Apple Pay serait largement utilisé pour des fraudes à la carte bancaire
Le système de portefeuille électronique d'Apple, Apple Pay, fonctionne d'une manière relativement simple. Plutôt de de créer un nouveau système de transaction bancaire, la société a décidé de s'adosser au système des cartes de crédit déjà existant, c'est d'ailleurs la raison de la si rapide adhésion de toutes les sociétés à son système.
Ainsi, pour utiliser Apple Pay, il suffit de rentrer dans son compte iTunes des informations sur une carte de crédit. Ensuite, Apple Pay permet seulement de valider une authentification via son iPhone, qui sert d'intermédiaire entre le commerçant et l'organisme émetteur de la carte de paiement. On rajoute donc seulement une couche dans les systèmes existants, cette couche étant chiffrée, et Apple ne réalisant aucune transaction directement.
The Guardian apporte plus de détails là dessus et rapporte que tout ne se passe pas aussi bien que le prévoyaient les banques. Ces dernières ont mis en place deux voies différentes pour se prémunir des fraudes. La première, la voie verte, est utilisée pour les cas les plus simples, ceux où la banque considère la transaction comme sûre d'emblée. L'accord est immédiat. On a la même chose avec les terminaux de carte bancaire qui parfois, pour de petites sommes et sur des cartes qui ne sont pas à débit immédiat, donnent l'accord de transaction sans contacter les centraux.
La seconde voie, l'orange, est utilisée pour les transactions considérées comme potentiellement à risque. Il y a une demande d'autorisation de la banque et dans ce cas elle peut être amenée à vérifier l'identité de l'émetteur. La voie choisie par certaines banques pour s'assurer de l'identité a été de demander les quatre derniers chiffres du numéro de sécurité sociale de la personne.
Il s'est avéré dans ce cas qu'elles ont été confrontées à un niveau de fraude très élevé. La raison en est simple, vue le nombre de bases de données piratées ces derniers temps, les pirates ont pu récupérer une masse de numéros de cartes bancaires avec les informations nominatives de leurs propriétaires, dont ce numéro de sécurité sociale.
Les pirates ont trouvé juste très pratique d'utiliser Apple Pay qui leur permet de ne pas avoir à créer un clone de carte de crédit et à pouvoir acheter sur place des produits sans avoir à les faire livrer à une adresse fantôme.
Les banques sont maintenant à la recherche de moyens plus sécurisés pour certifier la légitimité des demandes d'ajout de numéros de cartes bancaires à Apple Pay. Ce n'est pas simple car il faut trouver un compromis entre la sécurité et la simplicité voulue par Apple et sur laquelle elle ne voudra pas faire de concessions trop importantes.