Élément sécurisé — rendre plus sûr le paiement mobile sans contact

12 Juin 2018

Depuis quelques années maintenant, les smartphones modernes ont réussi à associer la fonction de téléphone avec d’autres caractéristiques comme un appareil photo, un reproducteur de musique, un abonnement aux transports publics et même un portefeuille. Il est évident que vous vous demandez quelle est la sécurité des données stockées. Essayons de comprendre à quel point les smartphones protègent les informations si précieuses des utilisateurs, et comment le mécanisme central de sécurité fonctionne ; il s’agit d’une minuscule puce appelée élément sécurisé.

Connaissez l’élément sécurisé

Une puce spéciale, permettant de stocker les informations de paiement sécurisé, est passée des cartes de crédit sans contact aux smartphones. Vous avez peut-être entendu parler de la norme EMV (Europay, MasterCard et Visa), qui est la norme la plus fiable actuellement. Grâce a elle, vos informations de paiement sont stockées sur une micropuce protégée qu’il est impossible de pirater virtuellement. C’est pourquoi les cartes qui suivent la norme EMV sont tout simplement appelées « cartes à puce ».

L’élément sécurisé de votre téléphone utilise essentiellement la même puce que celle utilisée par les cartes de crédit. Cette puce dispose d’un système d’exploitation séparé ; oui, les cartes de crédit ont aussi leur propre système d’exploitation pour exécuter leurs programmes. Toutes vos informations sont stockées sur cette puce, et même les systèmes d’exploitation des téléphones ou tablettes ne peuvent pas les lire ou les copier ; les applications installées sur vos appareils peuvent encore moins le faire. L’élément sécurisé ne travaille qu’avec des applications spéciales et fiables, comme par exemple des portefeuilles virtuels choisis.

La puce communique directement avec les terminaux de paiement. Par conséquent, même si le smartphone est infecté par un malware, les pirates informatiques ne peuvent pas intercepter cette information puisque les données ne sont pas transmises au système d’exploitation principal mais elles sont toujours gardées dans le système spécialisé de l’élément sécurisé.

Un portefeuille dans votre téléphone : comment tout a commencé

L’idée d’associer un téléphone avec une carte de crédit est beaucoup plus ancienne que ce que vous pensez. Les premiers modèles disposant d’un élément sécurisé étaient des téléphones mobiles basiques, même s’ils ne sont jamais devenus très populaires. Une entreprise avait même inventé une méthode pour imiter une bande magnétique grâce à un gadget. Cependant, ce n’est que récemment que les téléphones sont devenus de réels concurrents des cartes en plastique ; plus particulièrement en 2014, avec le lancement d’Apple Pay.

Le succès d’Apple Pay a suscité l’intérêt de ses concurrents, et en 2015, Samsung a commencé à proposer un service similaire. Les deux systèmes ont besoin de l’élément sécurisé. C’est pourquoi les anciens iPhones et les modèles de Samsung bon marché ne proposent pas le paiement sans contact.

Pour améliorer les fonctions de ses appareils, l’entreprise coréenne a même racheté LoopPay, la même entreprise qui avait développé la technologie imitant les bandes magnétiques. Quelques mois plus tard, Google présentait Android Pay, ensuite renommé Google Pay début 2018.

Élément sécurisé — hébergement intégré, externe ou sur le Could

En réalité, il n’y pas besoin d’intégrer l’élément sécurisé dans le smartphone. Il peut être amovible, en ayant par exemple le même format qu’une carte mémoire. Certains opérateurs mobiles produisent même des cartes SIM qui peuvent stocker les informations relatives à votre carte de crédit, ou à votre abonnement aux transports publics. Ces options n’ont jamais été populaires.

Contrairement à Apple ou Samsung, Google a d’abord produit un logiciel pour les appareils mobiles, et non les appareils eux-mêmes. C’est pourquoi son système de paiement a rencontré tant de difficultés à son lancement. Au début, la plupart des téléphones Android n’avaient pas de puces d’élément sécurisé. L’entreprise ne pouvait pas obliger les fabricants indépendants à installer la puce sécurisée, ou inciter les utilisateurs à acheter une nouvelle carte. Elle ne pouvait pas non plus mettre en place les paiements sans contact sans avoir l’élément sécurisé.

Dans un premier temps, Google a essayé de trouver une échappatoire et a installé son application portefeuille sur des cartes SIM qui avaient l’élément sécurisé. Cependant, les principaux opérateurs mobiles américains, comme Verizon, AT&T et T-Mobile, ont refusé de coopérer avec l’entreprise. À la place, ils ont fait la promotion de leur propre application, initialement appelée Isis Wallet, puis renommée Softcard pour des raisons politiques. Il est assez surprenant de voir qu’au final Google a acquis le système pour ses brevets.

Cependant, avant d’en arriver là, l’entreprise a trouvé une solution encore plus élégante au problème. Même si les téléphones Android ne disposaient pas de puces physiques et sécurisées, les virtuelles étaient créées sur le Cloud. Cette technologie s’appelle l’émulation de cartes hébergées (HCE).

Ce système hébergé sur le Cloud était différent des portefeuilles ayant des puces avec l’élément sécurisé intégré pour une raison principale. HCE demande au terminal de paiement de communiquer avec le gadget du système d’exploitation. Le système d’exploitation doit également contacter le Cloud qui héberge l’élément sécurisé où les informations de paiement sont stockées, ainsi qu’une application de confiance.

Les experts considèrent que l’utilisation d’un HCE est techniquement moins sûre que l’utilisation d’un vrai élément sécurisé ; plus les données voyagent sur Internet, plus il est facile de les intercepter. Néanmoins, HCE comprend des mécanismes de protection additionnels qui compensent cette vulnérabilité. Par exemple, ce système n’utilise pas de clés de paiement permanentes, mais des clés temporaires qui ne peuvent être utilisées qu’une seule fois.

À suivre

Vous connaissez désormais la « boîte noire » utilisée pour garder les informations de paiement sur votre téléphone. Dans notre prochain article, nous vous expliquerons comment les dispositifs Android et iOS utilisent les systèmes de paiement sans contact qui ont l’élément sécurisé. Nous verrons également pourquoi on ne garde pas tout simplement une carte bancaire sur un smartphone sans utiliser Apple Pay, Google Pay ou Samsung Pay.