Présenté comme très sûr dans son utilisation au quotidien, le paiement par Apple Pay génère pourtant 5 fois plus de fraude, à volume égal, que le paiement sans contact par carte bancaire. Sa fragilité réside dans la méthode utilisée pour activer une nouvelle carte dans un iPhone. Explications.
Le fait divers a été raconté par La Tribune. En août, un couple s'est fait dérober 3 700 euros, victime d'une arnaque financière très courante actuellement : les faux SMS de l'Assurance maladie, concernant la carte Vitale.
Rappel rapide du mode opératoire : vous recevez un SMS, de la part d'un numéro se présentant comme celui de la CPAM. On vous explique que votre carte Vitale arrive à expiration et qu'il vous faut la renouveler. Ou encore que votre nouvelle carte est disponible et que vous devez payer pour déclencher son envoi. Dans les deux cas, vous êtes invités à cliquer sur un lien. Il vous emmène vers un site web, ressemblant comme deux gouttes d'eau à celui de la CPAM ou d'une société de livraison. Là, vous devez fournir des informations personnelles. Et notamment, très souvent, des coordonnées bancaires.
C'est précisément ce qui s'est passé pour ce couple. Pour déclencher l'envoi d'une nouvelle carte Vitale, il a d'abord fourni les identifiants de sa carte bancaire. Puis, pensant finaliser le règlement de l'envoi, un code SMS à 6 chiffres reçu de sa banque.
A quoi a servi ce code d'authentification ? A valider un paiement ? Non. A ajouter un bénéficiaire de virement ? Non plus. Grâce à lui, l'escroc a pu ajouter la carte bancaire du couple dans l'app « Cartes » de son iPhone. Et donc régler des achats en magasin avec Apple Pay. 3 700 euros de dépenses au total, avant que la banque ne détecte les mouvements suspects. Le couple ne reverra pas son argent. La Banque Populaire a certes consenti un geste commercial de 250 euros, mais considéré que le couple avait été négligent et en conséquence responsable de la fraude. Il faut le rappeler : il ne faut jamais communiquer un code unique reçu par SMS à un tiers, quel qu'il soit !
Compte bancaire piraté : votre banque a-t-elle le droit de refuser de vous rembourser ?
Le code à usage unique, une méthode d'authentification pourtant obsolète
Ce couple est loin d'être le seul à avoir subi ce type de détournement. En 2021, des escrocs avaient utilisé un mode opératoire très comparable pour arnaquer des clients d'ING. De fait, elle pourrait arriver à n'importe quel porteur de carte bancaire.
Toutes les banques françaises, en effet, proposent désormais Apple Pay. L'immense majorité des cartes émises en France sont donc susceptibles d'être utilisées pour payer par mobile.
Pour ajouter une nouvelle carte dans le wallet de l'iPhone, deux solutions existent. Les usagers peuvent le faire via l'application mobile de leur banque, en cliquant sur un bouton « Ajouter à l'app Cartes ». Ils peuvent aussi renseigner manuellement les numéros de cette carte dans l'app « Cartes ».
Conséquence de cette seconde méthode : quiconque dispose du numéro unique, de la date de validité et du cryptogramme à 3 chiffres d'une carte, y compris si elle n'est pas à son nom, peut en faire de même. A condition de passer un dernier obstacle : celui du code d'authentification à usage unique reçu par SMS.
Nous avons pu le constater en consultant les sites web des principales banques françaises : cette méthode est largement utilisée. Elle est pourtant loin d'être infaillible, comme le montre le fait divers décrit ci-dessus. C'est d'ailleurs ce qui justifie que le code SMS ait été progressivement abandonné pour authentifier, par exemple, les paiements par carte sur internet, au profit d'une méthode plus robuste : l'authentification forte, via une connexion à leur application mobile.
Carte bancaire : ce qui change pour la sécurité de vos paiements
Une fraude cinq fois supérieure au paiement sans contact par carte bancaire
En résumé, ce qui est devenu la norme de sécurité pour les paiements en ligne - l'authentification forte - ne l'est pas encore pour l'activation d'une carte bancaire dans Apple Pay.
On comprend mieux pourquoi les chiffres de la fraude sur le paiement par mobile, dont Apple Pay représente la grande majorité en France, sont moins bons qu'attendus. En 2021, selon l'Observatoire de la sécurité des moyens de paiement de la Banque de France, son taux de fraude a certes baissé, passant de 0,091% (soit 1 euro fraudé pour 1 099 euros payés) à 0,065% (1 euro fraudé pour 1 538 euros payés). Il reste toutefois plus de 5 fois supérieur à celui du paiement sans contact par carte bancaire, et plus de 7 fois au paiement par carte avec utilisation du code.
