L’enjeu de la sécurité du paiement par mobile

Nous avons de plus en plus recours aux paiements par mobile dans nos vies quotidiennes. La clé du succès de ce nouveau mode de paiement réside dans la simplicité d’utilisation de cette nouvelle technologie mais laisse planer le doute sur de nouvelles menaces, à la frontière de la fraude et du risque cyber.

 

La carte bancaire reste sans conteste le moyen de paiement préféré des Français. La dernière étude Harris Interactive de novembre 2016 à ce sujet le confirme : 98 % des personnes interrogées utilisent quotidiennement leur carte bleue, tandis que le paiement par smartphone ne récolte que 6 % des suffrages.

Toutefois, l’apparition de moyens liés aux nouvelles technologies à fort potentiel et en particulier, le développement de la technologie NFC (Near Field Communication) basée sur la RFID (identification par fréquence radio) change progressivement la donne. Le succès du paiement sans contact par carte bleue ne dément pas ou peut-être même accélère l’ambiance de fin de règne qui s’installe dans le paysage des modes de paiement.

 

Facilité d’utilisation et relative sécurité…

Le paiement sans contact par smartphone cumule en effet de nombreux avantages tant pour les commerçants que pour les consommateurs : garantie de paiement, gratuité des virements bancaires et réduction des coûts pour les commerçants qui peuvent se passer d’un terminal pour carte bancaire.

Le paiement sans contact par smartphone peut s’avérer plus sécurisé car l’application mobile de paiement utilisée (par exemple Apple Pay, Lyf Pay ou encore Easy Transac) offre la possibilité de maîtriser l’activation de la fonction de paiement NFC à la demande, ce qui limite les utilisations frauduleuses.

 

Qui n’empêche pas la fraude

Le paiement mobile sans contact bien que promis à un bel avenir possède une sérieuse faille. A l’instar de tout équipement connecté, les smartphones demeurent des cibles sensibles aux attaques, virus, chevaux de Troie, malwares. De plus, la technologie NFC n’est pas arrivée à maturité.

Les « sniffers », une nouvelle génération de pickpockets peuvent grâce à la technologie du « sans contact » par un simple rapprochement physique (idéalement dans une rame de métro bondée) et un terminal approprié « aspirer » les données de votre CB et effectuer à votre insu, un prélèvement d’une vingtaine d’euros. Il en va de même pour le mobile, à la différence que la fraude va porter prioritairement sur le vol de données. La technologie NFC peut permettre aux fraudeurs d’obtenir tout type d’informations présentes dans le smartphone : contacts, sms, emails, identifiants et mots de passe, informations de géolocalisation entre autres.

Les acteurs du secteur anticipent d’ores et déjà une progression des fraudes bancaires via la généralisation du paiement par mobile.

 

La question des responsabilités

En matière de fraude bancaire, le consommateur est protégé. Il dispose de 13 mois pour contester toute transaction non autorisée et être remboursé par sa banque. Reste la question de la responsabilité in fine lorsque les fraudeurs ne pourront être identifiés. L’établissement bancaire prendra sa part de risque – en concertation avec son assureur – mais quid de la responsabilité du développeur de l’application, du smartphone et de leurs assureurs respectifs ?

Sur des fraudes à caractère massif, la question des failles logicielles et matérielles devra faire l’objet d’analyses approfondies pour déterminer au plus juste les responsabilités.

Le paiement mobile devient un sujet au carrefour de la fraude et du risque cyber qui mobilise des connaissances sur les deux sujets tant au niveau assurantiel que de l’expertise.

 

Laurent MICHEL, Expert Finance et Services