Focus sur les nouveaux moyens de paiement sur mobile

Depuis quelques années, les mondes de la monétique et de la banque sont en pleins changements. De nouveaux moyens et canaux de paiement sont apparus sur le marché pour les particuliers et les professionnels. Les habitudes des consommateurs et des commerçants ont commencé à évoluer suite à la mise en place des cartes bancaires avec le support du sans contact (NFC) depuis 2010. Et cela ne fait qu’augmenter depuis ces derniers mois :

• De nouveaux acteurs bancaires chamboulent le marché en Europe (Revolut, N26, Monzo, etc.) avec des services et des applications innovantes (porte-monnaie multi-devises, gestion à 100% depuis son mobile…)
• De nouveaux moyens de paiement arrivent dans la poche des utilisateurs (Apple Pay par exemple) sur mobile et sur les points de vente (boitier mPOS connecté à une tablette tactile par exemple)

L’objectif de cet article est de présenter un tour d’horizon des nouvelles solutions de paiement sur mobile ; de faire un zoom sur le fonctionnement de la solution proposée par Apple et le concept de tokenisation ; et enfin d’analyser les impacts de la mise en place de ces solutions vis-à-vis du standard bancaire PCI DSS.

---

Questions soulevées

• Comment y voir plus clair parmi les différentes solutions et les problèmes de compatibilité ?
• Quels sont les impacts sur la sécurité des transactions et des données bancaires ?
• Comment est-ce que fonctionne la tokenisation des données bancaires ?
• Qu’est-ce qui change pour les commençants/prestataires qui traitent des données bancaires soumises au standard PCI DSS ?

---

Quelles solutions choisir en 2017 ?

Depuis la mise en place des cartes bancaires avec le support du NFC, les consommateurs ont vu apparaitre de nouvelles possibilités pour régler ces achats en magasin. Aujourd’hui, nous franchissons un cap supplémentaire avec l’utilisation de nos objets connectés comme moyen de paiement (smartphone, montre connectée, tracker d’activité).

« À mince j’ai oublié mon portefeuille, je n’ai pas assez pour régler sur moi… » ; cette situation n’aura bientôt plus de sens quand nous aurons tous notre moyen de paiement associé à notre téléphone ou notre montre connectée.

Depuis 2014, les solutions de paiements sont apparues à la fois portées par des acteurs majeurs des nouvelles technologies (Apple, Google, Samsung), par des banques (Paylib) et par des startups de la FinTech (Lydia, boon.). L’idée première de ces solutions est d’utiliser un équipement que l’on a toujours sur soi et qui nous appartient comme moyen de paiement (pour les paiements en magasin ou depuis un site web marchant). L’objectif de ces solutions est de proposer aux consommateurs un canal d’achat toujours plus court (pas de portefeuille à trouver dans son sac, pas de saisie des informations bancaires dans un formulaire) et simplifier au maximum la finalisation d’une transaction.

À l’heure actuelle, il n’existe pas de solution ayant le monopole sur ce marché. Chacune d’entre elles propose un service ayant des limitations. Un utilisateur qui souhaite réaliser un paiement avec son mobile devra s’assurer de la compatibilité de son téléphone, de sa banque et du commerçant avant de choisir une solution.

Le tableau ci-dessous permet d’y voir plus clair sur les solutions en fonction des équipements compatibles, de la solution technique utilisée pour le traitement des données de carte bancaire, des banques et commerçants compatibles ainsi que les mesures de protection en place lors d’un paiement (basé sur les offres disponibles en août 2017).

 

---

Comment fonctionnent Apple Pay et la tokenisation des données bancaires ?

Le service Apple Pay a été lancé par Apple fin 2014. Dans un premier temps disponible aux États-Unis, le service a été progressivement déployé en Europe en mettant en place des partenariats avec les banques nationales (voir le tableau précédent) afin de rendre accessible le service à leurs clients.

Nous allons nous intéresser aux principes de fonctionnement du service et aux enjeux sécurité que cela représente sur les données de bancaire.

La mise en place de ce service est possible grâce au concept de tokenisation des données bancaires. Son principe a été défini par l’organisme EMVCo, suite à la publication d’un framework technique en 2014 (voir les sources en annexe). Cette publication fait apparaître un nouveau type d’acteur dans la chaine de la monétique ; à savoir les Token Services Provider (TSP). Le PCI SSC a publié en 2015 un standard listant les exigences à respecter afin d’être certifié TSP par l’organisme EMVCo.
Les grands acteurs de carte bancaire ont mis en place leur propre service de TSP certifié afin de tokeniser les cartes de leurs marques respectives :

• Visa Token Services
• MasterCard Digital Enablement Service
• American Express Token Service

La solution d’Apple s’appuie à la fois sur le téléphone, les infrastructures Apple, les TSP et le réseau bancaire.

Dans les iPhones compatibles, un composant spécifique (Secure Element) a été ajouté afin de traiter les opérations cryptographiques et de garantir un niveau de sécurité renforcé sur les données qui y sont stockées. Cela s’apparente à un module cryptographique similaire à ce que l’on peut retrouver sur des cartes à puces ; le module est isolé sur reste du système avec l’utilisation d’applets spécifiques en fonction des différentes cartes et des données traitées par le composant.

Afin d’exposer le fonctionnement de la solution, nous allons présenter étape par étape les différentes actions ainsi que les composants mis en œuvre afin de réaliser un paiement avec son mobile.

Phase d’enrôlement

La première étape consiste en la phase d’enrôlement de la carte bancaire du porteur sur son téléphone. Cette phase est à renouveler si vous changez/perdez le téléphone, ainsi que lorsque la carte arrive à expiration.

1. Une application dédiée Apple Wallet présente par défaut permet la gestion des cartes bancaires. L’utilisateur saisi des informations directement depuis application.

2. L’application transmet les données bancaires (PAN, date d’expiration, CVV) aux serveurs d’Apple Pay pour la tokenisation des données. Les serveurs Apple Pay ont un rôle de Token Requestor (TS).

3. Les données bancaires sont transmises en fonction du TSP correspondant à la marque de la carte bancaire (Visa, Mastercard, Amex à l’heure actuelle sont disponibles). Le TSP stocke de manière sécurisée les données bancaires du porteur en base de données.

4. Le token est transmis au TS puis au téléphone du porteur dans le module Secure Element.

5. Une clé partagée est générée par le téléphone dans le Secure Element puis est transmise au TSP. Cette clé sera utilisée par la suite afin d’éviter les problèmes d’usurpation du token lors de la phase de paiement.

Phase de paiement

Lorsque le porteur souhaite effectuer un paiement soit depuis son téléphone sur un site web marchant ou depuis une application, soit dans un magasin physique avec un terminal de paiement sans contact (TPE), la phase de paiement se lance.

1. Lorsque le téléphone détecte une demande de paiement (type de transaction, commerçant, montant, date), le téléphone utilise le Secure Element et la clé partagée avec le TSP pour générer un cryptogramme unique. Ce cryptogramme contient des informations relatives à la transaction en cours et est signé par la clé partagée. L’accès au Secure Element nécessite l’authentification de l’utilisateur sur son téléphone soit par code PIN ou par empreinte digitale (TouchID). Le token ainsi que le cryptogramme unique sont transmis au commerçant.

En fonction de la nature de la transaction, soit depuis le téléphone, soit en magasin le canal de transmission des informations varie :

2′. Pour un paiement depuis le téléphone, le site web ou l’application détecte que le téléphone supporte Apple Pay et propose la fonctionnalité à l’utilisateur. C’est ensuite le serveur du site commerçant qui traite le paiement. Celui-ci transfert le token et le cryptogramme unique pour chaque transaction vers la banque du commerçant (en direct ou par l’intermédiaire d’un prestataire de paiement de type PSP).

2 ». Pour un paiement en magasin, le porteur présente son téléphone au niveau du terminal de paiement (TPE). Au travers de l’interface NFC, le téléphone détecte automatique la demande de paiement et lance cette fonctionnalité. C’est ensuite le TPE qui traite le paiement en direct vers les services bancaires de la banque.

3. En fonction du canal de la transmission, le token et le cryptogramme unique sont envoyés à la banque du commerçant pour la validation de la transaction.

4. Lorsque la banque du commerçant détecte que les informations transmises correspondent à un token et non à un numéro de carte en clair, la banque transfert directement le token et le cryptogramme au TSP correspondant (Visa, Mastercard ou American Express) par l’intermédiaire du réseau interbancaire.

5. Le TSP vérifie que le cryptogramme a bien été généré par le téléphone correspondant au token du porteur pour la transaction actuelle avec le commerçant. En cas d’échec de la vérification du cryptogramme (mauvais token, expiration du token, mauvaises informations sur la transaction), la transaction est annulée.

6. Le TSP renvoie les informations bancaires à la banque du porteur par l’intermédiaire du réseau interbancaire. La banque procède à une transaction bancaire classique sur la base des informations de paiement récupéré par le TSP sur le compte du porteur.

À la fin de ces étapes, la transaction est confirmée par le TPE ou par le site commerçant auprès du porteur.

D’un point de vue technique, Apple ne permet toujours pas d’avoir accès aux détails techniques d’implémentation qui sont en œuvre autour du fonctionnement du Secure Element. Nous savons que cela utilise un chiffrement AES et le protocole de transport CCM-AES.
La sécurité de la solution repose sur le cryptogramme unique généré pour chaque transaction qui permet de garantir l’unicité et l’authenticité du paiement. En cas d’interception d’un token par une personne malveillante, il n’est pas possible de procéder à un paiement sans le cryptogramme généré par le téléphone. Le rejeu d’une transaction n’est également pas possible.

Le constat est le même pour les TSP, la documentation disponible ne permet pas de connaitre les détails techniques des mesures de sécurité mis en place pour protéger les données.
Le principe de tokenisation permet un avantage considérable, car il « désensibilise » une partie des données qui circulent lors d’une transaction bancaire. Il reste toutefois des données bancaires qui transitent entre les TSP, les serveurs bancaires et le réseau interbancaire.

---

Quels impacts sur la certification PCI DSS ?

Le standard PCI DSS est applicable pour toutes les entreprises/commerçant faisant transiter, traitant et stockant des données de cartes bancaires. Il se compose d’un ensemble d’exigences et de contrôles à respecter afin d’être certifié PCI DSS.

En fonction du traitement et des données qui sont échangés sur les systèmes d’information de l’entreprise, les exigences du PCI DSS varient. On parle par exemple de SAQ-A lorsqu’un site commerçant utilise une redirection vers un prestataire de paiement.

Pour les magasins, l’intégration d’un service de paiement mobile par tokenisation permet d’offrir un nouveau moyen de paiement pour ses clients tout en mettant hors scope les données correspondantes à ces transactions qui circulent sur son réseau et sur ces TPE.

Pour un site web commerçant, l’intégration d’un service de paiement mobile par tokenisation permet de désensibiliser les données liées à ces transactions et ainsi faciliter la conformité avec les exigences du standard PCI DSS. En effet, comme évoqué avec le cas Apple Pay, le commerçant ne voit jamais passé de cartes bancaires au sein de son SI mais uniquement des tokens et des cryptogrammes uniques par transaction.

Il est toutefois difficilement envisageable pour un commerçant de proposer uniquement des services de paiement s’appuyant sur cette technologie et de mettre de côté le paiement plus classique par carte bancaire.

---

Quel avenir pour ces technologies ?

D’un point de vue utilisateur, le paiement sur mobile représente un nouveau canal de paiement sécurisé toujours présent dans sa poche.

D’un point de vue commerçant, la mise en place d’un service de paiement s’appuyant sur la tokenisation permet de diminuer le risque associé au transport/traitement/stockage des données bancaires.

Par conséquent, ces nouvelles solutions vont permettre à des nouveaux acteurs de proposer des solutions de paiement sécurisé et facile d’accès au plus grand nombre.

Dans les mois à venir, le marché risque d’évoluer fortement en fonction du taux d’adoption de ces solutions par les consommateurs. Nous tâcherons de suivre ces nouvelles solutions et de vous informer sur les impacts en termes de sécurité et de conformité avec le PCI DSS.

---

Annexes

Sources/références

• PCI
  • https://www.pcisecuritystandards.org/document_library?category=token_service_provider&document=pci_tsp_requirements#agreement
• Apple Pay
  • https://www.apple.com/business/docs/iOS_Security_Guide.pdf
  • https://support.apple.com/en-us/HT203027
• Token Service Provider
  • https://www.emvco.com/wp-content/uploads/documents/EMVCo_Payment_Tokenisation_Specification_Technical_Framework_v1.0.pdf
  • https://developer.mastercard.com/product/mdes
  • https://developer.visa.com/capabilities/vts
• Sites spécialistes
  • http://www.paymon.fr/2015/01/05/hce-host-card-emulation/
  • http://www.paymon.fr/2016/10/03/payez-avec-son-mobile/
  • http://www.paymon.fr/2015/01/29/la-tokenisation/
  • http://www.paymon.fr/2015/03/31/visa-ouvre-la-voie-a-apple-pay-la-tokenisation-bientot-en-europe/

Lexiques

• CVV : Card Verification Value (numéro de vérification de la carte présent au dos)
• HCE : Host Card Emulation
• NFC : Near Field Contact
• PAN : Primary Account Number (numéro de carte principal
• PCI DSS : Payment Card Industry Data Security Standard
• PCI SSC : Payment Card Industry Security Standard Council
• TR : Token Requester
• TSP : Tokenisation Service Provider
• TPE : Terminal de Paiement

Légendes