Payer avec son smarphone ou sa montre est-il sûr ?

Dans un article assez long, faisant suite au blocage d’Apple Pay dans les magasins Leclerc, iGénération explique les différents mécanismes de paiement avec les cartes bancaires. Au-delà du cas spécifique de cette chaîne de supermarchés, moi qui me sert de mon Apple Watch pour effectuer des paiements, j’ai trouvé cet article très instructif.

Différence entre paiements avec cartes physiques ou via un smartphone ou une montre (un résumé de l’article de iGénération)

Lorsque le téléphone stocke les informations bancaires, que ce soit dans le cas d’Apple Pay (ou de Samsung Pay), ce ne sont pas les numéros des cartes physiques qui sont enregistrés dans une enclave sécurisée, mais un numéro de compte d’appareil ; c’est le système d’exploitation qui authentifie l’utilisateur. Cette authentification peut être effectuée le plus souvent avec une empreinte digitale ou la reconnaissance faciale. Tout repose donc sur la sécurité du téléphone et du système d’exploitation.

Si l’iPhone ou l’Apple Watch n’accède plus au réseau, voire même le terminal de paiement, le paiement peut être réalisé sans qu’une autorisation ne soit demandée à la banque. Or, pour les comptes qui n’ont pas de découvert autorisé, la transaction n’est normalement permise qu’avec un feu vert préalable de la banque, ce qui nécessite une connexion Internet.

Toutes les cartes ajoutées à Apple Pay sont associées au même code service, un code de trois chiffres, quel que soit leur code original. Les chaînes de supermarchés ont obtenu de la part des banques une dérogation : il semblerait que les terminaux de paiement ne vérifient pas aussi bien les cartes qu’ils le devraient : pour gagner du temps en caisse, ils se contentent de vérifier le code service de la carte bancaire pour déterminer si une autorisation est nécessaire.

Se satisfaire du code service ne pose aucun problème avec les cartes de paiement physiques, puisqu’elles intègrent toutes la bonne information. Mais ce n’est pas le cas avec les cartes enregistrées sur Apple Pay, elles sont toutes associées au même code qui indique qu’aucune vérification n’est nécessaire.

Si la carte et le compte liés à Apple Pay autorisent les découverts, ce n’est pas un problème. En revanche, s’il s’agit d’un compte bloqué, si le compte est vide ou insuffisamment crédité au moment de la transaction, la vérification censée la bloquer n’est pas systématiquement effectuée avec Apple Pay.

Est-ce sûr de payer avec sa montre ou son téléphone ?

Pour ma part, payer avec mon Apple Watch m’évite de sortir mon portefeuille, ce qui, en cas d’affluence, me semble plutôt rassurant 😉 En outre, j’ai mis sur la montre un code composé de nombreux caractères, et elle est verrouillée dès qu’elle quitte mon poignet ! Si je payais avec mon iPhone, l’empreinte digitale, et le code encore plus long (!) le protègeraient également. Et peut-être plus qu’une carte bancaire sans contact, dont n’importe quel individu entre les mains duquel elle tomberait pourrait se servir. Et même si l’achat avec une carte bancaire sans contact ne peut dépasser 20 ou 30 €, plusieurs paiements de la sorte pourraient faire rapidement diminuer mon compte bancaire 😉

De plus, il faut vraiment coller la montre au terminal de paiement pour que le paiement soit accepté, contrairement à une carte sans contact qui peut être utilisée à son insu, même lorsqu’elle est rangée dans son portefeuille, lui-même dans son sac ou dans sa poche.

Il est relativement facile aussi d’observer et mémoriser la saisie d’un code PIN de carte bancaire.

En conclusion, un paiement via Apple Pay ne me paraît pas plus risqué qu’avec n’importe quel autre moyen de paiement 😉 Et puis je reconnais que cela m’amuse, même si je ne fais pas partie d’une génération identifiée adepte de la dématérialisation, de me singulariser auprès des commerçants 😉


Ecrit par Lise - Site

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Laisser ces deux champs tels quels :

Protégé par Invisible Defender. 312 347 spammeurs ont vu s'afficher une page d'erreur 403.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.