Mon ennemi héréditaire (de première génération, seulement),
l’ineffable Didier Goux, avait pris une longueur d’avance : il connaissait
Netflix bien avant moi. Pourtant, c’était moi, le geek. Déjà, plusieurs années
auparavant, c’est lui qui par pure pitié m’avait appris à charger des musiques
sur mon iPhone alors qu’il connaissait déjà le fonctionnement des iPod.
Côté Netflix, j’ai fini par le battre mais je triche :
je profite de mon célibat pour me vautrer devant mon téléviseur alors que son
épouse l’oblige à lire des livres et à tondre la pelouse. Côté musique, je dois
avouer que je n’en ai rien à cirer. J’en écoute volontiers quand il y en a au
bistro ou chez des gens mais j’évite d’aller chez les gens, il faut dire. Par
contre, quand je suis seul, j’évite toute forme de bruit autre le pshiiit que
fait le vin sortant de son cubi. Alors, franchement, j’ai bien appris à mettre
de la musique dans mon iPhone mais, honnêtement, je n’en ai rien à foutre.
Pourtant, le mois dernier, il a essayé de me doubler par la
gauche. Ou par la droite. Il a acheté un iPhone. Le même que le mien. Il ne
voulait pas déclencher mes foudres. Et, en plus, je suppose que c’est l’épouse
sus-citée qui a fait le choix. Et elle lui a appris à envoyer des SMS ce que je
fais depuis plus de vingt ans, avant même, peut-être que le T9 nous englue dans
la facilité de tolérer des remplacements de mots par d’autres.
Il ne lui reste plus qu’à lui apprendre la concision. Alors
que lors qu’un type écrit « lol tkt », il va vous faire une tartine
que je vais résumer : « cher ami, l’anecdote
que vous venez de me marrer m’a décroché un grand sourire qui aurait pu se
transformer en une franche hilarité si vous n’aviez pas faire part de votre
inquiétude que je tiens maintenant à dissiper ».
Pour vous dire, quand mon iPhone fait « bip, tu as reçu
un message », j’attends un trou dans la netflixerie en cours puis j’arrête
le déroulement de la série pour pouvoir consulter mes messages au cas où le
nouveau venu émanerait de lui.
Heureusement que je ne conduis plus, je serais obligé de
chercher un parking pour lire plutôt que de me contenter de descendre de 180 à
150 km/h pour limiter le danger.
J’en étais à ce stade de réflexion, hier soir, au comptoir.
C’était à un point où je n’y pensais pas du tout vu que je n’en ai rien à
cirer. J’étais préoccupé par ma carte bancaire qui prend de l’âge et qui m’avait
suggéré, ces derniers mois, d’aller me faire enculer au moment de régler l’addition
à la caisse d’un commerce. A force de trainer dans ma poche, la puce s’encrasse,
que voulez-vous, ma brave dame. Et comme elle a de l’âge, la piste magnétique a
de l’eau dans le gaz. Il me faudrait la renouveler rapidement.
En plus, dès les premiers mois, le « sans contact »
est parti en vrille jusqu’à ne plus fonctionner depuis environ 18 mois. Comme
je suis un homme de contact, je m’en foutais. Je mettais le machin dans la
fente pour le décharger. A l’ancienne.
Parallèlement, ou pas, avec le confinement qui me bloquait
dans la grande maison loudéacienne mais non moins du Centre Bretagne, j’avais
été pris d’une folie compulsive d’achats par internet car je n’avais pas de
voiture et il me fallait bien renouveler une partie des objets obsolètes chéris
pourtant par ma mère. Un jour, ma banque, pour respecter je ne sais quel règlement
européen ou guatémaltèque poussant à la double authentification a changer son
système de paiement par internet pour saisir dans la machine un code fourni par
l’application chargée sur le smartphone et plus seulement un vulgaire SMS. Il
fallait, pour cela, charger une nouvelle application et faire activer la fonctionnalité
par un aimable conseiller en clientèle et je n’avais pas que ça à foutre.
J’ai donc arrêté ma compulsivisation à l’achat en arrêtant d’avoir
une carte qui me permette de payer on the web. Ca m’arrange bien (sauf pour mes
billets de train que je suis obligé d’acheter en borne comme une burne mais j’ai
un truc : je réserve mes trajets longtemps à l’avance puis je les change
selon mes vrais besoins).
J’en étais au comptoir, hier soir. Je reprends. C’est alors
qu’un jeune s’est approché et a réglé sa note en approchant son smartphone du
TPE. Clic clac. C’était fait. Cela n’a rien de novateur. D’ailleurs, quand ma
banque a autorisé « Apple Pay », j’avais essayé et cela fonctionnait
très bien. Mais quand ma carte précédente était arrivée à expiration, je n’avais
pas enregistré – oups ! enrôlé – la nouvelle. Puis, j’ai eu mes problèmes
de paiement par Internet et j’étais persuadé que cela ne fonctionnerait pas.
N'allez pas croire que je divague. Je suis un professionnel
de la carte bancaire, de la sécurité informatique et plus particulièrement « monétique »
et des distributeurs de billets. J’ai l’air d’un abruti, comme ça, mais je suis
vraiment un expert (qui attend quand même la retraite) et j’ai largement plus
de connaissance que toi, cher lecteur, et surtout que la plupart des imbéciles
qui depuis quelques temps deviennent experts en tout dans les réseaux sociaux.
Et, étant salarié d’une banque française, je n’avais pas du
tout envie de confier mes paiements à une multinationale étrangère, par
principe. Imaginez que les banques françaises perdent le marché des paiements,
nous serons sur la coupe de Google, Apple, Mastercard, Visa, American Express
et quelques autres zozos. Même si, à ce jour, il ne s’agit que de l’enregistrement
d’une carte bancaire française dans un téléphone, on ne sait pas comment tout
cela va évoluer. Les banques françaises perdant le marché des paiements, elles
n’auront plus de bénéfice pour financer les crédits et donc l’économie en
général. Il faut être sérieux.
Arrêtez donc de tout confier à votre smartphone, bordel !
Puisque je parlais de distributeurs de billets, un habile
lecteur de Facebook aura vu que, le 20 avril, la Banque de France a diffusé un
rapport sur l’utilisation des espèces (pdf).
On y lira, en introduction : « Si les
espèces sont confrontées à une offre toujours plus large de moyens de paiement
dématérialisés, elles restent l’instrument le plus utilisé en France (et dans
l’Eurosystème) pour régler les achats aux points de vente. Par ailleurs, les
ménages sont nombreux à valoriser la possibilité de payer en espèces. Enfin,
les niveaux d’acceptabilité et d’accessibilité sont considérés comme très
satisfaisants. » Le premier titre est : « 1. L’usage des espèces poursuit son érosion en France,
mais dans une moindre mesure que dans le reste de la zone euro » Un
peu plus loin : « 2. En France, les
espèces restent appréciées. Un léger regain de popularité pour ce moyen de
paiement en 2022. » Vous n’avez qu’à lire vous-même la totalité du
rapport. Il est très joli avec beaucoup de couleurs. On y lit pourquoi le
déclin annoncé des espèces était une supercherie.
Notons que, pour moi, c’est une bonne nouvelle. Les espèces peuvent
bien disparaitre mais seulement après mon départ en retraite.
Il n’empêche que c’est bien le sans contact, par carte ou
par smartphone, qui est le premier concurrent des espèces. Les jeunes devraient
pourtant faire attention. Quand ils iront chez le banquier pour avoir un crédit
pour acheter une DS3 d’occasion, celui-ci pourra évaluer précisément le montant
dépenser dans les bistros et répondre « dis
donc, tu te fous de ma gueule, si tu dépensais moins avec des conneries, j’aurais
moins de mal à te faire confiance pour un crédit. » Et je ne parle
même pas des parents qui ont accès aux relevés de compte des vieux lycéens fêtards
et des jeunes étudiants pochetrons…
Vive les espèces ! Qui permettent au patron de bistro
de faire du black et de payer des serveurs au noir. Saloperies d’espèces.
Justement ! J’en étais à mon comptoir d’hier avec ce
jeune qui payait avec mon smartphone tout en attendant mon copain Serge pour le
traditionnel échange de tournées. Et je me suis dit : « dis donc,
toi, mon canard, pourquoi n’enregistrerais-tu pas ta carte dans ton Apple, ça
te donnerait une nouvelle avance sur Didier Goux et tu serais moins emmerdé le
jour où tu perdras ta carte ou celui où elle rendra l’âme ».
Et hop ! J’ai enregistré ma carte et j’ai essayé le
paiement : ça fonctionne très bien, l’enrôlement prend quelques secondes
et le paiement moins sauf que je ne savais à comment faire le double clic avec
le téléphone près du TPE mais ma tronche en face pour la reconnaissance
faciale.
REP A SA, Didier Goux.
Il n’empêche que je me posais des questions. Figurez-vous
que pas plus tard que récemment, pour le boulot, il a fallu que j’étudie le
retrait par carte sans contact et par smartphone (ça va nous tomber dessus bientôt,
il y a déjà des expérimentations, mais il va falloir un peu de temps pour
générer un système interopérable… surtout que la plupart des GAB n’ont pas de
lecteurs NFC. Mais allez donc faire un tour en Espagne, par exemple).
Je suis un peu tordu mais ma question d’hier était :
comment le paiement par smartphone est-il sécurisé alors que la puce de la
carte n’est pas utilisée ? Pour le paiement par carte sans contact, on le
sait et on connait les limites, d’où le plafonnement à 50 euros. Par
smartphone, il n’y a pas de maximum.
Je vais raconter des choses évidentes mais il est probable
que tu n’y ais jamais réfléchi dans ces termes.
Au moment de l’enrôlement, c’est fabuleux. Vous chargez l’application,
l’appareil photo s’ouvre, vous passez votre carte au bon endroit, le machin
prend la photo et hop ! Il lit automatiquement le numéro de carte. En
fait, il lui suffirait sans doute d’avoir le numéro de carte, par saisie. Et vous
pourriez faire une photocopie de votre carte et utiliser la copie pour l’enrôlement.
Sauf s’il y a des dispositifs de sécurité que j’ignore, genre reconnaissance
des hologrammes… Peu importe. Le machin vous demande de saisir aussi la date de
fin de validité et, surtout, le « cryptogramme visuel » (les trois
chiffres imprimés au dos).
Le « système » reconnait votre banque à partir du
numéro de carte puis la contacte avec le cryptogramme en question. La banque
est donc à peu près sûre que la carte est bien au main des types qui fait l’enrôlement.
Elle vous envoie un code, par SMS, que vous devez saisir sur votre téléphone. Le
« système » s’assure ainsi que l’enrôlement est fait par un type qui
dispose du téléphone avec la carte SIM du propriétaire de la carte. Au moment
du paiement, l’application du smartphone demande une nouvelle authentification
du client, par FACE ID, en l’occurrence. Elle est donc sûre que c’est le type
qui a fait l’enrôlement sur le téléphone qui utilise ce dernier pour payer.
Voila ce à quoi je peux réfléchir quand je suis au comptoir.
Comment se fait-il qu’on puisse payer avec ce qui, au fond, n’est qu’une photo
d’une carte ?
Par contre, je suis mal barré pour trouver un titre à ce billet de blog. Je ne sais même plus de quoi il parle. A part que je me suis foutu de la gueule de Didier Goux parce qu'il faisait trop long en SMS.
À propos de ma logorrhée esse-aime-essienne, le tout premier message que j'ai envoyé à mon frère, j'ai oublié de le signer, or il ne connaissait pas mon numéro, puisqu'il venait d'être créé.
RépondreSupprimerDans sa réponse, il écrit : « Je suppose que c'est toi, Didier ? »
Comme je m'étonnais de ce don de divination, sa réponse est arrivée, catégorique : « Personne n'écrit de messages comme ça ! »
C'était bon, j'étais catalogué.
Et c'est pas un catalogue de primeurs...
SupprimerAlors, pour Apple Pay-machin je l’utilise depuis pas mal de temps (4 ou 5 ans). En fait le machin crée une carte "virtuelle" dont les infos sensibles sont stockées par le téléphone dans la même enclave sécurisée que ta bobine.
RépondreSupprimerQuand tu veux payer, il regarde ta tronche, vérifie que ça colle avec la tronche autorisée et à ce moment envoie à la puce NFC l’autorisation de payer (avec tout un schmilblick crypté et tout ça). En gros le TPE n’a pas ton numéro de carte mais un code qui lui dit que c’est bien toi qui veut payer. Et là le TPE demande à ta banque si t’as assez de sous sur ton compte.
En fait c’est plus sécurisé que la carte parce que le TPE voit pas ton numéro de carte.
Oui, Stéphane, mais ce n'était pas la question (et je suis quand même du métier, j'ai même fait les premières spécifications d'un serveur de token dans une boite, par le passé). Le token ne sécurise pas la transaction mais la carte.
SupprimerLa question était surtout liée à l'authentification du client et de la carte (ou de son support) lors du paiement et de l'enrôlement. Il y a un niveau de sécurité de plus avec le paiement sur internet puisque le client doit non seulement assurer que c'est bien son téléphone mais, en plus, que c'est bien lui en utilisant un code généré par l'application de la banque sur le téléphone. Le fond du problème est la gestion des fausses cartes SIM, en fait. L'enrôlement de la carte sur un téléphone peut se faire à une carte SIM "volée neuve" (donc pas protégée par un PIN) pour Apple Pay, pas pour le paiement par Internet.
Cela étant, il faudrait que le fraudeur vole la carte SIM neuve d'un téléphone et les données d'une carte. Cela a peu de chance d'arrivée. Par contre, beaucoup de gens n'ont pas de PIN sur leur SIM (à part 0000).
Je précise ma réponse car ce n'est pas non plus exactement la question que je me posais. En fait, je n'avais plus utilisé ma carte (ou du moins son clone) dans le smartphone depuis des années car j'étais persuadé qu'il avait été ajouté, depuis, un niveau de sécurité, pour une authentification directe entre l'application et la banque, donc pas seulement par SMS (et donc la SIM).
SupprimerEn fait, en essayant, j'ai vu que cela fonctionnait. Tant mieux pour moi. Mais un tel pataquès m'étonne.
Oui je peux comprendre tes questions. Mes connaissances restent peu élevées dans le domaine, je ne fais que restituer les articles que j’ai pu lire sur certains sites spécialisés. Mais tout cela reste fort pratique quand il faut vider le tapis de la caisse (les suivants s’impatientent) et payer (fort cher) ton panier de courses de la semaine (d’ailleurs on devrait disserter sur le coût réel d’un gosse - pas proportionnel à sa taille 😂 )
SupprimerC’est amusant. Je n’avais jamais pensé autre chose qu’un bistro ou un petit montant avec mon smartphone. Effectivement, on peut payer en supermarché. Il doit y avoir un truc psychologique. Il faudra que je relise l’étude que j’ai mise en lien. NJ.
SupprimerAh oui. C’est Stephane qui a commenté (pas moyen de m’authentifier avec l’iPhone)
RépondreSupprimerOuf ! Ca me parait au moins parfait pour vérifier une de mes théories : les gens qui connaissent une partie d'un procédé sont persuadés tout connaître, au point de tenter d'apporter des explications à des pros.
SupprimerEt hop ! Smiley.
Ah ! Et je suis moqueur mais ne te formalise pas. J’apprécie réellement d’avoir un commentateur qui aborde réellement un des sujets du billet. C’est rare.
SupprimerJe me formalise pas, je commence à te connaître un petit peu 😊 SG
SupprimerOuf. NJ
Supprimer