Devinez comment payer avec la carte bancaire de votre voisin ?

Réponse : Il suffirait d’enrôler sa carte sur Apple Pay à son insu…

Derrière cette question un brin provocatrice se cache une fraude récemment relatée par La Tribune. Des escrocs usurpant la marque de l’Assurance Maladie ont pu soutirer 3.000 € à un couple en enrôlant – à leur insu – une de leurs cartes bancaires sur un iPhone détenu par les fraudeurs. Si le mode opératoire est classique (phishing via un faux SMS AMELI prétextant une mise à jour de la carte Vitale), le canal employé et le montant extorqué interpellent…

Cet épisode met en lumière les failles des « Xpay », ces applications de paiement conçues par les constructeurs de smartphones ou de systèmes d’exploitation (Apple, Samsung ou Google Pay). Des solutions pourtant réputées comme sécurisées – Apple Pay serait même plus sécurisé qu’un paiement par carte bancaire, suivant les dires d’Apple, – et reconnues comme telles par les banques émettrices de cartes bancaires. Dès lors, pourquoi observe-t-on tant de fraudes ?

Démocratisation du paiement mobile : la rançon du succès

L’adoption massive des xPay est à mettre au crédit de leurs concepteurs qui ont mis l’accent sur une expérience utilisateur fluide et optimisée. Mais ces parcours de paiement mobile ont été conçus en partant du principe que les clients finaux maîtrisaient la technologie sur laquelle ils se fondent (et les « bons réflexes » qui s’y rapportent).

Si elle a favorisé la démocratisation des Xpay, cette surenchère technologique a eu comme effet pervers de creuser le fossé entre les early adopters rompus aux nouvelles technologies et les personnes peu familiarisées avec l’univers informatique et bancaire.

Ainsi les fraudeurs s’attaquent moins aux afficionados du paiement mobile – plus à même de les démasquer – qu’aux personnes vulnérables ignorant les possibilités du paiement mobile, qui pour leur majorité ne possèdent même pas de smartphone.

Ainsi, Le Parisien a relaté un cas de fraude où la victime – une mère de famille dépourvue d’un smartphone – a vu sa carte bancaire enrôlée à son insu sur Apple Pay.

Un enjeu  de sécurisation des paiements mobiles pour ceux qui ne les utilisent pas !

Il devient donc essentiel, pour les banques émettrices comme pour les xPay, de renforcer la sécurité d’enrôlement à ces solutions pour éviter que les non-initiés ne communiquent les codes d’activation des services xPay et autorisent les fraudeurs à utiliser leurs cartes bancaires à leur insu !

Cet impératif est d’autant plus crucial qu’Apple traite désormais plus de transactions que Mastercard. Malgré le déploiement de l’authentification forte des opérations sensibles (réglementation DSP2), on observe qu’à volume égal, le paiement par Apple Pay génère cinq fois plus de fraude qu’un paiement sans contact réalisé par carte bancaire !

L’avènement des Xpay a transformé les smartphones en solutions de paiement aussi naturelles et généralisées que les cartes bancaires. Cependant, les terminaux mobiles ne bénéficient pas (encore !) de la vigilance traditionnellement accordée aux opérations par carte bancaire… Avec une fonction « Xpay » activable sur tous les smartphones récents, les failles d’enrôlement constituent un vrai risque. A court terme, si cet enrôlement n’est pas mieux sécurisé, c’est toute la chaine de confiance qui pourrait s’écrouler.

Suivez-nous