C’est certainement la plus grosse annonce de la keynote consacrée aux iPhone 6 et Apple Watch. Apple Pay, le système de paiement sans contact de Cupertino se donne les moyens de réussir son pari : réinventer le processus de nos transactions quotidiennes.

Apple Pay sur la scene du Flint Center

Le contexte

Aux Etats-Unis, 12 milliards de dollars sont dépensés chaque jour au moyen d’une carte bancaire. Une somme colossale ventilée sur 200 millions de transactions quotidiennes. Si les américains utilisent beaucoup leur carte de crédit, c’est au prix d’un processus relativement lourd. De l’autre côté de l’Atlantique, il n’est pas rare de disposer de 5, 6 voire 10 cartes de crédit dans son portefeuille. A cette première contrainte s’en ajoute une autre : aux US, la carte à puce a beaucoup de mal à percer. Dans les magasins physiques, la plupart des transactions se font au travers de la bande magnétique qui longe toutes les CB du monde depuis plusieurs dizaines d’années. Ce système est tellement peu sécurisé (par rapport à la puce que nous utilisons en Europe) que bien souvent, le caissier réclame la carte d’identité du client.

Processus de paiement avec carte bleue

Ce sont ces lourdeurs qu’Apple veut littéralement balayer avec Apple Pay. Un gros pari qu’aucun géant High Tech, pas même Google, n’a réussi à relever. Mais Apple avance des arguments convaincants que nous allons découvrir. Ils prouvent une nouvelle fois que si la firme californienne prend souvent son temps pour partir à la conquête d’un territoire exploré par d’autres, elle se donne ici les moyens de réussir là où ses concurrents ont échoué…

Principe de fonctionnement

L’idée étant de se débarrasser des cartes de crédit, celles-ci sont stockées dans l’iPhone. Par défaut c’est celle qui est associée au compte iTunes de l’utilisateur qui est automatiquement sélectionnée par le système. Mais il est tout à fait possible d’entrer plusieurs cartes dans Apple Pay. Pour cela, rien de plus simple : il suffit de photographier les cartes à l’aide de l’iPhone qui les analysera et les stockera dans ses entrailles.

Apple Pay cartes de crédit

Cartes de crédit et cartes de fidélité font bon ménage dans Apple Pay…

Quand il désire régler ses achats en magasin, le client approche son iPhone 6 ou iPhone 6 Plus du terminal de paiement tout en posant son doigt sur le TouchID. En une seconde, le paiement est effectué. Pas de vérification supplémentaire. Tout est consigné dans l’iPhone. Si l’utilisateur veut choisir une autre carte que celle qui est sélectionnée par défaut, il lui suffit d’approcher l’iPhone du terminal de paiement. L’écran du smartphone affiche alors automatiquement le « portefeuilles » de cartes disponibles. Une tape sur l’élue, un doigt sur TouchID et c’est fait !

Apple Pay avec TPE

Ce procédé empêche le commerçant d’avoir un contact visuel voire physique avec la carte de crédit. Ce type de contact est, on le sait, risqué pour le propriétaire de la carte. Si un caissier malintentionné récupère le nom, le numéro, la date d’expiration et le cryptogramme de la CB, il détient assez d’informations pour faire des achats sur le Web…

Pour fonctionner, ce processus repose sur 5 piliers : une puce NFC pour une communication sans contact, TouchID pour l’identification du client, la cryptographie pour le stockage de données, la tokénisation pour la sécurisation de la transaction et Find My Phone… en cas de vol.

NFC…

Véritable serpent de mer chez Apple, la puce NFC (Near Field Communication) est attendue sur l’iPhone depuis plusieurs années. Ce système permet de mettre en contact deux appareils simplement en les rapprochant, que ce soit pour un échange de données, un appairage ou du paiement. Le principe est intéressant mais longtemps considéré par Apple comme pas assez sécurisé. D’ailleurs, avec le développement et le déploiement d’une solution-maison répondant au doux nom de iBeacon, on pouvait croire à l’abandon définitif du NFC par les ingénieurs de Cupertino.

Il n’en est rien puisque dans Apple Pay, c’est bien sur cette technologie que repose la communication entre l’iPhone et le terminal de paiement d’un commerçant. La techno est par ailleurs doublement adoubée par la Pomme qui l’a également intégrée à son Apple Watch, elle aussi compatible avec Apple Pay. Nous y reviendrons.

TouchID…

Apparu avec l’iPhone 5s, le capteur d’empreintes caché dans le bouton d’accueil du smartphone a eu droit à une bonne année de galop d’essai grandeur nature. Depuis la sortie de l’iPhone 5s en effet, l’identification par TouchID est réservé à Apple qui l’a ainsi « testé » sur le déverrouillage du mobile et sur le paiement via Easy Pay, un processus de paiement uniquement disponible dans les Apple Store.

Le TouchID, malgré quelques déconvenues ici ou là, a globalement réussi à convaincre. Il offre un confort appréciable (plus de code à taper) et davantage de sécurité (plus de composition de code à la vue de tous).

Touch ID

Cryptographie…

Toutes les informations bancaires nécessaires au fonctionnement d’Apple Pay sont consignées dans un espace sécurisé (secure element), comprenez inaccessible aux applications, commerçants ou autres, situé au coeur de l’iPhone. Ces données sont cryptées de sorte que les numéros, dates d’expiration et cryptogramme de chaque carte ne soient pas stricto sensu stockés dans l’iPhone.

Tim Cook a par ailleurs ajouté lors de la Keynote qu’Apple ne stockait aucune de ces informations dans iCloud. Bonne nouvelle.

Token…

La sécurisation des opérations de paiement sans contact est sans doute le chapitre le plus délicat du projet. Entre le vol de données et la protection de la vie privée, Apple se devait de tenir un discours ferme sur les moyens mis en oeuvre pour assurer la sécurité d’Apple Pay.

Avant tout, Tim Cook s’est voulu rassurant et pédagogue sur l’esprit d’Apple Pay. Précisant, pour la pique en règle contre Google, que le business d’Apple ne reposait pas sur la récupération de données, le CEO a garanti que toutes les informations personnelles relatives aux achats étaient réservées aux trois acteurs principaux d’une transaction : le client, le commerçant et la banque. Ainsi, Apple n’aura jamais connaissance du bien acheté, du prix payé ou encore du lieu de la transaction.

Du côté des données bancaires, Apple a fait le choix du jeton (ou token) dynamique. A chaque transaction, un numéro crypté est généré par Apple Pay pour un échange avec la banque qui autorisera (ou non) le paiement. On parle bien ici de token dynamique : Un jeton renvoyé par la banque pour un achat ne peut servir qu’à l’achat en question. En admettant qu’un vilain hacker réussise à intercepter ce fameux numéro, il ne lui sera d’aucune utilité car l’achat suivant devra être associé à un nouveau jeton…

iPhone 6 coffre-fort

Ainsi, aucune information bancaire ne circule. Ni vers le commerçant, ni vers Apple. Ce type d’info reste consignée dans un coffre-fort (une puce dédiée) de l’iPhone. Un principe qui rappelle celui de TouchID. Les empreintes étant stockées et cryptées dans un « espace » inaccessible.

Find My Phone

Comme l’a subtilement fait remarquer Jimmy Kimmel, « Remplacer le portefeuille et la carte bleue, ça fait beaucoup pour un truc qui va finir au fond des toilettes ». Si l’animateur télé cherche à faire rire, il n’en soulève pas moins un problème plus large : la perte de l’iPhone. En accueillant un moyen de paiement automatique, l’iPhone 6 risque d’attirer l’attention de nouveaux chapardeurs. Pas de panique nous lance Tim Cook. En cas de vol ou de perte, il suffit de se connecter sur iCloud pour accéder à la fonction Find My Phone et bloquer Apple Pay. Cerise sur le gâteau : ce blocage exonère la victime d’une opposition auprès de sa ou ses banques !

Find my phone avec Apple Pay

Partenariats…

Apple n’invente pas le paiement sans contact. Le Google Wallet lancé dès 2011 par le géant de Mountain View, repose aussi sur le NFC. Après bientôt 3 ans d’existence, le système reste cependant limité aux Etats-Unis laissant planer l’idée de difficultés… inattendues. Plusieurs obstacles se sont en réalité présentés.

Un parc de smartphones compatibles trop restreint. Le faible équipement des commerçants en TPE compatibles NFC. Enfin, le fameux espace de stockage des données les plus sensibles est longtemps passé par la carte SIM ce qui a généré des négociations interminables sur le partage de valeur entre les banques, réseaux de cartes bancaires et opérateurs mobile…

Tous ces obstacles sont en train de tomber. Tous les smartphones se mettent au NFC. Les commerçants s’équipent. Ingenico par exemple, leader du TPE, ne commercialise plus en France que des TPE compatibles NFC. Quant aux données les plus sensibles (numéros de carte, nom,…), les banques acceptent désormais que les constructeurs en gèrent la sécurité…

Partenaires Apple Pay réseaux de cartes bancaires

Apple arrive donc à point nommé ! Et c’est bien sa spécialité ! Tous les astres sont alignés pour permettre au paiement par NFC de décoller à l’échelle mondiale. Les partenariats ficelés par Cupertino englobent la quasi-totalité des acteurs indispensables à la réussite du projet. Réseaux de cartes (Amex, Visa, MasterCard), établissements bancaires et commerçants.  C’est d’ailleurs à ce niveau que les choses vont devoir s’accélérer car si Tim Cook a présenté une listes de partenaires prestigieux (Macy’s, Bloomingdale, Staples, Subway, Mc Donald’s, Whole Foods, Disney, Toys ‘r Us, Apple Store,…), on est encore loin du compte au regard du nombre d’enseignes susceptibles de rejoindre le mouvement.

Les termes de ces partenariats gardent encore quelques secrets. Si le service ne coûte rien en apparence aux utilisateurs d’Apple Pay, il est évident qu’Apple touchera une part de la commission que les intermédiaires ont l’habitude de récupérer. Combien ? L’information est pour le moment bien gardée…

Et la France dans tout ça ?

Apple Pay sera disponible aux Etats-Unis dès octobre 2014. D’autres pays seront bientôt éligibles mais Tim Cook s’est contenté d’un formidable flou artistique. Une information encourageante est cependant venue de VISA. Le réseau de cartes bancaires a en effet confié que ses 1,5 millions de terminaux NFC européens seraient compatibles avec Apple Pay dès 2015…

One more thing…

Apple Pay a fait l’objet de plusieurs minutes de présentation. Malgré cela, Tim Cook a du rapidement passer sur certains points. On retiendra tout de même que Apple Pay fonctionne aussi pour les achats en ligne. Cette fonction autorise un client à régler un achat sans avoir à remplir les longs formulaires d’identification obligatoires dans ce contexte : adresse postale, numéro de téléphone, mail, numéros de carte,… Ce type de transaction est semble-t-il limité aux achats de biens physiques… pour le moment.

On sait également que la montre connectée Apple Watch est compatible avec Apple Pay. L’appareil, lui aussi équipé d’une puce NFC, n’accueille pas de TouchID. Mais la présence de la montre au poignet, la proximité de l’iPhone appairé et l’ajout d’un code à saisir pour chaque achat semblent suffire à assurer la sécurité du processus.

Apple watch avec TPE pour paiement sans contact

Conclusion

On ne sait pas si le lancement parfaitement markété d’Apple Pay suffira à convaincre des millions de personnes que le paiement par NFC est plus sécurisé qu’un autre mode de paiement. Il va sans doute falloir qu’un système de fidélisation ou de coupon de réduction viennent renforcer l’attrait du dispositif. Le principe est déjà testé au travers d’iBeacon, une technologie développée par Apple. Les deux systèmes pourraient bien s’entendre…

Le fait est qu’Apple a beaucoup d’atouts dans sa manche pour mener à bien sa nouvelle conquête qui devrait beaucoup plaire… à Wall Street. Apple Pay pourrait en effet s’avérer très lucratif si Cupertino prélève sa dîme sur chaque transaction…