Zoom sur les solutions de paiements mobiles des GAFAM

Lorsqu’on parle de solutions de paiements mobiles (ou plutôt de paiement de proximité avec son mobile pour être précis), on pense spontanément à celles éditées par les GAFAM, en particulier à Google et Apple ; ainsi qu’au constructeur de téléphone Samsung… Pourtant ce sont loin d’être les seules ! Et puis très vite, à force de creuser, on se perd dans les méandres de la monétique ; si bien que Paymon a décidé de clarifier les choses.

Quid des solutions des banques ?
Sans vouloir enterrer les solutions développées par les banques (Paylib compris), elles semblent avoir perdu la bataille du marketing.

L’article se focalisera donc principalement sur les 3 solutions les plus connues, à savoir Google Pay, Apple Pay et Samsung Pay.

Bref rappel technologique des solutions de paiement mobile de proximité

Pour permettre la validation de la transaction, plusieurs technologies sont utilisées :

  • QR Code : Alipay, Lyf Pay, … ;
  • NFC : Quasiment tous (sauf Alipay et Lyf Pay) ;
  • MST (Magnetic Secure Transaction) : Samsung Pay.

Apple Pay, Google Pay et Samsung Pay utilisent donc tous la technologie sans-contact NFC. À noter que Samsung Pay a fait le choix de cumuler le NFC avec le MST afin d’être encore plus portable.

Concernant le NFC, l’architecture dépend également des éditeurs. Il en existe 3 grandes familles :

  • SIM Centric : Orange Cash, Kix, … ;
  • Device Centric : Apple Pay ;
  • HCE : Microsoft Pay, Google Pay, Samsung Pay.

La technologie SIM centric a principalement été utilisée par les banques ou les opérateurs téléphoniques. Elle s’efface petit à petit au profit du HCE. En effet le HCE, principalement utilisé par les GAFAM améliore l’expérience utilisateur (ajout de la fidélité, gestion du budget, couponing, géolocalisation, …)

Rétrospective :

Frise chronologique des solutions de paiements mobiles de proximité

On constate, qu’il n’existe aucune solution fédératrice. Chaque solution de paiement fonctionne dans l’écosystème de l’éditeur, et uniquement dans celui-ci. Ainsi, Apple Pay ne fonctionne qu’avec les téléphones sous iOS, Google Pay qu’avec les téléphones sous Android, Samsung Pay qu’avec le fabricant éponyme, etc. Dommage qu’il n’existe pas pas de passerelle permettant une interopérabilité entre les différents systèmes de paiement, afin de laisser le choix à l’utilisateur sans changer de matériel.

Note : la solution fédératrice PURE préconisée par le GIE CB semblait la panacée. Mais, plus de son, plus d’image…

Sans rentrer dans le détail du fonctionnement des solutions des ténors, nous allons en donner les grandes lignes. Comme vous pourrez le voir, ces solutions sont toutes basées sur la tokénisation.

Fonctionnement des applications de paiement

Enrôlement d’une carte

L’utilisateur enregistre sa carte dans l’application de paiement. Pour cela, il prend sa carte en photo afin que l’application récupère automatiquement les différentes informations nécessaires à l’enrôlement (numéro de carte, date d’expiration). Il est également possible de saisir ces données manuellement.

Une fois les données saisies, le fournisseur de paiement, en tant que Token Requestor, réalise une demande de token auprès du Token Service Provider (TSP). Ce dernier procède à quelques contrôles de sécurité et d’identification et de vérification (ID&V) avec l’émetteur. Si ce dernier accepte le risque, le TSP génère le token. Il envoie ainsi au fournisseur de paiement le numéro du token, sa date d’expiration et son cryptogramme. Ces informations sont ensuite stockées dans une zone sécurisée.

Paiement

Lors du paiement, l’utilisateur sélectionne la carte tokénisée de son choix dans l’application de paiement et approche son téléphone sur le point d’acceptation sans-contact (NFC). Le point d’acceptation initie le dialogue et récupère les données du token (numéro, date d’expiration et cryptogramme) pour les utiliser dans la demande d’autorisation. L’acquéreur reçoit la demande d’autorisation et la transmet sur le réseau bancaire ad hoc selon le BIN*. Le réseau transmet la demande au TSP qui procède à la vérification du token, notamment la vérification de la date d’expiration et du cryptogramme. Si le contrôle est positif, TSP remplace le token par les données bancaires originales. Puis, la demande d’autorisation est envoyée à l’émetteur.

Note : Le BIN (Bank Identification Number) correspond aux 6 premiers chiffres du numéro de carte (ou de token) attribués par les réseaux aux émetteurs. Outre l’identification de la banque émettrice, cela permet de connaître le réseau bancaire.

Suite à la réponse de l’émetteur, le réseau remaquille la transaction en substituant les numéros de la carte par le token et achemine la réponse jusqu’à l’acquéreur qui l’envoie au point d’acceptation.

Les différences entre les solutions de paiement

Fournisseur Apple Google Samsung
Application Apple Pay Google Pay Samsung Pay
OS iOS Android Android
Produit Apple Tous Samsung
Maîtrise OS et produit OS Produit
Zone sécurisée
Puce dédiée Cloud Coffre-fort sur téléphone

Sécurité

Afin d’évaluer la sécurité de ces 3 solutions, il convient de lister les principales menaces :

  • Malware sur le téléphone : Menace très probable surtout si le téléphone est rooté. C’est pourquoi l’application de paiement refuse de s’installer sur un téléphone rooté. Il est donc important de ne pas adopter un comportement à risque sur son appareil.
  • Logiciel d’espion sur le terminal de paiement du commerçant : Menace probable. Impact réduit grâce à la tokénisation.
  • Espionnage du réseau entre le téléphone et le commerçant : Menace faiblement probable. Impact réduit grâce à la tokénisation.
  • Attaque du réseau d’autorisation / compensation bancaire : Menace peu probable.

Par ailleurs, ces 3 solutions offrent des mesures de sécurité supplémentaires visant à réduire les impacts en cas de compromission comme la suppression des données à distance, notamment en cas de perte ou de vol, ou suite à plusieurs tentatives de déverrouillage infructueuses.

Certaines personnes ne souhaitent pas utiliser le téléphone pour payer leurs produits pour des raisons de sécurité. Si cela peut se comprendre, en vue de ce qui a été dit, ce n’est pas moins sécurisé qu’une carte bancaire NFC. Au contraire, puisqu’il est possible d’y ajouter de l’authentification (code confidentiel ou biométrique dès le 1er euro).

2 commentaires à propos de “Zoom sur les solutions de paiements mobiles des GAFAM”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.