Depuis plusieurs années, le salon Cartes, dont l’édition 2013 fermera ses portes ce soir, avait été l’occasion d’un incroyable déploiement d’annonces pour le paiement sans contact. Cette année, si le sujet reste omniprésent, l’accent s’est porté sur la sécurité.


Allée du Salon 1Si tout le monde connaît les « Pass Navigo « , les cartes sans contact de la RATP,  les cartes bancaires de paiement sans contact pour des débits de moins de vingt euros, restent encore très discrètes. Le changement des cartes dans les agences s’effectue sans annonce particulière, le service progresse dans une forme de discrétion surprenante.

L’arrivée des téléphones NFC qui devait lancer la mode n’a pas changé grand chose au marché et il faudra encore attendre janvier 2014 pour voir fleurir une nouvelle campagne publicitaire pour inciter les commerçants à changer de lecteurs de cartes. La réticence des commerçants à changer leurs coûteux lecteurs de cartes à puces est compréhensible. Un investissement de plus de 1000 euros pour éviter de collecter des versements à moins de 20 euros n’est pas très intéressant pour eux. Cela intéresse surtout les banques et l’état qui espèrent « surveiller » des volumes d’échanges plus importants, les petits ruisseaux formant les grandes rivières, la monnaie  « sonnante et trébuchante » devrait se faire encore plus rare.

Ce sera aussi une économie très importante de manipulation de fonds pour les agences bancaires et c’est certainement la face cachée au grand public de cette mutation. Pour expliquer aussi cette lenteur dans l’adoption par les commerçants, les multiples démonstrations de piratages des cartes sans contact, avec de simples lecteurs NFC, les ont rendu circonspects. Moins de 100 000 lecteurs seraient en service soit environ 8 % du parc français de lecteurs. Ces deux phénomènes, prix excessifs et sécurité insuffisante, ont  rendu le déploiement du paiement sans contact, cette année, sur le terrain  beaucoup plus  discret, loin des fanfares passées du salon Cartes.

Du coup, la tendance du salon Cartes 2013, cette année, a plutôt été la sécurité. On ne comptait plus les démonstrations de  systèmes intégrant des firewalls personnels et des chiffrages des échanges comme ceux proposés par Cryptography Research. On pouvait  relever toutes les offres de sécurité « personnelle » sur le stand des grands piliers du secteur comme Oberthur technology, Safran Morpho ou Gemalto. Bref, tout le monde vend du paiement sécurisé sous une forme ou une autre.

Le déploiement de cartes sans contact évolue réellement puisque selon les spécialistes bancaires 18,6 millions de cartes de paiement sans contact CB-paiement-sans-contactseraient déjà en circulation, soit 29% des cartes de paiement, une tendance surtout  favorisée par trois principales banques : le Crédit Mutuel, BNP Paribas et le CIC.

Pour Stéphanie Chaptal, une journaliste qui suit le marché de la monétique depuis 10 ans pour différents médias, le problème latent n’est pas vraiment d’ordre technique : « Le retard d’adoption actuel  s’explique par l’incapacité des différents acteurs : opérateurs télécoms, banques, opérateurs de transport, commerçants et industriels à s’entendre sur la manière de se partager les revenus. Des accords existent mais ils sont partiels. Mais cette situation de conflits d’intérêts entre partenaires n’est pas réservée à la France ».

La sécurité des cartes sans contact en question

Il y a un an, la CNIL, elle même, s’était inquiétée du manque de chiffrage des cartes de paiement sans contact et avait  lancé une enquête. Pour mémoire, lors des journées de sécurité  « Hackito Ergo Sum »  en mai 2012, l’an passé,  Renaud Lifchitz, un ingénieur de British Telecom, avait utilisé une simple clé USB NFC (Near Field Communication) pour démontrer que l’on pouvait intercepter les communications et récupérer facilement des informations personnelles contenues sur la carte de paiement sans contact, ce qui laissait supposer une facile copie de celle-ci. Mais ce dernier point, lui est loin d’être facilement réalisable. (Présentation ci-dessous)

 

Outre le lecteur NFC, il  fallait un logiciel disponible gratuitement sur Internet afin de capter les nom, prénom, numéro de la carte bancaire, date d’expiration et même la liste des vingt dernières opérations effectuées.Paiement biométrique par Gemalt Natural Security et CITC

Résultat, sous l’influence de la Cnil, après concertation auprès des éditeurs et des banques, le système sans contact a été modifié et le nom de l’utilisateur n’est plus affiché cette année. Mais l’accessibilité du numéro de carte et de la date d’expiration reste une faille qui préoccupe toujours, bien qu’ « aucune fraude exploitant cette accessibilité n’ait encore été détectée », précisait  le communiqué de la CNIL début juillet. Toutefois, la commission spécialisée de la CNIL, qui a creusé ce sillon, appelle les banques à travailler sur un « chiffrement des échanges rendant tout accès aux données impossible ».

Après des années d’enthousiasme pour le NFC, l’édition 2013 du salon Cartes, sur ce thème, est apparue en berne. Pour bien des banquiers, les critiques sur le prix des lecteurs et la suspicion autour de la sécurité auraient terni les atouts du paiement sans contact dans l’esprit des petits commerçants.

Mais sur le site http://www.lepaiementsanscontact.com, le pari  du m-commerce passera par une relance enthousiaste . On peut y lire : « Oui, le paiement sans contact est plus rapide. Non seulement le client est dispensé de l’introduction de la carte et de la frappe du code confidentiel pour les petits achats de la vie quotidienne allant jusqu’à 20 €, mais en plus, le commerçant gagne du temps en n’ayant pas à vérifier et à rendre la monnaie. Cela contribue à réduire le temps d’attente aux caisses. Le soir aussi c’est plus rapide : plus de monnaie à trier, à compter, pas d’erreurs de caisse non plus. Une simple télétransmission et c’est réglé ».

A la fin de l’année 2013, 20 millions de cartes, soit prés d’un tiers du parc, seront dotées d’une puce NFC. Côté commerçant, tous les grands distributeurs, y compris leurs enseignes de proximité, auront des terminaux acceptant les cartes sans contact de plus en plus sécurisées. Pour les banques qui ont compris que leurs futurs clients seraient sans cesse en déplacement ou sur le Web,  le m-commerce est devenu une nécessité. Pour les utilisateurs et les commerçants, l’adoption est lente car l’intérêt n’est pas flagrant et chacun perçoit que ce sont surtout les banques qui y ont le plus à gagner.