Le système de paiement Apple Pay a été détourné aux États-Unis. Les pirates ont réussi à obtenir des numéros de cartes bancaires via plusieurs chaines de magasins, puis se sont servies de cette fonctionnalité pour procéder à des achats, essentiellement dans les Apple Store. Le cœur du problème ne vient cependant pas d’Apple Pay, mais des banques elles-mêmes.
Une vérification parfois très laxiste des informations par les banques
Le Wall Street Journal a lâché hier soir un pavé dans la marre : le système Apple Pay a été détourné au profit de pirates qui s’étaient appropriés des cartes bancaires. Ces dernières, ou plutôt leurs informations, ont été volées depuis deux chaines américaines de magasins, Target et Home Depot. Il s’agit de l’une des conséquences de ces véritables braquages de données qui avaient eu lieu l’année dernière.
La technique retenue par les pirates a été de créer ensuite des comptes Apple Pay pour y intégrer les informations ainsi dérobées. C’est là qu’intervient une étape de vérification décisive. Apple ne permet en effet pas de créer un compte sans que les banques ne donnent leur accord aux futures transactions. À l’ajout d’une carte, la banque émettrice a deux solutions :
- Chemin « vert » : l’autorisation est immédiatement donnée
- Chemin « jaune » : une vérification est effectuée
Cette deuxième méthode est la plus courante, sauf si la carte correspond déjà à un compte iTunes fonctionnel. Dans tous les cas, la banque définit elle-même comment elle souhaite vérifier l’identité du client. Or, d’une enseigne à une autre, les mesures varient beaucoup et sont plus ou moins intensives.
De la connexion exigée au service en ligne au simple envoi de SMS
Parmi les informations demandées, on retrouve donc les nom, prénom, date de naissance, adresse postale et autres informations triviales. Si triviales en fait qu’elles sont le plus souvent très simples à trouver et que certaines banques ne vont pas au-delà, se contentant par exemple d’envoyer un simple SMS de vérification. Conséquence : des comptes Apple Pay ont été validés par les banques et les pirates ont pu procéder à des achats. Une méthode d’autant plus efficace qu’Apple Pay se sert d’un jeton émulant une carte bancaire, sans que l’utilisateur ait besoin physiquement de cette dernière.
80 % des achats frauduleux ont été effectués dans les Apple Store, sur des produits onéreux. Selon une source du Wall Street Journal, ce choix obéit à une logique implacable : les Store de la firme offrent l’assurance de pouvoir utiliser Apple Pay (évidemment) et les produits achetés ont une grande valeur à la revente. L’argent dérobé est ainsi converti en biens qui seront revendus par la suite via différents moyens.
Apple Pay n'a pas été piraté
Bien que la fraude passe par Apple Pay, le système de paiement de l’entreprise n’est pas en cause, quand bien même une partie de la presse s’échine déjà à expliquer que la fonctionnalité a été piratée. Il n’y a pas de faille de sécurité, ni de barrière contournée : Apple Pay est un cargo dont certaines marchandises peuvent être frelatées. Le problème réside dans la vérification des marchandises, en l’occurrence la légitimité du porteur de cartes.
Il faudra donc que les établissements bancaires renforcent de manière drastique ces procédures de vérification. Certains réclament par exemple à leurs clients qu’ils se connectent à leur espace en ligne pour valider directement au sein de ce dernier l’autorisation. Si un pirate peut récupérer les informations d’une carte, il lui sera plus complexe d’avoir en même temps les identifiants d’accès sur le service en ligne. Il est possible que les banques n’aient pas souhaité « assommer » les clients avec des procédures lourdes, mais il faudra bien que le monde se réveille : la sécurité et la facilité d’utilisation ne cohabitent que moyennement. L’absence de vérification efficace ne peut que concourir au faux sentiment de sécurité du client.
D’autant que tout le monde est perdant : les clients floués de leur argent perdent confiance, les banques doivent les rembourser puisqu’elles sont responsables, et Apple y perd en image. Richard Crone, PDG du cabinet de conseil sur les paiements Crone Consulting, résume ainsi au Wall Street Journal : « Apple Pay est formidable, mais est bâti sur des fondations branlantes ». Par ricochet, c’est le système de paiement, et donc la marque elle-même, qui seront pointés du doigt, au moins en partie.
Commentaires (126)
#1
Je trouve que sur ce coup, Apple tente de se dédouaner de ses responsabilités en accusant les banques…
Je pense que le soucis de sécurité se trouve plutôt du côté d’Apple Pay qui accepte les numéros de carte sans validation derrière…
#2
non non
Appel accept uniquement si la carte correspont a celle d’un compte iTune fonctionnel (donc deja valide)
Sinon demande de validation par la banque qui pour certainne demande le strict minimum
#3
De tout de façon c’est de la faute à Apple, voilà et puis c’est tout, lol.
#4
“Le cœur du problème ne vient cependant pas d’Apple Pay, mais des banques elles-mêmes.”
Euh, et donc le titre c’est juste du FUd et du click-bait?
#5
#6
Je ne comprend pas le problème avec le SMS de vérification. Le pirate n’a pas la carte sim liée au compte bancaire
#7
J’avoue, premier article, premier commentaire, boum le troll
" />
Sinon, rien de nouveau dans le fait que les cartes de paiement soient bon vecteur d’arnaque aux US, ils ont l’habitude. Et on voit aussi là la limite du partenariat entre Apple et les Banques, elles ont fait ce qu’elles voulaient comme d’hab. Pas sûr qu’Apple puisse rectifier efficassement le tir.
ApplePay c’est juste une facade, avec les banques derrière. Si Apple arrive à les mettre au pas et à leur imposer des audits ça pourrait bien fonctionner, mais j’ai comme un doute…
#8
systeme pour certaines banques US donc le sms c’est genre “Mr/Md votre carte est valide et autoriser pour le service demande en cas de prob bla bla espace client”
#9
non, la fraud est bien faite avec l’apple pay, et le payement aussi, donc c’est bien un détournement de l’apple pay pour faire une fraude à la carte bancaire. mais c’est pas lui le responsable, juste que il t’évite de creer une fausse carte bancaire.. ( mais c’est jamais ça qui as arrête les fraudeurs non plus..)
#10
#11
Surement une IFaille, çà va être corrigé dans le Appel Pay 2, le problème c’est qu’il faudra tout racheter…
#12
comme tout nouveau système de paiement, il y a des fraudes le temps que les acteurs qui font mal leur travail prennent leur responsabilités …
#13
Ce que je trouve désolant dans cette histoire c’est que les banques veulent nous faire croire qu’on est bien protégés alors qu’en fait elles s’en foutent.
Après que ça passe par Apple Pay ou Google Pay ou encore Lidl Pay, je m’en balance royalement. Elles font de la merde.
#14
le souci c’est que pour toi, “Apple pay” = “Apple”.
" />
" />)
Mais Apple Pay est avant tout une collaboration entre Apple, les organismes de paiement, les banques & co.
Si il y a un acteur qui fait mal son travail, c’est la chaîne de confiance “Apple Pay” qui est affaiblie.
Une fois qu’on a compris que Apple Pay n’est pas une technologie créée de toute pièce par Apple à 100% le titre est juste en fait
De même, j’avais vu une news comme quoi sur des anciens terminaux de paiement, le “token” pourrait être mal utilisé, rendant Apple Pay (& Google Pay par la même occasion) potentiellement sensible aux fraudes (mais j’arrive pas à la retrouver
#15
Tout simplement parce que tu ne sera jamais “bien protégé” 
" />
Sauf à t’empêcher d’acheter en ligne sans te payer un lecteur de CB, à avoir un lecteur d’empreinte digitale dans le lecteur de CB …
Tu ne seras jamais “complètement sécurisé”. Et non elles ne s’en tapent pas royalement … vu que c’est elle qui doivent rembourser en cas de fraude de ce type …
#16
Le système bancaire US est vraiment archaïque sur certains aspects (id basé sur le SSN, credit score, chèques papiers…) et la plupart des personnes n’y comprennent rien car elles n’ont jamais été éduquées à la finance personnelle (même pas un basique cours de compta à l’école). Elles se contentent de consommer les produits ,surtout les cartes de crédits, que leur banque leur propose.
Alors quand on aborde la sécurité c’est limite un argument commercial pour la banque qui implémente la méthode la moins intrusive même si ça se révèle être une passoire au final.
#17
Le cœur du problème ne vient cependant pas d’Apple Pay, mais des banques elles-mêmes.
La routine quoi.
#18
#19
#20
#21
Pourquoi tu dis ca alors que TOUT l’article explique justement le contraire ?
T’as des informations supplementaires ou t’es juste un hater de base ?
#22
#23
#24
La faute est pour Apple et la banque en question, tout simplement.
Bien qu’Apple pay n’ai pas été piraté en soit, il y a un soucis de synergie entre les deux et ça manque de sécurité à ce niveau là. A et B sont responsables.
#25
Je comprend pas ta remarque.
Je cite l’article :
… le système Apple Pay a été détourné au profit de pirates qui s’étaient appropriés des cartes bancaires. Ces dernières, ou plutôt leurs informations, ont été volées depuis deux chaines américaines de magasins, Target et Home Depot.La technique retenue par les pirates a été de créer ensuite des comptes Apple Pay pour y intégrer les informations ainsi dérobées.
#26
Laloiest claire
La responsabilité du titulaire d’une carte mentionnée à l’article L. 132-1 n’est pas engagée si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de sa carte.
De même, sa responsabilité n’est pas engagée en cas de contrefaçon de sa carte au sens de l’article L. 163-4 et si, au moment de l’opération contestée, il était en possession physique de sa carte.
Dans les cas prévus aux deux alinéas précédents, si le titulaire de la carte conteste par écrit avoir effectué un paiement ou un retrait, les sommes contestées lui sont recréditées sur son compte par l’émetteur de la carte ou restituées, sans frais, au plus tard dans le délai d’un mois à compter de la réception de la contestation.
Edit : Bien sûr, écrire est important si votre gestionnaire n’acquiesce pas tout de suite.
#27
Je ne suis pas vraiment d’accord en ce qui concerne la responsabilité des banques, même si le commentaire de Vincent sur la chaine ApplePay est très pertinent.
Vu comment les choses ce sont passées pour les projets ApplePay, les banques n’ont pas vraiment eu leur mot à dire, ni les réseaux (ce qui est amusant quand on connait MasterCard). Donc je penche tout de même pour une responsabilité d’Apple dans cette histoire.
Il faut savoir que les banques ont été confrontées à un choix cornélien: accepter ApplePay avec toutes les règles dictées par Apple, à commencer par la gestion de l’authentifucation utilisateur, ou ne pas faire partie d’applepay. On voit d’ailleurs que la capacité de résistance des marchands a été bien meilleure puisque tout le réseau MCX refuse ApplePay.
#28
Je me demande si Apple s’est inscrit au registre du commerce correctement en tant qu’intermédiaire en opération de banque.
" />
#29
Il vient juste de t’expliquer qu’apple acceptes dans son système des cartes bleues volées avec une fausse vérification (itune) et toi tu le traites de troll.
Je sais bien que les apple fan n’on aucun esprit critique, mais bon quand même…
Et sinon le remboursement c’est en France, car la puce et le code font office de signature, et le système repose là dessus, pas d’assurance supplémentaire à payer, ailleurs par contre…
#30
Ça fais peur de voir des gens défendre Apple comme si leur vie était en grand danger sérieusement….
Pour le moment on a qu’un seul son de cloche, celui d’Apple qui, bien sur, essaye de se dédouaner !
Faudrait peut être attendre voir ce que les banques on a dire sur ça, ça m’étonnerai que ce sois les seuls fautif.
A en entendre certain c’est tout à fait normale qu’Apple propose un logiciel de paiement très (trop) accessible, à peine sécurisé et dont les banques doivent accepter les conditions sans rien dire, limite ils aurai pu leur dire “On va faire ça, démerder vous pour géré le reste”…
Enfin bref, attendons d’entendre ce que tout les protagonistes ont à dire avant de vouloir en mettre au bucher…
#31
Il y a 3 types de contrôles :
1°) le contrôle technique (type check Sum) => celui-ci est fait (et c’est le minimum)
2°) le contrôle “existence du compte” => seule la banque peut le confirmer
3°) le contrôle “user” (est-ce bien le titulaire qui effectue l’opération) => seules les organismes de contrôle affiliés aux banques peuvent le confirmer
Tu peux avoir une dent contre Apple…, mais ne pas aller trop vite dans tes conclusions.
#32
#33
Ça, c’était pas écrit dans l’article.
Et leurs banquiers sont clairement des gros nazes…
Le social engineering fonctionne toujours autant, ça fait peur….
Avec ma banque, j’ai un contact direct, c’est mon conseiller, dans mon agence. Le service antifraude, je doute qu’il prenne en compte les appels direct, ils ne peuvent pas être sûr de la personne qui est au bout du fil…
#34
#35
Question sur Apple Pay: c’est lié au compte iTunes ou à l’appareil? Si tu as apple pay et que quelqu’un chope tes données de connexion itunes, il peut utiliser son iphone avec tes données pour payer?
#36
Apres tout, les banques sont bien les premières à avoir des clauses de contrat à la con et à essayer par tous les moyens de te pousser à prendre des trucs dont tu n’as pas besoin
#37
Si il a ton doigts avec pour débloquer le téléphone, oui 
" />
#38
Pourquoi hâter de suite ? C’est pasidu tout gonflant de lire ça… Et toi, fanboy aveugle ?
#39
C’est juste énorme…
Je vois juste dans cette histoire l’incompétence des banques face à un nouveau moyen de paiement.
Apple (ou autre acteur) pourra développer le meilleur système qui soit, si les banques ne font pas le minimum pour vérifier les paiements, je ne vois pas ce que Apple peut faire. Les acteurs du Web ne sont pas des banques !
Sinon pour le titre, je trouve qu’il est bien choisi. Le système d’Apple a été détourné, les mots correspondent à la réalité. Pas contourné, pas cracké, pas de faille 0-Day, juste utilisé “comme un cargo transportant des containers”.
Vincent écrit très bien, et sait choisir les mots.
#40
Ou alors c’est juste navrant de voir des gosses à deux neurones venir polluer à chaque fois les commentaires en balançant des trolls sur des sujets où ils ne comprennent rien … au lieu d’aller jouer au bac à sable dehors.
#41
certaines banques ne vont pas au-delà, se contentant par exemple d’envoyer un simple SMS de vérification.
Ou pire, demandent la date de naissance. Une visite rapide sur Facebook et tu es sûr à 99% d’avoir la réponse.
#42
mais il faudra bien que le monde se réveille
Oui, car il y a dans la vie des choses bien plus importantes que ces histoires de pognons et la terre continuera de tourner avec ou sans, le fric.
#43
Quoi qu’on en dise le problème vient des banques et de Apple, une telle solution de paiement est vendue par Apple il incombe donc à cette entreprise de vérifié que tous se passe bien, il est évident que les banques on fait n’importe quoi mais c’est à Apple de veillé à ce que son service soit utilisé de la bonne manière c’est juste une faille du système et heureusement que ça à été vu assez rapidement.
#44
#45
#46
Il est possible que les banques n’aient pas souhaité « assommer » les
clients avec des procédures lourdes, mais il faudra bien que le monde se
réveille : la sécurité et la facilité d’utilisation ne cohabitent que
moyennement.
En lisant cette phrase j’ai pensé à Valls et Cazeneuve, qui tiennent ce même discours pour justifier le renforcement des mesures liberticides…
#47
Tu as de la chance, ta banque te contacte avant le renouvellement. ;-)
Moi je suis passé au porte feuille protégé : la CB (fonction désactivée par la banque), passe du bureau, carte ticket restaurant et Navigo. Ca commence à faire beaucoup.
#48
#49
#50
De toutes façons ces systèmes devraient être limités à des petits achats, et certainement pas en ligne AMHA.
Tu regardes les achats en ligne par CB, ils sont de plus en plus sécurisés; on t’envoie un SMS sur un smartphone qui n’a rien à voir avec ton moyen de paiement; la vérification est plus facile forcément…
C’est facile de jeter la pierre sur les banques, mais que peuvent elles vérifier?
Vous dites vous même que si la carte correspond à un iTunes fonctionnel on passe par “chemin vert”. Or dans les infos précédemment dérobées à Home Depot ou Target ils y a forcément des millions de cartes qui correspondent à ce cas de figure…
#51
Et c’est lui qui dit ça!
" />
" />
https://www.facebook.com/pastis.ricard
Tu es né le le 9 juillet 1909selon wiki
#52
#53
#54
Qu’il rembourse !
" />
Avec 600 Milliard il y a de quoi faire
#55
Le problème est qu’Apple transforme une transaction VAD (avec tous les problèmatiques de sécurité attachée à ce mode de paiement) en système de paiement de proximité sécurisé.
Tout la partie technique d’ApplePay donne donne un faux sentiment de sécurité. C’est à Apple de s’assurer que les token générés lors de la transaction sont réellement associée à une carte non volée et appartenant au prioritaire du téléphone.
De toute façon c’est le problème principal du paiement par téléphone, qui garantie l’association téléphone-compte bancaire ?
Avec une carte bancaire, le problème ne se pose pas, tout est géré par la banque.
Mais avec le téléphone, il faut faire rentrer un tiers dans la boucle (souvent un opérateur téléphonique), et donc partager les commissions. Et partager les bénéfices, cela ne fait jamais plaisir …
#56
Ce qui est fou dans cet histoire c’est que les CB utilisées viennent de Target et Home Depot. Les banques ont eu connaissance de ces vols et auraient du remplacer toutes ces CB.
C’est d’ailleurs ce qu’a fait ma banque, puisque ma carte utilisée chez Home Depot a été remplacée moins d’une semaine après les annonces…
De la à mettre en cause un laxisme de certaines banques…
#57
On dirait un article pour défendre Apple.
Mais…..
“Une méthode d’autant plus efficace qu’Apple Pay se se sert d’un jeton émulant une carte bancaire, sans que l’utilisateur ait besoin physiquement de cette dernière.”
vs
“Bien que la fraude passe par Apple Pay,
le système de paiement de l’entreprise n’est pas en cause, quand bien
même une partie de la presse s’échine déjà à expliquer que la
fonctionnalité a été piratée.”
J’imagine la versoin BBry sur NI :
“Les utilisateurs de BBry choisissent cette plateforme pour la sécurité, mais le Blackberry-pay met à mal la sécurité qu’ils defendent corps et bien. Et l’on sait tous que la marque n’a plus le vent en poupe, cet épisode facheux sur la sécurité de sa solution de paiement ne va pas arranger son image, déjà catastrophique. Mais qui a encore un Blackberry aujourd’hui ?”.
#58
Jusqu’où on peut être de mauvais foi 
" />
La méthode utilisée par Apple sera la même que celle utilisée par Google, et Samsung (hors utilisation de leur truc de bande magnétique), au final, tous ces systèmes seront “sensible” à ces failles, Apple ne PEUX PAS faire de correction dans le protocole ou la techno pour améliorer les choses, et Apple se base sur le fait que la banque envoi un une info disant : cet utilisateur est SUR accepte TOUT ses paiements.
Et si BB décide de se bouger le fion, pour implementer le payement sans contact ça sera de toute façon la même techno.
Mais … c’est de la faute d’Apple, et c’est parce que NXI est de mauvaise foi qu’ils ne disent pas la vérité, mais SI ! c’était blackberry ! ils diraient que c’est de la faute de Rim !
#59
À ma connaissance, ça a en effet aussi été le cas aux US. Après toutes les banques ne l’ont peut-être pas fait, et peut-être que certains clients sont passés au travers…
Sinon je ne suis pas sûr d’avoir bien compris si les cartes liées à un compte itunes posaient soucis ou pas au final…
#60
#61
Donc cela ne peut pas être en partie de la faute d’ Apple ?
" />
C’est une blague ?
Apple Pay est un service vendu comme étant à la fois simple et sécurisé… et il ne vient à l’idée de personne que ces 2 notions ne vont pas ensemble ou que le service a été lancé à la va-vite ?
Apple vérifie toutes les apps de son store avec une méthode draconienne, mais le service Apple Pay n’a fait l’objet d’aucun cahier des charges au niveau d’une sécurité minimum ?
Sans rire: ce problème est tout autant un problème lié aux banques qu’à Apple: car Apple a clairement utilisé son image pour dire que ce service était partaitement sécurisé… Mais si en faisant cela, Apple ne vérifie pas derrière le bon travail des banques, ce service ne sert à rien…
#62
#63
Pour me faire l’avocat du diable 2 minutes (parce qu’en vrai j’en ai un peu rien à faire d’APple pay ^^), Apple assure la sécurité de la transaction, la sécurité des données, mais la sécurité de: la banque autorise qui que ce soit à ajouter votre carte sur Apple Pay -> pour moi ça n’est pas le travail d’Apple. Ce n’est pas eux qui sont les mieux placés pour cela, mais bien les banques. Qui a priori ont fait de la merde sur ce coup.
Après Apple pourrait probablement mieux faire, mais j’ai du mal à voir comment. Ils peuvent vérifier que la carte n’est pas déjà utilisée sur un de leur comptes itunes, ou autre compte Apple Pay (et à ce moment là demander confirmation au propriétaire de ce compte), mais à part ça…
Tous les sites de ventes en ligne etc. demande aux banques, ils ne vérifient pas eux-même.
#64
Coucou, je te propose un service simple & sécurisé mais en fait j’en sais rien parce que la sécurité est pas de mon ressort mais de celui des banques. Vas-y utilise-le!
#65
Comme pour les fuites sur icloud… Ce n’est pas la faute d’apple… Jamais… Ce n’est pas de leur faute si leur regles règles de sécurité sont complètement laxistes…
#66
La sécurité de la transaction est de leur ressort. Mais ils n’ont juste pas les moyens eux de vérifier si la carte est la tienne ou pas. C’est bien pour ça qu’ils demandent à la banque de confirmer la carte avant de l’accepter.
Quant à iCloud, la dernière chose que j’avais retenu c’est que les MDPs avaient été volés sur des téléphone aussi bien android, iOS que Windows, du coup a priori je suis à la ramasse et je ne peux pas vraiment répondre ^^
#67
#68
#69
+1 pour la layus BBry
bon sinon en parlant de BBry ben WMC finito et gagner mon pari : que meme si annonce de BBry (juste 4 smartphone dont 1 qui va faire baver certain, juste BB service pour iOs Droid et WP, BES 12 et knox …) mais rien meme pas une ligne
voila c est dit
#70
Quand tu fais un achat via carte bancaire par internet, ce n’est pas la banque qui vérifie… c’est le groupement CB (Visa + Mastercard) qui s’assure que la transaction est conforme, avec éventuellement une interrogation informatisée de solde en fonction du montant et des plafonds.
Et le GIE Carte bancaire est rémunéré pour ça (en règle générale 0.15% de la transaction avec un mini à 1€).
#71
Je ne peux qu’approuver, ^1000 
" />
#72
De ce que j’en comprends, c’est un pb de confiance.
Quand je commande pour 100-300E sur internet, je dois valider mon acte CB par une 2nde source ie SMS que je fais l’acte de commande volontairement. Comment peut-on commander un i-chose à 2kE sans cette double vérification? La banque a fait confiance à apple pour assumer les risques de ne pas vérifier l’authentification.
La question de la responsabilité reste à définir selon les rôles de chacun.
#73
#74
Qui te dit que la carte est volée???
On sait juste que des infos ont été piraté chez Target et Home dépôt…
Quand tu achètes un truc à 2k brouzoufs en ligne via CB, tu as une vérification, par SMS ou autre. Et là, rien…
#75
#76
#77
#78
Comment tu veux que la banque soit au courant?
Faut arrêter de délirer. Je sais bien que c’est la mode de taper sur les banquiers, que ça fait même élire les présidents, mais quand même…
#79
#80
#81
#82
#83
#84
Mouais… il suffit d’un doigt.
" />
Un gamin l’a fait tout en douceur avec celui de son père pour jouer; un malfrat le fera avec un canif sur ta dépouille après t’avoir trucidé… ou avant….
#85
Vu le nombre de post de misterB sur cette news, le nouveau service d’Apple ne doit pas être une réussite.
" />
/Gestion de crise
#86
Le problème est qu’Apple propose un service dit “sécurisé”, or il ne l’ait pas.
Certe il sont dépendant des banque et ils n’ont pas toutes les informations, mais c’est bien là le problème. Comme tu l’as dit les banques Américaines sont connues pour leur laxisme, ils n’ont donc pas la capacité d’assurer les services promis.
Apple a construit une maison avec une porte blindée mais ils ont oubliés de mettre des volets aux fenêtres.
Ils sont débutants dans le métier, ils vont apprendre. Cela me rappelle Mercedes et leur classe A qui avait du mal à rester debout dans les virages.
#87
#88
Le problème de fond est le consumérisme! Il FAUT consommer le plus possible, et rendre cette consommation la plus simple possible sans “ennuyer” le consommateur par de “vulgaires” contraintes de sécurité… Le but est que le commerce fonctionne. Qu’il y ait des “dommages collatéraux” est une problème mineur, les banques passant soit en pertes et profits, soit par un système d’assurance… Qui paie en fin de compte? Le consommateur, toujours; les fameux “pertes et profits” étant au final répercutés dans les tarifs des services bancaires et ou les assurances “qui vont bien”… Tant que le système fonctionne, et ne vient pas trop perturber les finances des banques et devenir “visibles” au niveau des répercussions au niveau des consommateurs, vogue la galère, et on ne modifie absolument pas le cap, les frais à engager pour augmenter le niveau de sécurité étant encore trop importants en regard… (Il faut dire que certaines compagnies “spécialisées” dans le domaine de la sécurité sembleraient pratiquer des tarifs plus assimilable à des rackets mafieux qu’autre chose, ce qui est dissuasif au possible!) :(
#89
Ben je suis desolé mais quand tout un article dit blanc et que le mec en arrive dans sa tete a la conclusion que c’est noir, c’est qu’il y a quand meme un sacré probleme qqpart, nan ?
Donc pour moi, y’a que 2 solutions : soit le mec a des informations supplementaires que personne ne connait et ca serait assez cool qu’il partage, ca ferait un beau scoop pour NXI, soit il a un serieux probleme de comprehension/jugement/logique qui ne peut s’expliquer que par une sorte d’aveuglement haineux completement ridicule et injustifié.
Pour moi, c’est l’exemple parfait et typique du hater justement. Et crois moi, je n’utilise pas cette expression a la legere …
#90
#91
#92
Apple pay n’est pas en cause mais tous les titres des journaux le mentionne dans leur titre.
C’est limite comme principe et induit clairement en erreur
#93
#94
#95
J’ai l’impression que beaucoup de gens veuillent que ce soit de la faute d’Apple car c’est Apple et que Apple c’est le grand méchant.
Dans cette histoire ici ça se passe comme ça :
T’enregistre une carte dans Apple Pay, Apple envoie les informations de la carte et du propriétaire du compte Apple a la banque et demande a la banque si c’est bon ou pas.
Si la banque lui répond oui, alors ils activent la carte dans Apple Pay.
Apple ne peut pas savoir si la carte est bonne ou pas, ils ont pas les infos c’est les banques qui les ont. Le problème ici c’est quand les banques répondent que la carte est bonne quand elle ne l’est pas. La seule chose que peut faire Apple pour éviter ce problème c’est de complètement contourner les banques et créer une Apple Bank, ou alors demander aux banques un accès total aux informations sur leurs clients histoire de vérifier eux même. Pas sur que les dits-clients seraient contents..
Alors je veux bien que vous voulez que ce soit la faute d’Apple, mais va falloir être plus convainquant.
#96
Y’a un moment où il faut bien réaliser que le soucis n’est pas du tout lié à Apple Pay quand même. Si les infos de la carte ont été volés, c’est comme utilise la carte sur n’importe quel site internet. C’est pas au site de vérifier la validité de la carte. C’est à la banque d’autoriser le paiement ou pas.
On ne peux pas reprocher à Apple de ne pas être au courant qu’une carte a été volée si la banque elle même n’est pas au courant…
Le service Apple Pay c’est à partir du moment où ta carte est sur tout téléphone, les infos de ta carte ne peuvent pas être volées par ce biais, quand tu fais une transaction c’est le bon montant, et on ne te cole pas tes infos et il faut l’empreinte digitale pour activer la carte donc si on te vole ton tél t’es safe.
Si t’as banque est suffisamment débile pour dire que ta carte peut être activée sur n’importe quel tél sans vérification supplémentaire, c’est bien la faute de la banque. Et Apple aurait essayé d’imposer un processus au banque (quand bien même ce n’est clairement pas sa place) tout le monde aurait hurlé contre Apple essayant de contrôler les banques…
C’est quand même pas dur, si j’utilise ma carte sur un site, et qu’ils se font pirater mes infos de paiements, là je râle contre le site. Si un site accepte un paiement avec ma carte qui a été volée, j’engueule ma banque pour avoir autorisé un paiement qui n’est pas valide, (et j’engueule le responsable de la fuite de mes infos, dans ce cas précis Target et Home Dépôt)
#97
Apple Pay c’est payer de façon sécurisé sans avoir besoin de détenir physiquement ta carte…
Quand on sait à quel point il est “simple” de récupérer des informations sur une carte et son propriétaire, le minimum du minimum est d’être sur que lors de la création du jeton, la carte et le propriétaire sont valides.
Apple n’a imposé aucune contrainte aux banques pour cette étape or c’est un service Apple: au nom de quoi la totalité de la faute devrait incomber aux banques ?
#98
#99
#100
Et bien parce que ce n’est pas à Apple de dire aux banques comment faire leur travail :-/
Une fois encore, si un voleur utilise ma carte volé sur un site en ligne, je vois pas en quoi c’est la faute du site. Si la banque autorise le paiement c’est la faute de ma banque… Surtout qu’a priori les infos volées viennent de Home Depot/Target, qui ont admis publiquement ce vol… Si après les banques sont stupides au point de laisser les cartes en libres circulations…
#101
Ce n’est pas Apple qui garantie la validité d’un carte, c’est dans un premier temps la banque qui autorise l’utilisateur à l’ajouter à Apple Pay, et ensuite la banque (encore) qui autorise le paiement avec le token correspondant à la Carte. Apple est dans le job de rassembler les informations et de les transmettre. Pas de savoir si la carte est valide ou pas.
#102
Elles sont assurées pour.. Et si j’ai bien compris la fraude, la vérification c’est un simple SMS auquel on répond ? Ca c’est laxiste …. Mais faut pas dire oui à tout va non plus… Quand les gens auront compris que leur sécurité ils doivent d’abord l’assurer eux mêmes…
#103
#104
#105
Apple demande aux banques de garantir la validité des cartes, et donc leur demande au moment de l’ajout si la carte est valide. Je vois pas comment tu voudrais qu’Apple puisse garantir la validité des cartes, ils n’ont pas accès aux informations nécessaires.
#106
#107
Son système est sécurisé, c’est celui des banques qui ne l’est pas.
Au jour actuel tu met ta CB dans Apple Pay et tu paie avec de manière tout a fait sécurisée.
#108
#109
#110
#111
Le système ne résout rien du tout, si la banque dit ok a Visa, le paiement passera, carte volée ou non.
D’ailleurs Apple Pay crée des jetons lors des achats…
#112
il fallait pas l’appeler “ Apple pay”, si ils voulaient pas qu’on associe le nom “Apple ” a toutes malversation autour du système “ Apple pay” 
" />
" />
maintenant non, je ne pense pas que Apple soit responsable, c’est à la banque de s’assurer de la validité de la carte.
C’est pour ça que le service est en accord avec les banques, elles sont sensés savoir avoir l’expérience pour identifier leur client, d’un fraudeur, que ça soit pour l’accès a leurs compte en ligne, ou leurs donner un chéquier/CB
Maintenant le système Apple pay est fragile si les banques ne remplissent pas leurs rôles, et Apple ferait bien de pousser au cul des banques si ils veulent que leur service garde une image impeccable…
Et ceux qui connaissent mon “Alignement” savent que je suis pas le genre à protéger Apple quand j’ai une opportunité de jouer de mauvaise foi
#113
Apple a donné son nom à ce service. C’est normal que leur image soit atteinte. Quelque part dans le processus, Apple a accepté d’avoir une faille, même si elle est côté banque.
#114
Faux !
Le chiffrement entre la carte et le TPE n’est présent que pendant une opération avec la puce.
Dans le cas du sans contact, cela revient à une transaction avec la piste ISO2. En plus, avec le sans contact, tu as la piste mais tu as aussi les dernières opérations effectuées. Et quand on sait qu’un scanner à 100€ permet de récolter tout ça très discrètement. Un trajet en métro aux heures de pointe c’est juste l’orgie pour un faussaire.
Quant à l’Apple Pay, les banques ont flairé le potentiel de captation de clients. Du coup, ils sont allongés par rapport aux specs techniques vs la sécurité pour faire du time-to-market. La monétique et le paiement n’est pas le métier d’Apple … et le professionnels se sont allongés en un claquement de doigt. C’est triste.
D’une manière globale, le support (sans NFC) de la carte bancaire contribue à la sécurité (format propriétaire, fréquence d’utilisation etc …) Quand on regarde la fréquence journalière avec laquelle on sort le smartphone vs la carte bancaire, il n’y a pas besoin d’avoir fait polytechnique pour mesurer le risque. De plus, quand les données sont transférées sur un support non maîtrisé … personne ne garantir quoi que ce soit. Un peu de renseignement sur le comment ça marche, un peu de bon sens …
#115
Partiellement faux.
L’autorisation d’un paiement se fait avec un gros mix entre les règles de la puce EMV, les règles du terminal du commerçant et le serveur monétique de ta banque. Le réseau CB (GIE) n’est qu’un réseau d’interconnexion, tout comme VISA et Mastercard.
Le réseau CB ne fournit pas d’autorisation, il la transporte.
#116
#117
Quand on utilise son logiciel pour dev (xcode) sur son os (mac OS) avec son langage/SDK (objective-X/cocoa et maintenant swift) oui ils ont déjà un peu plus de droit de parler de sécurité. Puis le dév excuse moi mais c’est un bon bout du métier d’Apple quand même.
Sur leur store ils vendent une app, ils cherchent à certifier que l’App est safe pour l’utilisateur. Qu’on ne va pas lui voler des données ou son argent avec cette App. Apple Pay rentre encore dans cette catégorie. Comme dans n’importe quelle solution de paiement, si un inconnu rentre tes infos de paiements, c’est encore à ta banque d’assurer la validité de cette transaction que je sache… (jusqu’à maintenant) La sécurité du paiement est assuré, le jeton est safe (pas volé, pas ré-utilisé par des tiers pour d’autres paiements etc. etc.), tes données bancaires sont sauves… Le seul soucis, une fois de plus, c’est que si ta banque laisse n’importe qui activer ta carte sans te demander ton avis, ça reste la faute de ta banque… Surtout des cartes dont elles savent qu’elles sont compromises…
#118
#119
#120
#121
Pour info, je viens de tester une CB Boursorama avec une appli NFC pour Android. Par défaut, le paiement par NFC est désactivé par Boursorama et il est nécessaire d’aller dans un DAB après demande d’activation du NFC par le client. L’application a bien détecté qu’il s’agissait d’une VISA, mais elle n’a pas pu récupérer le numéro ou d’autres informations parce que le paiement sans contact était bien désactivé.