3 commentaires

Paiement mobile et vie privée sont-ils compatibles?

Le lancement de l’iPhone 6 par Apple a mis en lumière le paiement mobile sans contact. Si cette technologie promet de révolutionner nos usages, elle n’en suscite pas moins des doutes quant à sa sécurité et au respect de la vie privée de ses utilisateurs. Cité comme l’un des 9 projets emblématiques du rapport Lemoine, le paiement anonyme sécurisé est aujourd’hui rendu possible grâce à une nouvelle solution mise au point par Orange.

 dollarBK_grey12 Milliards $. C’est le montant quotidien des transactions effectuées aux Etats-Unis. Ce chiffre, annoncé lors de la présentation du nouvel iPhone 6, montre bien l’ampleur du marché du paiement électronique et les possibilités exceptionnelles de croissance offertes au paiement mobile sans contact. Présentée par Apple comme une révolution cette technologie n’est en fait pas nouvelle. Le paiement mobile sans contact, réalisé grâce à la technologie NFC (Near Field Communication), est déjà une réalité pour plusieurs pays d’Asie mais également en France, grâce au lancement du système Orange Cash. Les avantages pour les utilisateurs de cette technologie sont évidents : plus besoin de monnaie, plus de problème d’appoint, une simplicité d’usage. Pourtant, ces systèmes peinent à supplanter les moyens de paiement traditionnels tels que les espèces. La réticence des utilisateurs face au changement de leurs habitudes n’explique pas tout : les doutes quant à la sécurité et au respect de la vie privée offert par ce type de paiement restent un frein considérable à son développement.

Annonces et Coups bas. Dans la foulée de l’annonce d’Apple, Paypal, l’un des leaders du paiement électronique, s’est offert une pleine page dans le New York Times pour ironiser sur les capacités d’Apple à garantir la sécurité de son système de paiement. En clamant « Nous voulons que notre argent soit plus en sécurité que nos selfies », allusion à la récupération par des pirates de photos de stars stockés sur le cloud d’Apple, Paypal pointe du doigt les problèmes de sécurité soulevés par l’utilisation de matériels vulnérables, comme un serveur ou un téléphone. Il est en effet indispensable de stocker des données aussi sensibles que des coordonnées bancaires sur un élément sécurisé tel qu’une carte à puce à moins de risquer des piratages entrainant défiance chez les utilisateurs et mauvaise publicité pour l’entreprise. Les opérateurs téléphoniques, propriétaires de la carte SIM embarquée dans le téléphone possèdent donc une longueur d’avance dans le domaine du paiement mobile.

annonymatBKUn paiement Anonyme ? Soucieux de prévenir les critiques sur le respect de la vie privé des utilisateurs, Apple a annoncé qu’il ne collectait aucune information lors des transactions. Mais les utilisateurs de paiement mobile sans contact sont-ils pour autant anonymes ? Si ces systèmes offrent quelques garanties, comme par exemple le fait que le marchand n’ait pas accès aux informations du client, il n’en reste pas moins que la banque traitant la transaction accède elle à toutes ces informations. Ainsi, où est-ce que vous faites vos courses ? A quel rythme? Pour quel montant ? Tout cela est inéluctablement remonté, sacrifiant au passage l’anonymat offert par un billet de banque. Payer avec son mobile doit-il nécessairement se faire au prix de sa vie privée ?

L’anonymat sans contrepartie. Il est difficile de trouver des systèmes de paiements électroniques satisfaisants du point de vue du respect de la vie privée. Le plus célèbre d’entre eux, Bitcoin (ou plus récemment Ether), revendique l’absence de banque ou de tout autre organisme de contrôle. C’est pourtant son principal défaut, le grand public est peu susceptible d’avoir confiance en une monnaie qui n’est garantie par aucune organisation réputée. D’où l’extrême volatilité de son cours qui fait que les quelques courageux qui s’y lancent le font à leurs risques et périls. Il est donc indispensable, pour qu’un système anonyme se développe auprès du grand public, qu’il soit garanti par un établissement de confiance.  Cependant, aucun organisme n’est susceptible d’accepter un tel rôle sans un moyen de superviser toutes les transactions pour y déceler d’éventuelles fraudes. En effet, une monnaie électronique, comme n’importe quelle donnée numérique, est facilement reproductible, il est donc nécessaire de pouvoir détecter une réutilisation frauduleuse de celle-ci.

innov_orangeBK (2)Innovation au sein d’Orange. Des travaux menés au sein d’Orange et publiés dans une conférence cryptographique majeure en 2007 ont prouvé qu’un tel mécanisme de supervision était possible d’une part sans mettre en danger l’anonymat des utilisateurs, et d’autre part en empêchant les fraudes éventuelles. Ce résultat restait cependant sur le plan théorique car aucun protocole efficace n’était jusque-là connu. Récemment, un nouveau mécanisme (publié lors de la conférence Public Key Cryptography 2015) satisfaisant ces exigences de sécurité et d’anonymat a été mis au point au sein des Orange Labs. Il permet aux utilisateurs d’effectuer des transactions avec leur mobile de façon instantanée, tout en stockant toutes les données sensibles au sein de la carte SIM. Il permet également de gérer toutes les situations que peut rencontrer l’utilisateur, telles que la perte ou le vol de son mobile. Payer en protégeant sa vie privée peut dès demain se faire sans contrepartie.

Vos commentaires

    • 28/04/2015 – 02h34 | spopoff

      Je pense que ce lien (http://www.blazy.eu/Papers/africacrypt54.pdf) est le travail théorique auquel vous faites référence ?

    • 28/04/2015 – 05h03 | spopoff

      Ignorer mon dernier commentaire c’est un autre mode de paiement avec un juge

    • 25/09/2015 – 09h52 | Sébastien Canard

      Les techniques cryptographiques sont assez similaires dans les deux travaux, mais celui que vous citez est très théorique alors que celui auquel nous faisons référence peut réellement être implémenté de manière efficace sur une carte à puce. Il s’agit en fait plutôt de celui ci : http://eprint.iacr.org/2015/300

Laissez-nous votre commentaire