également toutes les caractéristiques techniques sur le site de l’entreprise, en fin de ce post.

Accessibles au grand public, les Evitag et Evicard peuvent également être gérées par un gestionnaire de flotte pour une utilisation en entreprise. Leur utilisation permet d’éviter le hameçonnage (phishing) et le typesquattage (typesquatting). Evicard possède spécifiquement la fonction « Privacy Message« , qui permet d’envoyer des  » messages privés chiffrés entre EviCard NFC appairées à distance en blockchain physique « . Il est possible de créer et gérer jusqu’à 64 contacts sur un nombre illimité de serveurs de messagerie rendus disponibles en open source ».

Seul manque à signaler à ce jour : de par l’utilisation du NFC et la lenteur d’implémentation complète de ce protocole par Apple sur l’ensemble de sa gamme (même si petit à petit, on y arrive, lire En marge des annonces Apple, la technologie NFC de plus en plus présente sur iPhone ), les solutions Evitag et Evicard ne sont disponibles que sur mobile Android (soit globalement 80% du marché des smartphones). Il faudra encore attendre pour les détenteurs d’iphone.

A notre connaissance, Evitag et Evicard sont les seules solutions de gestion de mots de passe matérielles, sécurisées par un élément physique à base de technologie NFC (*).  Si le niveau de sécurisation est l’élément le plus important de votre recherche d’un gestionnaire de mots de passe, alors Evitag et Evicard sont les choix naturels.

A suivre … en toute cybersécurité.

Pierre Métivier
@pierremetivier

Note – Si Evitag et Evicard sont (probablement) les seules solutions de gestion de mots de passe matérielles, à base de protocole NFC et d’éléments sécurisés (SE), d’autres portefeuilles utilisent déjà cette même technologie pour protéger cette fois-ci les monnaies virtuelles de type Bitcoin, le plus connu étant Ledger.

Pour aller plus loin

En marge des annonces Apple, la technologie NFC de plus en plus présente sur iPhone

Annonces iPhone XS et XR (c) CNET

Annonces iPhone XS et XR (c) CNET

Le 12 septembre 2018 a eu lieu l’Apple Event, la grande messe médiatique pour annoncer les nouveaux produits de la gamme iPhone et iWatch. Comme chaque année, les fonctionnalités sont épluchées, encensées ou décriées. Toujours plus puissant et plus cher. De nouvelles fonctionnalités indispensables ou inutiles, les fans achèteront et les autres ignoreront.

Parmi toutes ces plus ou moins nouvelles fonctionnalités, il y a la technologie sans contact NFC, familière aux lecteurs de ce blog, la technologie derrière le paiement sans contact (cartes, mobiles, bracelets, …), les cartes de transport type Navigo, les clés sans contact d’hôtels, les jeux de consoles comme Skylander ou les Amiibo, l’appairage rapide d’appareils électroniques comme une casque audio ou un appareil photo, la lecture de l’arrivée du prochain bus et d’informations touristiques et bien d’autres applications. Présentes depuis près de 10 ans sur la grande majorité des smartphones en particulier Android, cette technologie arrive au goutte à goutte dans le monde Apple.

Lecture de tag NFC sur iPhone XS

Lecture de tag NFC sur iPhone XS

La première fonctionnalité NFC reprise par Apple a été l’émulation de carte qui permet le paiement sans contact par mobile, à travers Apple Pay, si votre banque a signé un accord avec Apple, ceci depuis l’iPhone 6. Puis, plus récemment, Apple a ajouté la possibilité de lire des étiquettes NFC, en utilisant une application tiers, c’est à dire en lançant manuellement une application avant de pouvoir lire l’étiquette, alors que la magie du NFC sur mobile consiste à pouvoir lancer une application, un site web, lire une carte de visite, simplement en approchant son mobile, sans avoir à charger quoi que ce soit.

C’est cette dernière fonctionnalité, présente donc depuis des années sur Android, qui a été mise à niveau sur les derniers iPhone. Il sera désormais possible au possesseurs d’iPhone XS et XR, d’approcher son mobile d’un tag NFC et de déclencher une action sans avoir à charger une application au préalable.

Format tag NFC pour iPhone XS

Format tag NFC pour iPhone XS

C’est donc une bonne nouvelle pour le marché et de nombreuses sociétés de développement de solutions à base de technologie sans contact ou de fabricants d’étiquettes l’ont salué. Cette annonce devrait relancer de nombreux projets bloqués par le non support d’Apple.

Ceci dit, cette fonctionnalité n’est pas pour tous les iPhones loin s’en faut et nous sommes encore loin d’une utilisation complète des fonctionnalités du NFC. La lecture native des étiquettes NFC en mode NDEF est, à aujourd’hui, réservée aux modèles annoncés hier – iPhone XR, iPhone XS, et iPhone XS Max, modèles vendus à partir de 799 $ à 1.099 $, des modèles haut de gamme donc, rien ne permettant de dire qu’un mobile compatible iOS 12 pourra bénéficier de cette fonctionnalité. Ensuite, il manque toujours aux iPhone, les fonctionnalités émulation de cartes accessibles aux sociétés tierces. Cela signifie dans l’état actuel des annonces connues, la carte Navigo sur mobile, annoncée par Ile-de-France Mobilités, ne pourra pas être développée sur iPhone sans un accord stratégique et un développement commun avec Apple, accord possible puisque Sony/Felica l’a réalisé pour le marché du transport au Japon, le seul cas connu à ce jour. Et il manque toujours le P2P, l’appairage rapide des appareils électroniques type Bluetooth (casques audio, appareil photos, imprimantes …), bien pratique.

Ne boudons pas notre plaisir. C’est un petit mais vrai pas dans la bonne direction. Les influenceurs et les journalistes équipés d’iPhone vont pouvoir tester les applications de lectures de tags, comprendre la puissance de ce qui peut-être réalisé et, comme écrit précédemment, cela devrait relancer l’intérêt pour le développement de services et de produits sans contact. Avec le temps.

A suivre !

Pierre Métivier
@pierremetivier

Note – Cette extension du support NFC a été annoncée en marge de l’événement Apple. C’est en regardant des sites pour développeurs Apple que l’information a été découverte et non une annonce pendant les keynotes, d’où le titre de l’article.

Pour aller plus loin