Apple Pay : un nouveau jouet pour la fraude par carte bancaire ?

Apple Pay, le service de paiement mobile proposé par Apple aux Etats-Unis, semble être confronté à un taux de fraude particulièrement élevé depuis son lancement en octobre dernier. En cause : l’insuffisance des processus de vérification mis en œuvre par les banques partenaires au moment de l’ajout d’une carte bancaire dans le service.

Le succès d’Apple Pay semble se confirmer aux Etats-Unis. Apple n’a pas encore fourni de chiffres globaux, mais son principal partenaire bancaire, Bank of America, a annoncé mi-janvier que 800.000 de ses clients utilisaient déjà le service, pourtant uniquement disponible sur le dernier smartphone de la marque, l’iPhone 6. De bon augure pour la marque à la pomme.

Ce succès, toutefois, semble avoir un revers : un taux de fraude particulièrement élevé. Selon un récent article du quotidien britannique The Guardian [Lien en anglais], qui cite des sources internes à l’industrie des paiements, le préjudice, après un trimestre d’existence du service, se chiffrerait déjà en « millions de dollars » : bien plus qu’attendu.

Apple Pay permet de régler des achats sans contact avec l’iPhone 6, grâce à la technologie NFC (pour Near Field Communication, communication en champ proche). Pour sécuriser ces paiements, Apple a prévu un dispositif, appelé « tokenisation », qui permet d’éviter l’échange (et donc l’éventuelle interception) de données bancaires confidentielles entre le terminal de paiement et le téléphone. Les paiements sont authentifiés grâce à un capteur biométrique intégré, Touch ID. Ces technologies ne semblent pas en cause.

Des vérifications d’identité insuffisantes

Mais avant de pouvoir utiliser le service en magasin, l’usager doit entrer ses coordonnées de carte bancaire dans l’application, afin d’en créer un double numérique. Et c’est là, semble-t-il, que le bât blesse. C’est en effet aux banques partenaires d’Apple d’approuver, à ce stade, l’ajout de la carte, en vérifiant l’identité de son client. Et ces contrôles sont apparemment loin d’être infaillibles. Résultat : certains fraudeurs auraient réussi à usuper l’identité de clients et à effectuer des achats, notamment dans des Apple Stores, les magasins physiques de la marque, qui acceptent tous ce nouveau moyen de paiement et vendent des biens faciles à revendre.

Que faire pour éviter ces fraudes ? Apple aurait demandé aux banques partenaires de généraliser l’authentification renforcée, grâce par exemple à l’envoi d’un code unique envoyé par SMS, à l’image du système 3D Secure utilisé pour valider les paiements sur internet. Une solution de nature à circonscrire la fraude, mais sans doute pas à la juguler totalement. La preuve, une fois encore, qu’aucun moyen de paiement, même conçu par le leader mondial du secteur technologique, n’est jamais complètement sûr.