Lorsque Apple annonçait son porte-monnaie mobile en septembre dernier, une de ses armes de séduction était le surcroît de sécurité qu'il apporte aux paiements, grâce à plusieurs innovations bienvenues. Quelques mois plus tard, il s'avèrerait que, au contraire, la fraude atteigne des niveaux catastrophiques… À qui la faute ?L'alerte est donnée par un consultant d'Experian, dans son blog « Drop Labs ». Selon lui, tandis que les outils et bonnes pratiques de protection déployés par les émetteurs de cartes leur permettent de limiter les taux de fraude aux alentours de 0,10% (soit 10 cents de perte pour 100 dollars traités), la solution Apple Pay semblait – après un mois d'existence – être beaucoup moins performante (avec un pic identifié jusqu'à 6% !). Pourtant, les observateurs s'attendaient raisonnablement à une amélioration sensible de ces scores, espérant descendre à 0,02 ou 0,03%.
Y aurait-il donc un défaut majeur parmi les précautions mises en œuvre par le constructeur à la pomme ? A priori, non : les faiblesses connues de la lecture d'empreinte digitale TouchID ne sont pas (pour l'instant) exploitées massivement, les interfaces sans contact (NFC) continuent à résister aux attaques vraiment dangereuses, les données stockées sur le téléphone ou sur les serveurs d'Apple sont toujours en sécurité et la « tokenisation » des transactions remplit parfaitement son rôle. En fait, la faille, béante, se situe dans l'enrôlement des nouveaux utilisateurs.
En effet, fidèle à son habitude, Apple a voulu rendre l'expérience la plus simple possible. Pour se lancer, il suffit à l'utilisateur de saisir les informations de sa carte – voire de les capturer via une photographie – puis de fournir le code de sécurité qui se trouve au dos. Malheureusement, le web souterrain regorge de sites sur lesquels il est facile d'acquérir des données complètes, par exemple volées à l'occasion d'une intrusion informatique, qu'il suffit de reporter sur un iPhone 6 pour obtenir immédiatement un moyen de paiement valide, prêt à l'emploi, parfaite réplique virtuelle de la carte originale.
Apple n'est cependant pas le premier coupable, car, réalisant le risque encouru (quoiqu'un peu tardivement), la société a rendu obligatoire une étape supplémentaire d'authentification du porteur, dont elle accompagne la mise en place, mais qui reste (inévitablement) à la charge des émetteurs. Ce sont en fait les procédures de ces derniers – trop faciles à tromper – qui sont directement à blâmer. En particulier, les banques qui ont délégué cette tâche à leurs centres d'appel paraissent être les plus vulnérables, leur méthodes de contrôle d'identité étant déficientes.
Les raisons invoquées pour expliquer cette négligence ont une certaine logique, entre complexité (et les délais subséquents) d'une intégration sécurisée de l'activation dans l'application mobile de la banque et exigence de simplifier l'expérience pour le consommateur (notamment lors de la découverte des nouveautés d'un iPhone tout juste déballé, avant l'installation d'une app quelconque). Hélas, ce sont des arguments qui ne devraient jamais mener à des compromis sur la sécurité. La réalité rattrape aujourd'hui cruellement ceux qui ont oublié ce principe élémentaire.
Jeu de briques
Snake
Pacman
Bubble