06 mai 2023

Sombrons dans les nouvelles technologies non sans réfléchir aux évolutions des moyens de paiement !

 



Mon ennemi héréditaire (de première génération, seulement), l’ineffable Didier Goux, avait pris une longueur d’avance : il connaissait Netflix bien avant moi. Pourtant, c’était moi, le geek. Déjà, plusieurs années auparavant, c’est lui qui par pure pitié m’avait appris à charger des musiques sur mon iPhone alors qu’il connaissait déjà le fonctionnement des iPod.

Côté Netflix, j’ai fini par le battre mais je triche : je profite de mon célibat pour me vautrer devant mon téléviseur alors que son épouse l’oblige à lire des livres et à tondre la pelouse. Côté musique, je dois avouer que je n’en ai rien à cirer. J’en écoute volontiers quand il y en a au bistro ou chez des gens mais j’évite d’aller chez les gens, il faut dire. Par contre, quand je suis seul, j’évite toute forme de bruit autre le pshiiit que fait le vin sortant de son cubi. Alors, franchement, j’ai bien appris à mettre de la musique dans mon iPhone mais, honnêtement, je n’en ai rien à foutre.

Pourtant, le mois dernier, il a essayé de me doubler par la gauche. Ou par la droite. Il a acheté un iPhone. Le même que le mien. Il ne voulait pas déclencher mes foudres. Et, en plus, je suppose que c’est l’épouse sus-citée qui a fait le choix. Et elle lui a appris à envoyer des SMS ce que je fais depuis plus de vingt ans, avant même, peut-être que le T9 nous englue dans la facilité de tolérer des remplacements de mots par d’autres.

Il ne lui reste plus qu’à lui apprendre la concision. Alors que lors qu’un type écrit « lol tkt », il va vous faire une tartine que je vais résumer : « cher ami, l’anecdote que vous venez de me marrer m’a décroché un grand sourire qui aurait pu se transformer en une franche hilarité si vous n’aviez pas faire part de votre inquiétude que je tiens maintenant à dissiper ».

Pour vous dire, quand mon iPhone fait « bip, tu as reçu un message », j’attends un trou dans la netflixerie en cours puis j’arrête le déroulement de la série pour pouvoir consulter mes messages au cas où le nouveau venu émanerait de lui.

Heureusement que je ne conduis plus, je serais obligé de chercher un parking pour lire plutôt que de me contenter de descendre de 180 à 150 km/h pour limiter le danger.

 


J’en étais à ce stade de réflexion, hier soir, au comptoir. C’était à un point où je n’y pensais pas du tout vu que je n’en ai rien à cirer. J’étais préoccupé par ma carte bancaire qui prend de l’âge et qui m’avait suggéré, ces derniers mois, d’aller me faire enculer au moment de régler l’addition à la caisse d’un commerce. A force de trainer dans ma poche, la puce s’encrasse, que voulez-vous, ma brave dame. Et comme elle a de l’âge, la piste magnétique a de l’eau dans le gaz. Il me faudrait la renouveler rapidement.

En plus, dès les premiers mois, le « sans contact » est parti en vrille jusqu’à ne plus fonctionner depuis environ 18 mois. Comme je suis un homme de contact, je m’en foutais. Je mettais le machin dans la fente pour le décharger. A l’ancienne.

Parallèlement, ou pas, avec le confinement qui me bloquait dans la grande maison loudéacienne mais non moins du Centre Bretagne, j’avais été pris d’une folie compulsive d’achats par internet car je n’avais pas de voiture et il me fallait bien renouveler une partie des objets obsolètes chéris pourtant par ma mère. Un jour, ma banque, pour respecter je ne sais quel règlement européen ou guatémaltèque poussant à la double authentification a changer son système de paiement par internet pour saisir dans la machine un code fourni par l’application chargée sur le smartphone et plus seulement un vulgaire SMS. Il fallait, pour cela, charger une nouvelle application et faire activer la fonctionnalité par un aimable conseiller en clientèle et je n’avais pas que ça à foutre.

J’ai donc arrêté ma compulsivisation à l’achat en arrêtant d’avoir une carte qui me permette de payer on the web. Ca m’arrange bien (sauf pour mes billets de train que je suis obligé d’acheter en borne comme une burne mais j’ai un truc : je réserve mes trajets longtemps à l’avance puis je les change selon mes vrais besoins).

 


J’en étais au comptoir, hier soir. Je reprends. C’est alors qu’un jeune s’est approché et a réglé sa note en approchant son smartphone du TPE. Clic clac. C’était fait. Cela n’a rien de novateur. D’ailleurs, quand ma banque a autorisé « Apple Pay », j’avais essayé et cela fonctionnait très bien. Mais quand ma carte précédente était arrivée à expiration, je n’avais pas enregistré – oups ! enrôlé – la nouvelle. Puis, j’ai eu mes problèmes de paiement par Internet et j’étais persuadé que cela ne fonctionnerait pas.

N'allez pas croire que je divague. Je suis un professionnel de la carte bancaire, de la sécurité informatique et plus particulièrement « monétique » et des distributeurs de billets. J’ai l’air d’un abruti, comme ça, mais je suis vraiment un expert (qui attend quand même la retraite) et j’ai largement plus de connaissance que toi, cher lecteur, et surtout que la plupart des imbéciles qui depuis quelques temps deviennent experts en tout dans les réseaux sociaux.

Et, étant salarié d’une banque française, je n’avais pas du tout envie de confier mes paiements à une multinationale étrangère, par principe. Imaginez que les banques françaises perdent le marché des paiements, nous serons sur la coupe de Google, Apple, Mastercard, Visa, American Express et quelques autres zozos. Même si, à ce jour, il ne s’agit que de l’enregistrement d’une carte bancaire française dans un téléphone, on ne sait pas comment tout cela va évoluer. Les banques françaises perdant le marché des paiements, elles n’auront plus de bénéfice pour financer les crédits et donc l’économie en général. Il faut être sérieux.

Arrêtez donc de tout confier à votre smartphone, bordel !

 


Puisque je parlais de distributeurs de billets, un habile lecteur de Facebook aura vu que, le 20 avril, la Banque de France a diffusé un rapport sur l’utilisation des espèces (pdf). On y lira, en introduction : « Si les espèces sont confrontées à une offre toujours plus large de moyens de paiement dématérialisés, elles restent l’instrument le plus utilisé en France (et dans l’Eurosystème) pour régler les achats aux points de vente. Par ailleurs, les ménages sont nombreux à valoriser la possibilité de payer en espèces. Enfin, les niveaux d’acceptabilité et d’accessibilité sont considérés comme très satisfaisants. » Le premier titre est : « 1. L’usage des espèces poursuit son érosion en France, mais dans une moindre mesure que dans le reste de la zone euro » Un peu plus loin : « 2. En France, les espèces restent appréciées. Un léger regain de popularité pour ce moyen de paiement en 2022. » Vous n’avez qu’à lire vous-même la totalité du rapport. Il est très joli avec beaucoup de couleurs. On y lit pourquoi le déclin annoncé des espèces était une supercherie.

Notons que, pour moi, c’est une bonne nouvelle. Les espèces peuvent bien disparaitre mais seulement après mon départ en retraite.

Il n’empêche que c’est bien le sans contact, par carte ou par smartphone, qui est le premier concurrent des espèces. Les jeunes devraient pourtant faire attention. Quand ils iront chez le banquier pour avoir un crédit pour acheter une DS3 d’occasion, celui-ci pourra évaluer précisément le montant dépenser dans les bistros et répondre « dis donc, tu te fous de ma gueule, si tu dépensais moins avec des conneries, j’aurais moins de mal à te faire confiance pour un crédit. » Et je ne parle même pas des parents qui ont accès aux relevés de compte des vieux lycéens fêtards et des jeunes étudiants pochetrons…

Vive les espèces ! Qui permettent au patron de bistro de faire du black et de payer des serveurs au noir. Saloperies d’espèces.

 


Justement ! J’en étais à mon comptoir d’hier avec ce jeune qui payait avec mon smartphone tout en attendant mon copain Serge pour le traditionnel échange de tournées. Et je me suis dit : « dis donc, toi, mon canard, pourquoi n’enregistrerais-tu pas ta carte dans ton Apple, ça te donnerait une nouvelle avance sur Didier Goux et tu serais moins emmerdé le jour où tu perdras ta carte ou celui où elle rendra l’âme ».

Et hop ! J’ai enregistré ma carte et j’ai essayé le paiement : ça fonctionne très bien, l’enrôlement prend quelques secondes et le paiement moins sauf que je ne savais à comment faire le double clic avec le téléphone près du TPE mais ma tronche en face pour la reconnaissance faciale.

REP A SA, Didier Goux.

 


Il n’empêche que je me posais des questions. Figurez-vous que pas plus tard que récemment, pour le boulot, il a fallu que j’étudie le retrait par carte sans contact et par smartphone (ça va nous tomber dessus bientôt, il y a déjà des expérimentations, mais il va falloir un peu de temps pour générer un système interopérable… surtout que la plupart des GAB n’ont pas de lecteurs NFC. Mais allez donc faire un tour en Espagne, par exemple).

Je suis un peu tordu mais ma question d’hier était : comment le paiement par smartphone est-il sécurisé alors que la puce de la carte n’est pas utilisée ? Pour le paiement par carte sans contact, on le sait et on connait les limites, d’où le plafonnement à 50 euros. Par smartphone, il n’y a pas de maximum.

Je vais raconter des choses évidentes mais il est probable que tu n’y ais jamais réfléchi dans ces termes.

Au moment de l’enrôlement, c’est fabuleux. Vous chargez l’application, l’appareil photo s’ouvre, vous passez votre carte au bon endroit, le machin prend la photo et hop ! Il lit automatiquement le numéro de carte. En fait, il lui suffirait sans doute d’avoir le numéro de carte, par saisie. Et vous pourriez faire une photocopie de votre carte et utiliser la copie pour l’enrôlement. Sauf s’il y a des dispositifs de sécurité que j’ignore, genre reconnaissance des hologrammes… Peu importe. Le machin vous demande de saisir aussi la date de fin de validité et, surtout, le « cryptogramme visuel » (les trois chiffres imprimés au dos).

Le « système » reconnait votre banque à partir du numéro de carte puis la contacte avec le cryptogramme en question. La banque est donc à peu près sûre que la carte est bien au main des types qui fait l’enrôlement. Elle vous envoie un code, par SMS, que vous devez saisir sur votre téléphone. Le « système » s’assure ainsi que l’enrôlement est fait par un type qui dispose du téléphone avec la carte SIM du propriétaire de la carte. Au moment du paiement, l’application du smartphone demande une nouvelle authentification du client, par FACE ID, en l’occurrence. Elle est donc sûre que c’est le type qui a fait l’enrôlement sur le téléphone qui utilise ce dernier pour payer.

 


Voila ce à quoi je peux réfléchir quand je suis au comptoir. Comment se fait-il qu’on puisse payer avec ce qui, au fond, n’est qu’une photo d’une carte ?


Par contre, je suis mal barré pour trouver un titre à ce billet de blog. Je ne sais même plus de quoi il parle. A part que je me suis foutu de la gueule de Didier Goux parce qu'il faisait trop long en SMS.

 

12 commentaires:

  1. À propos de ma logorrhée esse-aime-essienne, le tout premier message que j'ai envoyé à mon frère, j'ai oublié de le signer, or il ne connaissait pas mon numéro, puisqu'il venait d'être créé.

    Dans sa réponse, il écrit : « Je suppose que c'est toi, Didier ? »

    Comme je m'étonnais de ce don de divination, sa réponse est arrivée, catégorique : « Personne n'écrit de messages comme ça ! »

    C'était bon, j'étais catalogué.

    RépondreSupprimer
  2. Alors, pour Apple Pay-machin je l’utilise depuis pas mal de temps (4 ou 5 ans). En fait le machin crée une carte "virtuelle" dont les infos sensibles sont stockées par le téléphone dans la même enclave sécurisée que ta bobine.
    Quand tu veux payer, il regarde ta tronche, vérifie que ça colle avec la tronche autorisée et à ce moment envoie à la puce NFC l’autorisation de payer (avec tout un schmilblick crypté et tout ça). En gros le TPE n’a pas ton numéro de carte mais un code qui lui dit que c’est bien toi qui veut payer. Et là le TPE demande à ta banque si t’as assez de sous sur ton compte.
    En fait c’est plus sécurisé que la carte parce que le TPE voit pas ton numéro de carte.

    RépondreSupprimer
    Réponses
    1. Oui, Stéphane, mais ce n'était pas la question (et je suis quand même du métier, j'ai même fait les premières spécifications d'un serveur de token dans une boite, par le passé). Le token ne sécurise pas la transaction mais la carte.

      La question était surtout liée à l'authentification du client et de la carte (ou de son support) lors du paiement et de l'enrôlement. Il y a un niveau de sécurité de plus avec le paiement sur internet puisque le client doit non seulement assurer que c'est bien son téléphone mais, en plus, que c'est bien lui en utilisant un code généré par l'application de la banque sur le téléphone. Le fond du problème est la gestion des fausses cartes SIM, en fait. L'enrôlement de la carte sur un téléphone peut se faire à une carte SIM "volée neuve" (donc pas protégée par un PIN) pour Apple Pay, pas pour le paiement par Internet.

      Cela étant, il faudrait que le fraudeur vole la carte SIM neuve d'un téléphone et les données d'une carte. Cela a peu de chance d'arrivée. Par contre, beaucoup de gens n'ont pas de PIN sur leur SIM (à part 0000).

      Supprimer
    2. Je précise ma réponse car ce n'est pas non plus exactement la question que je me posais. En fait, je n'avais plus utilisé ma carte (ou du moins son clone) dans le smartphone depuis des années car j'étais persuadé qu'il avait été ajouté, depuis, un niveau de sécurité, pour une authentification directe entre l'application et la banque, donc pas seulement par SMS (et donc la SIM).

      En fait, en essayant, j'ai vu que cela fonctionnait. Tant mieux pour moi. Mais un tel pataquès m'étonne.

      Supprimer
    3. Oui je peux comprendre tes questions. Mes connaissances restent peu élevées dans le domaine, je ne fais que restituer les articles que j’ai pu lire sur certains sites spécialisés. Mais tout cela reste fort pratique quand il faut vider le tapis de la caisse (les suivants s’impatientent) et payer (fort cher) ton panier de courses de la semaine (d’ailleurs on devrait disserter sur le coût réel d’un gosse - pas proportionnel à sa taille 😂 )

      Supprimer
    4. C’est amusant. Je n’avais jamais pensé autre chose qu’un bistro ou un petit montant avec mon smartphone. Effectivement, on peut payer en supermarché. Il doit y avoir un truc psychologique. Il faudra que je relise l’étude que j’ai mise en lien. NJ.

      Supprimer
  3. Ah oui. C’est Stephane qui a commenté (pas moyen de m’authentifier avec l’iPhone)

    RépondreSupprimer
    Réponses
    1. Ouf ! Ca me parait au moins parfait pour vérifier une de mes théories : les gens qui connaissent une partie d'un procédé sont persuadés tout connaître, au point de tenter d'apporter des explications à des pros.

      Et hop ! Smiley.

      Supprimer
    2. Ah ! Et je suis moqueur mais ne te formalise pas. J’apprécie réellement d’avoir un commentateur qui aborde réellement un des sujets du billet. C’est rare.

      Supprimer
    3. Je me formalise pas, je commence à te connaître un petit peu 😊 SG

      Supprimer

La modération des commentaires est activée. Je publie ceux que je veux c'est-à-dire tous sauf ceux qui proviennent probablement d'emmerdeurs notoires.