Face aux escrocs de l'Apple Pay, les banques réagissent. Apple avait tout fait pour assurer la sécurité de son système de paiement Pay, lancé à l'automne dernier aux Etats-Unis. Pourtant, un sérieux grain de sable a enrayé la belle mécanique de Pay en permettant à des escrocs d'utiliser le système de paiement mobile d'Apple sur des iPhone contenant des informations bancaires volées pour acheter des produits de grande valeur dans des boutiques de la marque.

Sans être parvenus à casser les mécanismes de chiffrement sécurisé relatifs à l'Apple Pay et à la technologie d'empreinte digitale mise en place dans l'iPhone 6 et 6 Plus, les escrocs ont toutefois réussi à paramétrer des smartphones avec des informations bancaires volées, sans avoir donc besoin de cartes bancaires physiques pour effectuer des achats frauduleux et usurper l'identité des titulaires. A noter que cette fraude n'affecte cependant pas les clients qui ont fait opposition sur les numéros de cartes bancaires dérobés ces derniers mois.

Les données volées (numéros de cartes et informations personnelles) proviennent des brèches de données qui ont frappées les géants de la distribution : Target fin 2013 (40 millions de données de cartes compromises) et Home Depot en 2014 (53 millions de données de cartes compromises).

Le support d'Apple Pay indique que « lorsque vous ajoutez une carte de crédit ou de débit à Apple Pay, Apple envoie des données chiffrées parmi d'autres informations portant sur l'activité de votre compte iTunes et le terminal (nom, localisation, historique des transactions...) à votre banque. En se servant de ces informations, votre banque va déterminer si votre carte peut être approuvée pour l'Apple Pay ».

Vers la mise en place d'un système d'authentification à double facteur

Dans le cadre de l'utilisation de l'iPhone 6 en tant que moyen de paiement, les banques utilisent deux types de méthodes : l'une pour les cartes immédiatement approuvées (green path) et l'autre pour les cartes nécessitant des vérifications supplémentaires (yellow path). Mais certaines banques vérifient l'identité des utilisateurs en demandant seulement les 4 derniers chiffres de leur numéro de sécurité sociale. Or, ces chiffres font l'objet de vols en masse, avec en moyenne chaque année 11,5 millions d'américains abusés, ce qui a permis aux fraudeurs de duper la vigilance des banques.

Selon notre confrère The Guardian, les établissements bancaires ont été pris de court par la technique employée par les fraudeurs et travaillent à l'amélioration de la vérification des identités des personnes réglant leurs achats via l'Apple Pay afin d'empêcher que le problème prenne une ampleur dramatique alors que près de 2 millions d'américains utilisent actuellement le système de paiement de la firme de Cupertino. Certaines banques veulent ainsi rendre plus difficile le mécanisme de création d'un compte Apple Pay pour s'assurer que les cartes bancaires appartiennent vraiment à la personne qui les charge dans le téléphone. Sur le principe de l'authentification à double facteur, un code d'autorisation pourrait être envoyé par mail ou sur le téléphone de l'utilisateur, d'autres pourraient demander à appeler un numéro de service client pour vérifier l'identité de la personne via une série de questions sur ses achats récents ou des informations d'adresse. Quelques banques vont plus loin en demandant aux clients d'autoriser leur requête Apple Pay en les connectant à leurs comptes bancaires en ligne.

En France, l'arrivée de l'Apple Pay est à l'étude par le biais de Visa qui espère convaincre la firme de Cupertino de lancer prochainement sa plateforme de paiement sans contact en Europe.