Archives du mot-clé secure element

Ce qu’il faut retenir des annonces Visa et MasterCard sur le HCE et les conséquences sur l’écosystème NFC

Paiement NFC

Paiement NFC

Nous avons eu récemment les iBeacon, ces balises /  boitiers électroniques basés sur la technologies BLE qui vont permettre la géolocalisation d’objets et de personnes, une technologie qui d’après certains médias, aller « tuer » à coup sûr le NFC puisqu’on aller tout faire avec y compris du paiement. Nous avons proposer une explication plus rationnelle dans cet article. Et depuis, Apple a rappelé récemment qu’il n’existe pas encore de spécifications techniques des iBeacons sans compter l’absence de sécurité pour des applications paiement. Et après le BLE, voici maintenant le HCE, qui va également révolutionner le paiement sur mobile et rendre inutile le NFC.

Que faut il comprendre de ces annonces ?

L’information de départ – Visa Inc (*) et MasterCard aux Etats aux Etats-Unis ont annoncé qu’ils allaient « supporter » la technologie HCE. La bourse a pris très au sérieux cette annonce et par exemple l’action Gemalto, l’un des principaux acteurs du monde du NFC a perdu 5% de sa valeur en une journée.

Il faut d’abord comprendre le sujet de la sécurité dans le paiement sur carte et sur mobile pour comprendre les enjeux d’un sujet très complexe.

Partout dans le monde, sauf aux US, la sécurité des transactions cartes bancaires est assurée par une puce bien visible située sur la carte bancaire. Cette puce contient des informations protégées et cryptées qui autorisent les échanges et les paiements lors d’une transaction de proximité, lors de l’introduction de la carte dans le terminal de paiement électronique. Le standard utilisant cet élément de sécurité physique – Secure Element, est appelé EMV (pour Eurocard, MasterCard, Visa). Cette technologie réduit fortement le nombre et le montant des fraudes, beaucoup plus faibles dans les pays l’ayant adoptés : globalement la plupart des grands pays sauf les Etats-Unis. Ces derniers ne l’ont pas fait pour des raisons de coût d’investissement (changement de tous les TPE), des raisons liées au syndrome NIH – Not Invented Here, et le résultat est qu’ils font payer aux consommateurs, à travers le coût de cartes et des taux de crédit, le coût supplémentaire engendré par la fraude. Il faudrait également parler de la notion de CP – Card Present et CNP –  Card Not Present ; garantissant la « qualité » de la transaction. Tous les achats frauduleux par carte EMV sont remboursés par les banques.

Dans le cadre d’un paiement sans contact par carte, le niveau de sécurité à travers cet élément physique est également assuré globalement de la même manière.

Dans le cas d’un paiement mobile NFC, l’élément sécurisé, le SE – Secure Element sous forme matériel, comme la puce de la carte, avait jusqu’à présent trois formes – la SIM de l’opérateur mobile, une microSD que l’on rajoute lorsqu’un slot est disponible sur le mobile, ou un circuit spécifique du mobile – le embedded SE. La SIM est le choix de la plupart des banques associées aux opérateurs mobiles – il est le plus sûr mais a un coût, lié à la location de l’espace protégé sur la SIM appartenant à l’opérateur mobile et  l’utilisation de TSM – Trusted Service Managers, des plateformes assurant la sécurité des échanges de données.

Android Kitkat et HCE (c) Bell Id

Android Kitkat et HCE (c) Bell Id

Le HCE pour Host Card Emulation,  introduit par Google dans Android KitKat, propose donc la sécurisation de la transaction dans le cloud. Ce système est également appelé Secure Element in the Cloud par Bell Id. Cela consiste globalement à placer les clés de déchiffrement du numéro de carte dans l’appli stockée dans la mémoire non sécurisée du mobile et autoriser un paiement suite à des échanges OTA – Over The Air nécessitant de la connectivité, ou, lorsque il n’y a pas d’accès Internet, cela engage un système complexe de tokenisation.

En simplifiant, ce tableau résume le parallèle carte et mobile entre les US et le reste du monde.

 
Carte
Mobile
Europe et
Reste du monde
EMV -> Moins de fraude 
SE physique – SIM, microSD, embedded element – Moins de fraude (equivalent cartes)
US
Pas de EMV -> Plus de fraude
HCE – Cloud based –  Pas de SE physique – Niveau de fraude potentiel inconnu

Pourquoi ces annonces  font elles réagir les acteurs ?

Côté acteurs de l’internet américain, comme Google, Paypal et potentiellement Apple et certaines banques, le HCE est la possibilité d’entrer sur le marché du paiement de proximité NFC, sur les terminaux de paiement électroniques sans contact de plus en plus installés dans le monde SANS passer d’accord avec les opérateurs télécom. C’est ce que Google avait déjà essayé de faire avec UN seul opérateur mobile aux US ce qui avait engendré en réaction la création d’Isis,  par les opérateurs mobiles US, le paiement par mobile NFC sécurisé par la SIM.

De l’autre coté, MasterCard et Visa Inc, ne peuvent ignorer Google et surtout Android qui représente aujourd’hui 80% des smarphones vendus dans le monde. Ils se veulent agnostiques sur la technologie et si la sécurité est assurée (et c’est sur ce point que probablement tout va se jouer) alors un paiement sécurisé HCE pourra être accepté sur les réseaux de TPE Visa et MasterCard.

Pour le consommateur, l’expérience utilisateur HCE n’est pas encore bien défini. En NFC « standard » / opérateur, le paiement à moins de 20 € se fait sans code, instantanément. L’opérateur mobile maitrise la sécurité à travers la SIM. L’obligation d’échange OTA, sur Internet, ou la tokenisation, va forcément allonger le temps de traitement et probablement nécessiter un code coté utilisateur pour toutes les transactions, ce qui réduirait fortement l’intérêt du sans contact pour les petites sommes.

Quelles sont les conséquences pour l’écosystème du NFC ?

Elles sont excellentes car quoiqu’en disent certains articles mal informés, nous sommes toujours dans le NFC. Les mobiles seront NFC, les TPEs le seront, la seule chose qui change, si le HCE devient opérationnel avec un niveau de sécurité aussi important qu’avec un élément de sécurité physique,  sera de pouvoir créer des applications de paiement sans passer par les opérateurs et peut-être (tout est encore flou) sans TSM ou avec un TSM simplifié (d’où la réaction de la bourse à l’égard de Gemalto).

Donc, c’est potentiellement plus d’applications NFC sur Android intégrant le paiement et plus rapidement et cette disponibilité de nouvelles applications est une bonne chose pour les consommateurs et tout l’écosystème y compris les opérateurs mobiles et les fabricants de SIM.

Cela permettrait peut-être même à Paypal de revenir dans le monde du NFC. Qui sait si un jour David Marcus oubliera ses déclarations sur l’inutilité du NFC pour proposer une appli sur mobile utilisant le HCE ce qui pourrait permettre enfin à Paypal de rentrer dans les magasins en utilisant les TPE des commerçants ! Et ce serait peut-être même une raison suffisante pour Apple d’ajouter du NFC sur l’iPhone 6, un NFC light n’utilisant pas la SIM comme élément de sécurité, mais permettant à Apple de contrôler, sa propre version du NFC seule.

Ceci dit, il reste tellement de questions en suspens en terme de sécurité et de certifications correspondants, d’ergonomie, de standardisation, de support en cas de problème, de données bancaires dans le cloud et quel cloud, qu’il est réellement très difficile de savoir ce qui va se passer dans les prochains mois.

Coté des sociétés proposant le HCE, le challenge va être de prouver à tous les acteurs, à commencer par les consommateurs, que cette manière d’effectuer du paiement sans contact de proximité, est aussi pratique, rapide, ergonomique ET surtout, aussi sûr, malgré l’abandon d’un élément physique de sécurité et cela va prendre de nombreux mois. Ce nouveau terrain de jeu dans le cloud va aiguiser la curiosité des hackers et du résultat de leur travail dépendra le futur du HCE. En attendant, l’infrastructure cartes,  mobiles, TPE et applicatifs se déploient et vous pouvez l’utiliser dès aujourd’hui. Nul doute que ce sujet sera au cœur de nombreuses conversations au Mobile World Congress qui commence ce matin à Barcelone et nous y sommes.

A suivre.

Pierre Métivier

(*) L’annonce Visa vient de Visa Inc qui s’occupe de tous les pays sauf l’Europe. Elle est bien sûr importante mais , sauf erreur de ma part,n’engage les entités Visa européennes qui supportent le NFC depuis longtemps et n’a pas été relayée.

Pour aller plus loin :

NFC – Visa et Samsung relancent le débat autour du « Secure Element »

Mobile Samsung et SIM Cityzi

Mobile Samsung et SIM Cityzi

Le Samsung Galaxy S4 a été lancé jeudi 14 Mars soir en grande pompe à New-York. Par delà, les nouvelles fonctionnalités annoncées, le NFC a été confirmé comme fonctionnalité-clé pour ce mobile et pour Samsung. C’est aussi le premier mobile qui devrait bénéficier de l’accord Visa / Samsung annoncé au Mobile World Congress et dont une des conséquences est passé relativement inaperçue – l’installation par défaut d’une application de paiement Visa sur tous les prochains mobiles Samsung NFC en utilisant le Secure Element du mobile.

Cette annonce est potentiellement « disruptive » (dans le sens anglais du terme) pour l’écosystème du sans contact car elle relance le débat sur le Secure Element / SE autrement dit la gestion de la sécurité sur les mobiles NFC.

Rappelons les données du problème. On peut (en gros) diviser en deux grandes catégories le type d’applications permises par le NFC :

  1. celles qui nécessitent l’utilisation de données privées (identification, paiement, accès, transport) et
  2. celles qui n’en utilisent pas (lecture d’informations touristiques par exemple ou jeux).

Dans le premier cas, les données sensibles doivent être gérées dans une partie sécurisée du mobile appelée « Secure element » ou SE, pour éviter qu’elles ne soient accessibles de l’extérieur ou par une autre application sur le mobile. C’est le rôle du TSM -Trusted Service Manager, une société chargée de gérer cette séparation des données et des services. Trois types de SE existent :

  • un SE stocké sur la SIM géré par les opérateurs,
  • un SE sur un élément extérieur – de type carte mémoire microSD
  • l’utilisation d’un SE sur le mobile lui-même.
Une journée aux JO de Londres

Une journée aux JO de Londres

Les opérateurs, réunis au sein de la GSMA, préconisent la solution basée sur la SIM, dite « SIM centric« . En France, c’est le modèle Cityzi. Si vous pouvez posséder un mobile NFC, et il y en près de 3 millions en France répartis sur plus de 25 modèles, il est nécessaire également d’obtenir une SIM Cityzi (standard chez Orange et SFR) pour les applications de type paiement comme Kix de la BNPParibas.

A travers leur accord, Visa et Samsung, qui ont l’habitude de travailler ensemble comme par exemple à l’occasion des JO de Londres, proposent donc une solution alternative au modèle des opérateurs, utilisant le SE du mobile lui-même. C’est également le modèle utilisé par Google pour son Wallet. Autrement dit, à l’association, mobile, banque, carte de paiement et opérateur télécom actuellement nécessaire à la dématérialisation d’une carte de paiement sur mobile, Samsung et Visa répondent qu’on peut faire plus simple.

Sur le papier, cette annonce est positive dans le sens où tout ce qui peut simplifier l’écosystème ne peut qu’accélérer l’adoption du paiement sur mobile et donc accélérer le déploiement des services sans contact. Dans la réalité, il reste de nombreuses questions : la première et la plus importante est : en cas de problème sur une transaction NFC, paiement/transport, qui appeler ? Une des promesses du NFC est la possibilité en un seul appel, de bloquer le mobile et toutes les applications s’y trouvant. L’opérateur telecom gère la relation avec son client et c’est naturellement vers lui que les clients se tournent. Si le modèle proposé par Samsung et Visa se développe, qui faudra t-il appeler pour bloquer sa carte de transport ou sa carte de paiement : chaque fournisseur de services ou le fabricant de mobile ?

Cityzi, Nice

Cityzi, Nice

Ensuite se posent les questions du déploiement, de l’industrialisation ou des mises-à-jour que les opérateurs maitrisent à travers leurs réseaux. Visa a également introduit le « Visa Mobile Provisioning service » pour répondre à certaines de ces questions. Enfin, quelle va être la réaction des banques, qui distribuent les cartes de paiement de Visa et qui développent des accords avec les opérateurs?

Il est trop tôt pour appréhender toutes les conséquences de cette annonce qui a l’avantage de poser une question-clé – que faut-il faire pour accélérer le déploiement des services mobiles sans contact et en particulier autour du paiement et du transport ? De part leurs parts de marché respectifs, Visa et Samsung envoient un message fort. Nul doute que le débat ne fait que commencer.

A suivre

Pierre Métivier

Pour aller plus loin