Introduction

Il faut bien reconnaitre qu’Apple sait tirer avantage des dernières technologies. Apple Pay est un système de paiment sans contact (développé par la firme éponyme) qui cherche à révolutionner la façon de payer en magasin et en ligne. Exit les cartes bleues que l’on peut perdre ou se faire voler !

Première étape, il vous faut enregistrer votre carte bancaire dans un portefeuille numérique (Application Wallet) sur votre iPhone ou tout autre appareil iOs. Pour régler vos achats en magasin, vous n’avez plus qu’à approcher votre smart phone du terminal de paiement, et vous authentifier en plaçant votre doigt sur le capteur Touch ID (la technologie d’empreinte digitale made-in Apple).

Si vous ne l’avez jamais vu en action, voici une courte vidéo vous expliquant comment utiliser Apple Pay :

Visite guidée Apple Pay sur iPhone

Pour plus d’information sur la façon de configurer Apple Pay sur iPhone, iPad ou Apple Watch, rendez-vous sur la page officielle: https://support.apple.com/fr-fr/HT204506

Et puis, la magie opère, vous pouvez repartir avec vos achats ! Comment marche Apple Pay en arrière-plan ? Penchons-nous sur son fonctionnement technique !

Alors, comment marche Apple Pay, sous le capot ?

Expliquons la magie ! Dans quelques minutes, vous saurez comment s’opère une transaction Apple Pay en arrière plan. Je vais vous expliquer comment le système de paiement fonctionne de manière générale et de façon plus détaillée, lorsqu’utilisé sur un terminal de paiement. Suivez le guide !

Etape 1 : ajout d’une carte dans Apple Wallet

Lorsque vous ajouter une carte dans Apple Wallet, celle-ci est envoyée aux serveurs d’Apple. Apple transmet alors ces information à au réseau bancaire en charge du type de carte (Visa, MasterCard…) qui valide ou non les informations bancaires.

Jeton DAN

Si la carte est valide, le réseau crée un jeton DAN (Device Account Number) à partir de votre numéro de carte (PAN pour Primary Account Number), et le renvoie au serveur d’Apple ayant demandé la validation. Ce jeton ressemble fortement à un numéro de carte mais n’en est pas un. Note : le réseau génère aussi une clé de jeton utilisée dans lé génération de cryptogramme dynamique (explicitée plus bas).

Le jeton est alors transmis à votre application Wallet et stocké dans un le Secure Element de votre iPhone (ou tout autre device iOs en possedant un). C’est ce jeton qui sera utilisé dans toutes les transactions désormais.

(source apple.com)

Tokenization

il est important de comprendre le processus de création de jeton appelé Tokenization. La tokenization est un moyen d’assurer la sécurité d’une donnée sensible. Ce processus consite à remplacer une donnée initiale par un jeton (ou token) qui est une référence vers la donnée initiale. Un jeton n’est pas exploitable en tant que tel et il est impossible de retrouver la donnée initiale à partir du jeton.

Secure Element

Un mot sur ce qu’on appelle Secure Element (SE) ; il s’agit d’une puce électronique contenant un logiciel capable de stocker des données sécurisées et des les utiliser. Ce type de puce électronique suit les règles et les niveaux de sécurité imposés par les autorités correspondantes, de la même façon que le fait la puce de votre carte bancaire. A partir de la version 6 de l’iPhone et dans les iPad et Apple Watch récents, un emplacement sécurisé est embarqué dans la puce NFC de votre appareil.

Si vous voulez en apprendre plus sur le processus de tokenization, je vous recommande cet article de Wikipedia : https://en.wikipedia.org/wiki/Tokenization_(data_security) (anglais)

Etape 2 : Demande de p aiement Apple Pay

Lorsque vous initiez un paiement sans contact sur un terminal de paiement, les deux appareils communiquent au travers de la technologie NFC (Near Field Communication ou Communication en Champs Proche en français). Cette technologie, dont l’inventeur est français, se répand rapidement depuis quelques années dans nos smartphones, tablettes et autres objets connectés. Le NFC permet à deux appareils équipés de capteurs/récepteurs de communiquer par ondes radio au même titre que le Wifi ou le BlueTooth, si ce n’est que la portée est très limitée (entre 5 et 10 cm), pour des raisons de sécurité.

Pour en savoir plus, voici le lien Wikipedia (toujours en anglais !) : https://en.wikipedia.org/wiki/Near-field_communication

Protocoles de paiement

Apple Pay et le terminal de paiements peuvent utiliser deux protocoles (un protocole est un ensemble de règle définissant comment deux entités communiquent) pour communiquer :

paiement sans contact EMV (par défaut)

(par défaut) paiement sans contact MSD (Magnetic Stripe Data) (si EMV non disponible)

Apple Pay transmet alors le jeton DAN, la date d’expiration de la carte et le CVV (code à trois chiffres) au terminal de paiement qui l’utilise comme un numéro de carte habituel. Le terminal de paiement communique alors ces informations au réseau de carte (Visa, MasterCard…). Le réseau de carte se charge de faire la correspondance entre le DAN et le véritable numéro de votre carte (PAN).

Cryptogramme dynamique

Dans le cas du paiement sans contact EMV, Apple Pay génère aussi un cryptogramme dynamique qui est ajouté avec la transaction. Ce cryptogramme dynamique est unique et spécifique à chaque transaction: il est généré à partir du jeton DAN, de la clé de jeton, du montant et d’autres informations liées à la transaction. Il permet au réseau de carte d‘authentifier la transaction afin de rendre toute utilisation frauduleuse impossible.

Dans le cas du paiement sans contact MSD, un code de vérification de CVV dynamique est généré et assure un rôle équivalent au cryptogramme dynamique.

Si toutes les informations transmises sont correctes, le réseau de carte valide la transaction et le tour est joué !

Est- ce sécurisé ?

En un mot oui. Premièrement, toutes les briques utilisées dans ce système de paiement en font un système au moins aussi sûr que les cartes bancaires traditionnels (qui ne l’oublions pas sont aussi constituées d’une puce électronique !). Deuxièmement, Apple Pay remplace les cartes physiques par des cartes virtuelles protégées par la technologie d’empreinte digitale Touch ID ; il n’est plus possible de perdre ou de se faire voler sa carte de crédit physique !

Vol d’informations bancaires dans Apple Wallet ?

Et… non ! Comme expliqué plus haut, le processus de Tokenization empêche le vol d’informations bancaires. Celles-ci ne sont en effet pas stockées sur le périphérique mais remplacée par un jeton DAN (ressemblant comme deux gouttes d’eau à un véritable numéro de carte de crédit) qui n’a pas de valeur seul et depuis lequel il est impossible de retrouver le numéro initial. Ni l’utilisateur, ni le marchand, ni le potentiel voleur n’ont donc accès au numéro de carte bancaire !

Peut-on rejouer des transactions bancaires ?

Et… encore non ! A chaque transaction est ajouté un cryptogramme dynamique qui est unique et qui expire dans le temps, empêchant là aussi toute utilisation frauduleuse.

Compatibilité

Dernière question, celle de la compatibilité. Dans quels pays fonctionne Apple Pay ? Sur quels appareils ? Avec quels types de carte de paiement ?

Dans quels pays Apple Pay est-il disponible ?

Actuellement, le système est disponible dans le monde entier : dans de nombreux pays européens (dont la France) et notamment aux Etats-Unis, au Canada, en Chine ou en Russie.

Avec quels appareils est-il compatible ?

Apple pay est disponible sur les iPhone 6 ou plus récent, sur les iPad (Pro, Air 2 ou mini 3), et enfin sur les Apple Watch Series 1 ou plus récent.

Avec quelles banques, quel types de cartes ?

Apple Pay supporte la grande majorité des cartes de crédit ou de débits utilisés dans le monde : Visa, MasterCard et American Express notamment.

Compatibilité ApplePay (source apple.com)

Sources et liens complémentaires