Démystifions le paiement mobile sans contact

2017 sera probablement l'année du paiement sans contact mobile, utilisant la technologie NFC, cela grâce à Paylib qui rassemble de gros acteurs, ce qui permettra une démocratisation plus rapide et plus forte que ce qui a pu se faire ces dernières années, avec notamment Orange Cash et Apple Pay.

Avec ces grands mouvements, on entend à peu près tout et n'importe quoi sur ce sujet, je vais donc essayer d'apporter ma vision des choses, en restant le plus objectif possible :

Le paiement mobile, c'est moins sécurisé que la carte plastique

Pour répondre à cela, il faut tout d'abord différencier les solutions SIM-centric (Orange Cash, mais aussi les anciens KIX de BNP, M-Carte du Crédit Mutuel, etc.), et le choix qu'a fait Paylib en passant au HCE.

Sans rentrer dans les avantages et inconvénients de chacun, la carte SIM a énormément de ressemblance avec une carte à puce servant à payer (que l'on appelle donc communément "carte bancaire"), et bénéficie en France de la certification EAL4+. Si on a confiance aujourd'hui en la carte bancaire, aucune raison donc d'avoir peur du paiement mobile en SIM-centric.

De plus, dans le cas d'une perte ou vol du téléphone, on remarquera deux avantages en faveur du mobile :

  1. Il n'y a rien écrit dessus. Contrairement à la carte plastique, sur laquelle on retrouve le nom/prénom, le code PAN et CVV qui peuvent servir à payer en ligne.
  2. On peut forcer la demande du code PIN pour chaque paiement, même inférieur à 20€. Sur carte plastique, ce choix n'est pas possible.

On peut ajouter un détail qui a son importance, mais qui est à la fois un avantage et un inconvénient : le HCE ne permet pas de payer si l'écran est verrouillé (ou éteint), contrairement aux solutions SIM-centric. Bon argument sécuritaire ou limitation technologique, je vous laisse juger !

De plus, à moins de trafiquer un terminal de paiement, celui-ci doit biper à chaque transaction sans contact, mais aussi avoir une connexion réseau pour donner vérifier l'autorisation de paiement (à ce jour, les applications Apple Pay, Orange Cash et Paylib fonctionnent toutes en autorisation systématique).

On peut me faire payer dans le métro à mon insu

Pour réussir à faire cela, il faudrait que le voleur possède son propre terminal de paiement, et donc qu'il soit déclaré en tant que commerçant. Cela veut dire qu'il sera très facile de remonter jusqu'à lui en cas de fraude, les transactions bancaires possédant un traçage extrêmement précis... Contrairement aux espèces !

C'est plus compliqué/plus lent qu'avec ma carte bancaire plastique

Le problème vient souvent d'une incompréhension de la part des utilisateurs : il n'est pas nécessaire de lancer l'application de paiement pour payer !

Au-delà de cette remarque, dans le pire des cas, le paiement par mobile pourra prendre autant de temps en manipulations qu'un paiement par carte plastique, dans le cas où il est nécessaire de rentrer son code PIN sur le mobile.

Du côté du très rapide, on saluera Apple Pay qui permet de payer en une seule (double-)pression du TouchID, quel que soit le montant.
On espère voir l'utilisation de l'empreinte digitale sur Android également, mais à ce jour aucun acteur ne propose cette option.

Des détails qui font beaucoup moins parler

Anecdotiquement, on gagne même en hygiène avec le paiement sans contact, puisque l'on élimine la carte plastique qui passe de main en main au moment de payer ! Autant il arrive de voir le commerçant prendre la carte plastique dans ses mains, même pour payer en sans contact derrière, autant je n'ai strictement jamais vu faire cela avec le téléphone d'un client.

Ajout 29/01 : un argument sécuritaire de taille, le sans contact permet de ne pas se faire avoir par les skimmers ou shimmers, puisque la lecture via antenne NFC délivre beaucoup moins d'informations que le chip & pin. Le code, par exemple, n'étant tapé que en local sur le mobile, et non directement sur le TPE.