9 novembre 2006
Comme l’a montré le salon Cartes 2006, le paiement sans contact est devenu réalité et confirme sa percée en Europe et notamment en France.Déjà répandu en Asie (Japon, Corée, Hong kong +30 millions de cartes) et aux Etats-Unis (+10 millions de cartes en 2005, une prévision de +30 millions en 2006), le paiement sans contact fait son entrée en France où plusieurs pilotes sont en cours durant la fin de l’année 2006.
- De quoi s’agit-il ?
Le paiement sans contacts permet de régler des achats à l’aide d’une carte bancaire à puce sans l’introduire dans un terminal de paiement, mais en utilisant l’interface sans contacts de la carte de type radiofréquence, compatible avec la norme ISO 14443B. Il suffit donc au porteur de la carte de l’approcher du terminal sans contact pour effectuer la transaction, d’où une vitesse de transaction accrue, qui peut être appréciable sur les points de vente à fort trafic.
Le paiement sans contacts est également possible à partir d’un téléphone mobile muni d’une puce réalisant le dialogue sans contact avec le terminal et dont la carte SIM renferme une application bancaire sécurisée.
Ce type de paiement est rendu possible par l’avènement de la technologie NFC (Near Field Communication) et par le développement de protocoles de paiement spécifiques initiés par MasterCard, Visa et American Express. - La technologie NFC
La technologie NFC, promue par Philips et Sony, permet à la puce d’être alimentée par le champ électromagnétique du lecteur, lui-même capable de gérer simultanément plusieurs puces dans son champ et d’activer des mécanismes d’anti-collision. Les dimensions très réduites des puces NFC ainsi que ses fonctions d’encodage et de chiffrement embarquées visent très clairement le marché des périphériques portables et des transactions électroniques sécurisées. - Les protocoles de paiement
Les protocoles de paiement, utilisant majoritairement la piste magnétique de la carte en Amérique du Nord (magnétique on-line : PayPass, ExpressPay, Visa contactless), intègrent maintenant les spécifications EMV pour les applications utilisant la puce (OneSmart Paypass, Visa Wave), ce qui sécurise les transactions. - Considérations sur la sécurité
En Australie, l’expérimentation PayPass est attaquée sur les vulnérabilités potentielles de ce type de paiement : débit à l’insu du porteur de la carte bancaire et interférences avec les autres systèmes à radiofréquences (opérant dans les mêmes champs de fréquence 13.56 MHz).
Les failles de sécurité sont cependant réduites par la nécessité technologique d’approcher la carte ou le mobile à quelques centimètres du lecteur, ce qui limite le risque d’effectuer une transaction à son insu si l’application bancaire est activée en passant à proximité d’un lecteur, et par la possibilité (ou la nécessité) de valider la transaction par la saisie d’un code secret. (Au Etats-Unis les montants inférieurs à 15-25$ ne nécessitent pas la saisie du code).
Les transactions peuvent être extrêmement sécurisées, même en mode off-line, avec la possibilité d’utiliser des applications EMV DDA (Dynamic Data Authentication).
L’activation de cette fonction a toutefois un double inconvénient : elle renchérit le coût de la puce, doté obligatoirement d’un processeur cryptographique pour exécuter les fonctions d’encodage dynamique et elle allonge le temps de la transaction (environ 1 seconde, sans la saisie du code secret).
On voit là qu’il faudra faire des compromis entre vitesse et sécurité de transaction, et vraisemblablement réserver les transactions rapides aux petits débits. - Les expérimentations en France.
Un pilote est en expérimentation à Strasbourg au mois de novembre 2006. Il est lancé à l’initiative de la branche mobile du groupe NRJ et de la banque Crédit Mutuel.
Il permet à une sélection de 200 utilisateurs d’effectuer des achats à l’aide de leur téléphone mobile dans une cinquantaine de points de vente (boutiques, restaurants, cinémas … ) Il met en œuvre le protocole Paypass EMV de MasterCard, l’application bancaire est embarquée dans la carte SIM du téléphone, développée par Gemalto, le téléphone my700X, incorporant une puce NFC de Inside Contactless, ainsi que les terminaux de paiement sont fournis par le groupe Sagem. La saisie du code secret est obligatoire dans cette phase expérimentale, le seuil du montant ne nécessitant pas de saisie de code sera décidé ultérieurement.
A Caen, une expérimentation a été lancée fin octobre 2005, pour une durée de 6 mois, par France Telecom, Philips, Samsung , LaSer (Cofinoga) et Vinci Park.
Dans le cadre d’un programme de fidélisation, 200 Caennais, clients d’Orange et porteurs d’une carte Cofinoga, ont pu effectuer des achats dans certains magasins du réseau Cofinoga et payer leur place dans les parkings Vinci à l’aide d’un téléphone Samsung: Fly’Card.
Cette expérimentation ne nécessite pas la saisie du code secret : le porteur présente son téléphone devant le lecteur puis signe un ticket d’achat. Les applications bancaires embarquées dans la carte SIM Gemalto sont multiples et peuvent être activées séparément.
D’autres usages sont prévus : téléchargement de bandes annonces de films, accès à des informations touristiques ou pratiques (horaires des bus) à partir de panneaux « intelligents» ou d’abri-bus portant le symbole Fly’Tag.
LaSer va tester un nouveau pilote fin 2006 auprès de 1000 clients à Toulouse avec une carte bancaire EMV sans contacts.
D’autres expérimentations vont concerner très prochainement le transport en Ile de France. La RATP, la SNCF et Bouygues Telecom planchent sur l’intégration de la technologie Calypso dans un téléphone mobile, ce qui permet de passer les portillons du métro à l’aide du téléphone.
Enfin, de nouveaux services voient également le jour, à l’instar du service, Movo lancé par la Caisse d’Epargne, qui permet le transfert de fonds entre particuliers abonnés au service par envoi de SMS, ce qui rejoint le concept à la mode aux Etats-Unis de « Social Money » comme PayPal Mobile.
Le but de ces expérimentations est d’une part d’analyser le comportement des utilisateurs de ces nouveaux services et d’autre part de définir les synergies nécessaires entre les banques, opérateurs mobiles, fabricants de téléphones pour en faire un système économiquement viable pour tous les acteurs. La généralisation de ces services n’est probablement pas envisageable en France avant l’année 2009.