Les portefeuilles virtuels comme Apple Pay et Google Pay sont très pratiques, mais sont-ils sûrs ? Comment protègent-ils vos informations des personnes qui pourraient tenter de les voler ? Voici ce que vous devez savoir.
Comment fonctionnent Apple Pay et Google Pay ?
Laissez vous Apple Pay وGoogle Pay Utilisez votre téléphone pour payer, comme vous le feriez avec une carte de crédit. Mais comment fonctionnent-ils sous le capot ?
Lorsque vous ajoutez une carte à l'un ou l'autre service pour la première fois, le numéro de carte est envoyé à un intermédiaire appelé fournisseur de services de jetons (TSP). Les fournisseurs de jetons prennent votre numéro de carte de crédit, appelé numéro de compte principal (PAN), et vous attribuent un deuxième numéro appelé jeton, ou numéro de compte principal numérique (DPAN).
Note
Nous l’appelons un nombre, mais les jetons sont en réalité des chaînes alphanumériques.
Une fois qu'un jeton vous a été attribué, chaque fois que vous utilisez votre téléphone pour payer quelque chose, votre téléphone envoie le jeton via NFC au lieu d'un véritable numéro de carte de crédit. Celui que vous payez envoie votre token au TSP, et le TSP est celui qui relie votre token à votre numéro de compte habituel. Ces informations sont ensuite transmises à votre banque (ou autre institution financière) et votre paiement est effectué.
Cette couche supplémentaire est là pour empêcher que votre véritable numéro de compte principal ne soit volé ou utilisé à mauvais escient. Le commerçant ne peut rien faire seul avec votre token, il demande au TSP d'assurer la connexion entre lui et votre banque.
Dans quelle mesure Apple Pay et Google Pay sont-ils sécurisés ?
Google Pay et Apple Pay sont considérés comme très sécurisés et, au moment de la rédaction de cet article, aucun piratage à grande échelle n'a été lié à l'un ou l'autre. Il y a quatre grandes fonctionnalités qui y contribuent :
- Apple Pay ne stocke pas votre numéro complet de carte de crédit, donc même si Apple est piraté et que son cryptage ne parvient pas à protéger les données (ce qui est peu probable), votre numéro de carte ne peut pas être volé.
- Google Pay crypte toutes les données de carte stockées sur ses serveurs. Si des données sont volées, il est peu probable que quiconque puisse briser le cryptage dans un avenir proche.
- Apple et Google Pay utilisent la tokenisation dans les transactions. Tout comme avec les cartes de crédit, cela signifie que toute personne que vous payez ne peut pas voler votre numéro de carte de crédit et l'utiliser ultérieurement pour des transactions frauduleuses.
- Aucun des deux services ne vous permettra d'afficher ou de modifier les méthodes de paiement associées à votre compte, sauf si vous le confirmez à l'aide de votre téléphone (ou autre appareil autorisé).
Même si votre compte Google ou Apple est piraté, aucun des deux services ne vous permettra d'utiliser, de modifier ou d'afficher vos méthodes de paiement sans utiliser votre téléphone (ou autre appareil) pour vérifier votre identité. Cela garantit qu’un pirate informatique ne peut pas dépenser trop avec vos cartes.
Qu’est-ce qui les rend vulnérables ?
La plus grande vulnérabilité (connue) d'Apple Pay et de Google Pay est l'appareil qu'ils utilisent pour authentifier les transactions. Il s'agit généralement de votre téléphone, mais il peut également s'agir d'une montre connectée ou de votre Mac, par exemple.
Le problème le plus courant est votre code PIN. Toute personne qui le connaît (ou dont les données biométriques ont été ajoutées à votre téléphone) peut l'utiliser pour effectuer un paiement.
De plus, les bugs peuvent ouvrir des voies d’attaque aux pirates. Ce genre de choses est rare, mais cela arrive. Google Wallet avait un bug en 2023 qui pouvait exposer les numéros de carte des utilisateurs à un appareil NFC malveillant, et les appareils Pixel avaient autrefois un bug qui permettait à quelqu'un de contourner l'écran de verrouillage avec une carte SIM supplémentaire. Apple Pay avait un bug en place Transit express Ce qui aurait permis d'effectuer le paiement sans l'autorisation de l'utilisateur.
Heureusement, ce type de problème est généralement corrigé très rapidement. Des correctifs de sécurité comme celui-ci expliquent pourquoi il est important de garder vos appareils à jour.
Apple et Google Pay sont-ils plus sécurisés que les cartes de crédit ?
En général, oui. Les cartes de crédit modernes utilisent également la tokenisation si vous utilisez le paiement sans contact ou si vous insérez la puce dans un lecteur de carte, ce qui constitue une énorme amélioration par rapport aux anciennes bandes magnétiques, mais elles souffrent d'un énorme défaut de sécurité : votre numéro de carte de crédit est littéralement imprimé sur la carte. carte elle-même.
Les cartes de crédit ne nécessitent généralement pas que vous utilisiez un code PIN pour effectuer une transaction. De plus, si vous laissez tomber votre carte, n'importe qui peut la récupérer et l'utiliser. Aux États-Unis, le montant maximum dont vous serez responsable si votre carte de crédit est volée et utilisée frauduleusement est de 50 $. Cependant, c’est un problème que vous pouvez complètement éviter.
Apple Pay et Google Pay, en revanche, peuvent être configurés de manière à ce que chaque transaction, quelle que soit sa valeur, nécessite un code PIN, un mot de passe ou une authentification biométrique. Il s'agit du paramètre par défaut aux États-Unis, bien que d'autres pays varient. En règle générale, vous ne pouvez pas facturer plus de 50 $ environ sans authentification.
Comme mentionné précédemment, il est toujours possible de contourner la sécurité de votre téléphone, mais il est important de souligner à quel point de telles vulnérabilités sont rares dans le grand schéma des choses. Vous risquez davantage de perdre la carte accidentellement que de contourner la sécurité de votre téléphone.
