Paiement sans contact

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Les systèmes de paiement sans contact sont des cartes de crédit, porte-clés, cartes à puce ou d'autres dispositifs (téléphone mobile) qui utilisent la technologie Radio frequency identification et Near Field Communication pour effectuer des paiements sécurisés. Une puce intégrée et une antenne permettent aux consommateurs de payer avec leur carte (sans contact) sur un lecteur au point de vente. Certains fournisseurs affirment que les transactions peuvent être presque deux fois plus rapides qu'une transaction classique. Il n' y a ni signature, ni saisie du code PIN requis pour les achats de moins de 25 $ US aux États-Unis, moins de £ 20 au Royaume-Uni et moins de 20 € pour la France. Cependant certaines recherches indiquent que les consommateurs sont enclins à dépenser plus d'argent en raison de la facilité et rapidité des petites transactions.

Histoire[modifier | modifier le code]

Plusieurs expérimentations de paiement sans contact ont eu lieu depuis le milieu des années 1990[1] :

  1. Hong Kong Octopus Cards Limited[1] : lancée en 1997 pour l'utilisation des transports en commun. Le succès fut au rendez-vous et le concept fut élargi aux commerces de la ville. Chaque jour, environ 6,5 millions de dollars sont échangés grâce à ce système. Octopus Card utilise la technologie Felica développée par Sony, utilisant la même fréquence que le NFC[2].
  2. ExxonMobil Speedpass [3] : introduit par Exxon en 1997 dans le but de proposer un service simple, et permettant de fidéliser sa clientèle. La technologie utilisée est encore une fois basée sur la RFID [4];
  3. Paiement sans contact Visa en Corée du Sud [5] : Depuis 1998, la Corée du Sud compte environ 6 à 7 millions de cartes sans contact Visa;
  4. MasterCard Paypass [6] : Annoncée en décembre 2002, cette solution a été développée pour les commerces où la vitesse est essentielle (restauration rapide, stations essence, cinéma...). Encore une fois, la technologie NFC fut utilisée pour cette opération.
Nom Nombre d'outils utilisées Technologie Forme
Hong Kong Octopus Card 9 millions Felica - 13,56 MHz Carte plastique
ExxonMobil Speedpass 6 millions Texas Instrument - Low Frequency RF porte-clés, bracelets, transpondeur
Paiement sans contact Visa en Corée du Sud 7 millions ISO 14443 - 13,56 MHz Mobile, Carte plastique
MasterCard Paypass Pilot ISO 14443 - 13,56 MHz Carte plastique

[7]

Les cartes sans contact sont de plus en plus utilisées, notamment en Grande-Bretagne, où le nombre de ces cartes s'élève à 30,3 millions au mois d'octobre 2012[8].

Économie[modifier | modifier le code]

Le paiement sans contact est utilisé dans de nombreux pays depuis le début du XXIe siècle, et sur plusieurs continents : Asie, Amérique du Nord, et Europe principalement[9].

L'utilisation du paiement sans contact est encouragée par de nombreuses associations, notamment la Smart Card Alliance[9]

La promotion de l'utilisation des systèmes de paiement sans contact, notamment par les banques, a pour but d'augmenter le volume de transactions, de réduire le paiement en espèces, et de fidéliser les utilisateurs. Pour les vendeurs, plusieurs avantages sont avancés par ces associations : temps de transaction écourté, coût de l'opération diminué,... Pour les utilisateurs, l'avantage de payer en effectuant le moins de mouvement possible, la sécurité de ne pas avoir à montrer la carte de paiement[9]...

En France, Cityzi, qui regroupe les principaux opérateurs de télécommunication, des banques, des opérateurs de transport, des commerçants et des acteurs industriels, a pour but de promouvoir le NFC comme moyen de paiement. Cette initiative date de 2010.

Bénéfices pour les commerçants[modifier | modifier le code]

  • Temps de transaction diminué [10] : 10 à 15 secondes économisées par action ;
  • Revenu augmenté [10] : Résultat du temps de transaction diminué et somme dépensée plus importante que le paiement en espèces ;
  • Efficacité de l'opération augmentée et diminution de ses coûts [11] : Moins de gestion d'espèces et risque diminué de vols ;
  • Meilleure prise en compte des profils des clients [11] : Collecte et exploitation des données de clients facilitées ;
  • Visibilité de la marque de l'enseigne [11] : Marque visible sur les outils d'encaissement;
  • Différentiation concurrentielle [11] : Apporte un moyen supplémentaire aux utilisateurs d'acheter.

Bénéfices pour les émetteurs de cartes de paiement[modifier | modifier le code]

  • Diminution du marché de l'espèce [12];
  • Augmenter le volume des transactions [12];
  • Fidéliser sa clientèle [12] : En offrant un moyen de paiement plus simple, le client sera satisfait, et a plus de chance d'être fidèle;
  • Partenariat [12] ;
  • Nouvelles opportunités de services [12].

Principe de fonctionnement[modifier | modifier le code]

Communication[modifier | modifier le code]

Article principal : Radio-identification.
Tableau des fréquences RFID

La technologie permettant le paiement sans contact est principalement basée sur la Radio Frequency Identification (RFID) [13]. La RFID est un moyen de communication de données et d'identification automatique [13].

Il y a plusieurs gamme de fréquence dans les caractéristiques de la RFID selon la norme ISO/CEI 18000 [note 1],[14], comme :

  • 433 MHz [note 2].
  • LF : 125 kHz - 134,2 kHz : basses fréquences [note 3];
  • HF : 13,56 MHz : hautes fréquences[note 4];
  • UHF : 860 MHz - 960 MHz : ultra hautes fréquences[note 5];
  • SHF : 2,45 GHz : super hautes fréquences[note 6].

Les tags ou étiquettes RFID UHF à 900 MHz possèdent des antennes imprimées ou gravées. Ils peuvent être lus à plusieurs mètres[15]. L'eau ou le métal peuvent empêcher la communication, du fait de la fréquence utilisée mais aussi des design particuliers d’antenne. Les fréquences UHF réservées à la RFID n’étant pas harmonisées dans toutes les régions du monde (entre 860 et 960 MHz), les tags doivent généralement présenter des bandes passantes importantes qui réduisent leurs performances [16].

Les tags RFID LF 125 kHz-135 kHz sont adaptés aux applications de logistique, traçabilité et le marquages des êtres vivants (chiens, chats...). Les caractéristiques physiques de ces tags, d'un poids et une taille réduits, font d'eux des candidats idéaux pour être intégrés dans tout type de matériaux, textiles, métaux, plastiques, etc.[17]

Les tags RFID HF 13,56 MHz sont utilisés dans des applications de transport (bagages) et d’identité (passeport, pass Navigo, cartes sans contact)[18]. Cette technologie est à la base des applications NFC qui équipe de plus en plus de smartphones [19].

Une autre approche de la technologie du paiement sans contact est le NFC[20]. NFC est une technologie sans fil à courte portée provenant de la famille RFID [21], elle a été normalisée et promue par Sony, Philips et Nokia, qui ont fondés le NFC Forum en 2004[19]. Les spécifications de la NFC sont données par les normes ISO/IEC 18092 NFC IP-1 [note 7], ISO/IEC 14443 [note 8],[note 9],[note 10],[note 11],[21] et ISO/IEC 15693[note 12],[note 13],[note 14],[21].

Toutes les normes ont des modes de communication distinct, la norme ISO 21481 (NFCIP-2) permet de sélectionner le bon mode de communication[22].

Le NFC Forum a défini différents type de tags NFC[23] :

Tag de type 1 Tag de type 2 Tag de type 3 Tag de type 4 Tag de type 5
Basé sur ISO-14443A standard ISO-14443A standard The Japanese Industrial Standard (JIS) X 6319-4. ISO-14443A standard ISO-14443A standard
Utilité Ecriture et lecture possible, les utilisateurs peuvent configurer le tag pour la lecture seule Ecriture et lecture possible, les utilisateurs peuvent configurer le tag pour la lecture seule Pre-configuré lors de la fabrication pour être soit lu et relu en écriture ou en lecture seule Pre-configuré lors de la fabrication pour être soit lu et relu en écriture ou en lecture seule Ecriture et lecture possible, les utilisateurs peuvent configurer le tag pour la lecture seule
Mémoire 96 bytes de mémoire, extensible jusque 2KB 96 bytes de mémoire, extensible jusque 2KB Mémoire variable, jusque 1 MB par service Mémoire variable, jusque 32 KB par service Mémoire variable 192/768/3584 Bytes
Débit (vitesse) 106 Kbits/s 106 Kbits/s Deux débits de communication 212 ou 424 Kbits/s Trois débits de communication 106, 212 ou 424 Kbits/s 106 Kbits/s
Collision Pas de protection des collisions de données Anti-collision Anti-collision Anti-collision Anti-collision
Compatibilité Topaz, Broadcom BCM20203 NXP MIFARE Ultralight Sony FeliCa NXP DESFire, SmartMX-JCOP NXP MIFARE Classic 1k, MIFARE Classic 4K, and Classic Mini

[24]

Les caractéristiques correspondantes aux normes NFC sont [25]:

  • Une fréquence de 13,56 Mhz;
  • Un taux de transfert estimé à 424 Kbps;
  • Une distance de communication de 0 à 10 cm;
  • Une connexion par simple mouvement ou contact (touché);
  • Compatible avec le Bluetooth ou le Wi-Fi, la technologies NFC peut intégrer divers appareils comme les smartphones pour le paiement sécurisé ou le transfert d'images entre appareils photos.

Support[modifier | modifier le code]

Téléphones compatibles

Un appareil qui utilise la technologie NFC peut être configuré de deux façons :

  • actif : le dispositif est alimenté par lui-même et émet les ondes;
  • passif : l'appareil est alimenté par des ondes reçues par un second appareil actif.

Deux différentes communications peuvent donc être configurées. Entre deux périphériques actifs, le champ est généré en alternance. Entre un dispositif actif et l'autre passif, le champ sera généré uniquement par le dispositif actif[26].

Selon les normes NFC, il y a trois modes de fonctionnement différents :

  • Reader/Writer mode : Le dispositif NFC est capable de lire NFC Forum types de balises mandatées. Le mode de lecture / écriture sur l'interface RF est conforme à la norme ISO 14443 et les systèmes de FeliCa [21];
  • Card Emulation mode : L'appareil peut émuler une carte existante sans l'adaptateur de l'infrastructure de paiement. Une carte et une étiquette (TAG) sont techniquement les mêmes, mais les cartes sans contact utilisées dans les paiements comprennent des technologies supplémentaires pour stocker des données sécurisées[21];
  • Peer-to-peer (P2P) mode : Deux dispositifs NFC actifs peuvent échanger des données, tels que les cartes de visite virtuelles ou des photos numériques. Mode P2P est normalisé sur la norme ISO / IEC 18092 standard[21],[27].

Un smartphone pourra donc tenir le rôle de support physique actif ou/et passif tandis que les smart cards sont uniquement passives, comme tout support avec une carte RFID et une antenne sans batterie. Les nouveaux téléphones seront équipés de la technologie NFC grâce aux puces RFID. De plus, les téléphones pourront émuler des cartes en inscrivant des données sur le tag embarqué de l'appareil[19]. Ces téléphones compatibles sont de plus en plus nombreux. En voici une liste non exhaustive [19].

L'impact de ces téléphones est de plus en plus fort, et ils deviendront, à coup sûr, le nouveau portefeuille électronique, remplaçant la carte de crédit en plastique[28].

Le problème est que l'écosystème de paiement reste lié à Google Wallet pour les smartphones android, c'est pour cette raison que des systèmes de micro-paiement permettent d'utiliser des écosystèmes différents. De plus, le niveau de sécurité reste identique sans ajout de composants physiques, mais simplement par téléchargement d'une application. Ce système se nomme IDA-Pay[28].

Sécurité[modifier | modifier le code]

Risques encourus[modifier | modifier le code]

Malgré les attaques possibles sur ce type de paiement, le risque encouru peut être considéré comme faible. En effet, la somme maximale d'une transaction sans besoin de code ne peut excéder 20 €, ce qui limite l'importance des transactions usurpées. Le risque peut être jugé comme maitrisé, et assez comparable à la situation des cartes à puces.

Évolution du niveau de système de sécurité[modifier | modifier le code]

La sécurité n'est pas une composante prévue initialement pour la technologie RFID classique. La Mifare Card a donc été créée pour ajouter une fonction de sécurité à la RFID. Cependant la Mifare Card ne présente pas une réelle sécurité, en effet sa fonction de sécurité est assurée par Crypto-1. Le principe de Crypto-1 est basé sur la sécurité par l'obscurité, le fonctionnement étant de dissimuler les informations relatives au fonctionnement du procédé de sécurité. Ce principe de sécurisation n'est pas réputé pour être suffisamment sûr, notamment car il va à l'encontre du Principe de Kerckhoffs. (si le système de chiffrement est public, largement étudié, et qu'aucune attaque n'est connue, alors le système est d'autant plus sûr)[29]. C'est pour cette raison que Philips a créé la Mifare DesFire pour résoudre le problème des MiFare Classic et Ultralight. Ce système repose sur AES ou 3DES. Cependant le problème est qu'il est basé sur un chiffrement symétrique, ce qui oblige les cartes et les lecteurs de cartes à partager un secret, ce qui obligerait l'initialisation des lecteurs avec une seule clé, ce qui n'est pas très sécurisé. Le Chiffrement symétrique n'est donc pas scalable pour les évolutions que connaît la technologie NFC. Le Chiffrement asymétrique permettrait de résoudre ce problème[30].

Cartes à puces[modifier | modifier le code]

Les risques de sécurité des smart card sont assez faibles[31]. En effet, la technologie NFC permet une communication autour d'un champ avoisinant les 10 cm. Des personnes peuvent alors tenter d'atteindre aux données des utilisateurs par un simple contact[32].

Les smart cards mettent en œuvre des fonctions de sécurité à données chiffrées. Les applications qui utilisent les cartes à puce assurent l'intégrité, la confidentialité des informations [31], ainsi que les points suivants :

  • Authentification mutuelle : les deux supports vont prouver leur authenticité avant de lancer une transaction sécurisé [31];
  • Sécurité forte de l'information : les données et la communication sont chiffrées pour éviter l'espionnage. On utilise alors le hachage ou la signature numérique avec des clés de chiffrement dynamique [31] ;
  • Sécurité forte de la smart card : une smart card est difficile à cloner ou dupliquer. Les puces incluses dans les cartes permettent de détecter les tentatives de sabotage grâce aux matériels ou logiciels (des capteurs peuvent détecter des attaques thermiques ou UV) [31] ;
  • Authentifié et accès à l'information autorisé : la smart card permet un accès unique aux informations authentifiés pour protéger l'accès à d'autres informations personnelles [31] ;
  • Protection contre la tentative de reconnexion : la smart card peut générer des données dynamiquement à chaque connexion pour éviter aux fraudeurs de tenter de lire une carte plusieurs fois [31] ;
  • Authentification biométrique : seuls les utilisateurs disposant d'une correspondance biométrique stocké sur la smart card peuvent bénéficier d'un accès aux données[31].

Risques éventuels[modifier | modifier le code]

Au cours de la conférence de Sécurité Hackito Ergo Sum 2012, un consultant de British Telecom, Renaud Lifchitz a voulu montrer la faiblesse des cartes de paiement sans contact, notamment en montrant la facilité d'obtention de certaines informations contenues sur la carte sans protection particulière : numéro de carte, possesseur, derniers retraits, et la date d'expiration[33].

Attaque par relais[modifier | modifier le code]

Article principal : Attaque par relais.
Attaque par relais

L'attaque par relai est un type d'attaque permettant aux attaquants d'utiliser le module NFC d'une personne dans le but d'effectuer un achat à distance. L'attaquant dispose d'un lecteur de carte relié à un dispositif de communication permettant d'émuler à distance une carte, qui est en réalité la carte initiale de l'acheteur. De l'autre côté, la carte émulée sert à effectuer une opération non voulue[34].

Notes et références[modifier | modifier le code]

Notes[modifier | modifier le code]

Références[modifier | modifier le code]

Bibliographie[modifier | modifier le code]

Sources bibliographiques référencées dans le texte[modifier | modifier le code]

  • (en) Smart Card Alliance, Contactless Payment and the Retail Point of Sale : Applications, Technologies and Transaction Models,‎ mars 2003, pdf, 50 p. (lire en ligne)
  • (en) Izabela Lacmanovi, Biljana Radulovi et Dejan Lacmanovi, Contactless payment systems based on RFID Technology, IEEE,‎ mai 2010 (ISBN 978-1-4244-7763-0, lire en ligne)
  • (en) Luca Mainetti, Luigi Patrono et Roberto Vergallo, IDA-Pay: an innovative micro-payment system based on NFC technology for Android mobile devices, IEEE,‎ 2012, 6 p. (lire en ligne)
  • Carine Boursier et Pierre Girard, Procédé et dispositif comportemental, destinés à prévenir l’utilisation d’un objet portable sans contact à l’insu de son porteur,‎ 2009 (lire en ligne)
  • (en) International Standard, Identification cards -Contactless integrated circuit(s) cards -Proximity cards - Part 1: Physical characteristics (lire en ligne)
  • (en) International Standard et D. Baddeley, Identification cards -Contactless integrated circuit(s) cards -Proximity cards - Part 2: Radio frequency power and signal interface, pdf (lire en ligne)
  • (en) International Standard et D. Baddeley, Identification cards -Contactless integrated circuit(s) cards -Proximity cards - Part 3: Initialization and anticollision, pdf (lire en ligne)
  • (en) International Standard et Meyn, Identification cards -Contactless integrated circuit(s) cards -Proximity cards - Part 4: Transmission protocol, pdf (lire en ligne)
  • (en) International Standard, ISO/IEC 18092 : Information technology — Telecommunications and information exchange between systems — Near Field Communication — Interface and Protocol (NFCIP-1),‎ 1er avril 2004, pdf, 66 p. (lire en ligne)
  • (en) International Standard, ISO/IEC 18000 : Information technology — Radio frequency identification for item Management - Part 1 : Reference architecture and definition of parameters to be standardized,‎ 15 septembre 2004, pdf, 73 p. (lire en ligne)
  • (en) International Standard, ISO/IEC 18000 : Information technology — Radio frequency identification for item Management - Part 2 : Parameters for air interface communications below 135 kHz,‎ 15 septembre 2004, pdf, 71 p. (lire en ligne)
  • (en) International Standard, ISO/IEC 18000 : Information technology — Radio frequency identification for item Management - Part 3 : Parameters for air interface communications at 13,56 MHz,‎ 15 septembre 2004, pdf, 145 p. (lire en ligne)
  • (en) International Standard, ISO/IEC 18000 : Information technology — Radio frequency identification for item Management - Part 4 : Parameters for air interface communications at 2,45 GHz,‎ 15 août 2004, pdf, 98 p. (lire en ligne)
  • (en) International Standard, ISO/IEC 18000 : Information technology — Radio frequency identification for item Management - Part 6 : Parameters for air interface communications at 2,45 GHz,‎ 15 août 2004, pdf, 134 p. (lire en ligne)
  • (en) International Standard, ISO/IEC 18000 : Information technology — Radio frequency identification for item Management - Part 7 : Parameters for active air interface communications at 433 MHz,‎ 15 août 2004, pdf, 20 p. (lire en ligne)
  • (en) International Standard, ISO/IEC 15693 : Identification cards - Contactless integrated circuit(s) cards Vicinity cards - Part 1 : Physical characteristics,‎ 15 juillet 2000, pdf, 6 p. (lire en ligne)
  • (en) International Standard, ISO/IEC 15693 : Identification cards - Contactless integrated circuit(s) cards Vicinity cards - Part 2 : Air interface and initialization,‎ 1er mai 2005, 13 p. (lire en ligne)
  • (en) International Standard, ISO/IEC 15693 : Identification cards - Contactless integrated circuit(s) cards Vicinity cards - Part 3 : Anticollision and transmission protocol,‎ 1er avril 2001, pdf, 44 p. (lire en ligne)
  • (en) Nokia, Introduction to NFC,‎ 19 avril 2011, 30 p. (lire en ligne)
  • (en) NXP by Philips, INTRODUCTION TO NFC (Near Field Communication),‎ 4 juillet 2007, 33 p. (lire en ligne)
  • (en) Ecma Internationnal, Near Field Communication Interface and Protocol -2 (NFCIP-2),‎ juin 2010, pdf, 5 p. (lire en ligne)
  • (en) Mainetti, Patrono et Vergallo, IDA-Pay: an innovative micro-payment system based on NFC technology for Android mobile devices, IEEE,‎ septembre 2012, 6 p. (ISBN 978-1-4673-2710-7, présentation en ligne)

Autres sources bibliographiques[modifier | modifier le code]

  • (en) Emil Hubinak, Miroslav Florek et Michal Masaryk, Systems and methods for contactless payment authorization US 8,275,364 B2,‎ août 2012, 7 p. (lire en ligne)
  • (en) Jean-Louis Moreau, Contactless payment method and device, using a re-usable card,‎ avril 2005, 7 p. (lire en ligne)
  • (en) Ernst Haselsteiner et Klemens Breitfuß, Security in Near Field Communication (NFC), pdf, 11 p. (lire en ligne)

Liens externes[modifier | modifier le code]