CurrentC : le concurrent d'Apple Pay se défend… en plein piratage
CurrentC est actuellement sous le feu de l’actualité et des critiques. Deux grandes enseignes américaines, les pharmacies Rite Aid et CVS, ont cessé la prise en charge du paiement par NFC (Apple Pay donc, et par ricochet Google Wallet) pour favoriser ce système de paiement mobile développé par Merchant Customer Exchange (MCX), avec qui elles sont partenaires. Cela n’a pas empêché Apple Pay d’activer un million de cartes bancaires en trois jours et de se positionner immédiatement en première place sur ce marché… Si l’absence de plusieurs grands noms de la distribution (dont Walmart et Best Buy, parties prenantes dans MCX) est dommageable pour Apple Pay, sur le long terme le constructeur de Cupertino estime que les détaillants réfractaires seront poussés par leurs clients à intégrer Apple Pay (lire : Apple ne se démonte pas face au boycott d'Apple Pay).
Et la grogne des consommateurs n’a pas tardé à monter autour de MCX et de CurrentC. Des appels au boycott des magasins participants ont ainsi été lancés sur les réseaux sociaux, et l’image de marque de cette solution est déjà bien entamée. L’entreprise a commencé à contre-attaquer par le biais d’un billet de son CEO, Dekkers Davidson, qui a tenu à clarifier certaines choses. Ainsi, si le contrat passé entre les détaillants et MCX les oblige à l’exclusivité (c’est à dire qu’ils ne peuvent utiliser une autre solution de paiement mobile), en sortir ne conduit pas à une amende comme la rumeur avait commencé à le diffuser.
Plus étonnant, Davidson loue la sécurité de la solution CurrentC, qui stocke les données confidentielles du client non pas dans le terminal, mais dans un « nuage sécurisé ». Il explique que « supprimer les informations sensibles des appareils mobiles signifie réduire le risque que celles-ci soient divulguées dans le cas d’un hack, d’un vol ou d’une compromission ». Il est vrai qu’on n’a jamais vu de vol de données sur un serveur…
Le timing est d'ailleurs désastreux, puisque MCX vient de prévenir d’un problème de sécurité qui touche certains des participants du programme pilote : leurs adresses e-mail ont ainsi pu être subtilisées. Qui dit que demain, ce ne sera pas le fichier bancaire de leurs clients ? Les données d’Apple Pay sont elles conservées sur l’iPhone, dans l’enclave sécurisée auprès du processeur A8. En cas de vol, iOS intègre des mécanismes de défense par lesquels l’utilisateur peut effacer complètement ses données.
MCX propose une expérience de paiement bien différente de celle d’Apple Pay. Là où il suffit d’approcher l’iPhone du dispositif de paiement du commerçant et de s’authentifier via Touch ID pour autoriser le règlement, CurrentC nécessite de lancer l’application mobile et de numériser un code QR. Ce système, qui sera lancé en version finale dans le courant de l’année prochaine, a surtout des avantages pour les détaillants, qui peuvent récupérer toutes sortes de données sur leurs consommateurs, leur proposer des coupons de réduction et des promotions, ainsi que d’éviter les frais bancaires liés aux transactions par cartes de crédit. CurrentC demande effectivement à l’utilisateur de connecter directement son compte bancaire avec l’application, éliminant ainsi les intermédiaires comme Visa ou MasterCard. Mais cela demande une grande confiance de la part du consommateur…
Ahah j'adore les histoires comme ça !
Le RIB par contre c'est moins simple à gérer...
En France il faut donner une autorisation de prélèvement en plus du RIB, un RIB a lui seul ne peut pas être utilisé pour se servir (il peut servir pour y déposer de l'argent mais pas en prendre sans une autorisation). Et l'autorisation ça peut se révoquer (gratuitement contrairement à l'opposition sur une carte bleue).
Un RIB ne contient que ton numéro de compte bancaire. Je le redis, pour prélever de l'argent sur ton compte avec un RIB il faut une autorisation de prélèvement qui est nominative (et revocable).
Tu veux un RIB, en voilà un http://www.ldlc.com/faq/n1283/virement-bancaire-en-euros/.
Et ce ne sont pas les seuls à publier leur RIB.
Et encore un service qui ne marchera pas, pour la simple raison qui a empêché bien des systèmes de paiement sans contact de décoller. La raison d'être de CurrentC, c'est permettre à ces entreprises de récupérer plus d'informations sur leurs clients et se débarasser des 2-3% que leur facturent Visa et MasterCard. Le consommateur n'est que secondaire dans leur esprit, et c'est pour cela que ça ne marchera pas.
Entre le vol d'adresses mails dans leurs serveurs, et le militantisme que Reddit a lancé sur l'AppStore et sur le PlayStore, CurrentC est un service mort-né. NEXT!
@augcre :
Jamais je donnerai l'accès direct à mon compte bancaire à n'importe quel commerçant.
Cette solution est stupide...
C'est simple, MCX qui fait une application de paiement, c'est comme si Darty, Leclerc et Castorama décidaient de s'associer pour inventer un système de paiement sécurisé : malgré leur taille économique, ils n'ont absolument pas un savoir faire technique du niveau d'Orange, SFR ou Free et encore moins du niveau de multinationales comme Apple, Google ou Amazon.
C'est juste complètement délirant de penser pouvoir se mesurer à Apple (ou n'importe quelle autre multinationale hi-tech) en termes d'ergonomie, de taux d'adoption, de sécurité ou de niveau technique quand on est un commerce traditionnel et ça en dit long sur le manque de clairvoyance de ces enseignes...
Oui enfin ce type de solution n'est pas conçue par le commercial que tu trouves dans les rayons, hein. Ces sociétés/commerçants qui ont beaucoup de moyen peuvent largement sous-traîter (c'est déjà le cas pour les cartes de fidélités) ou embaucher les bonnes personnes.
@bibi81 :
Oui et non. En général, les sous-traitants en logiciel sont soumis aux directives du client et tente de transcrire les objectifs de celui-ci en solution logiciel. Si le but de son client n'est pas en phase avec les technologies, ils sortent des solutions de plus ou moins mauvais non pas parce qu'ils ont incompétents mais parce que le cahier des charges était mauvais. Quant à Apple ou Google, ce sont des sociétés présentes sur tous les fronts ayant une très grande maîtrise sur de divers secteurs et technologies. Que ce soit Samsung ou Amazon n'arriveront pas à reproduire cette expertise car ils ont pas ces ressources verticales.
Il n'y a pas que des sous-traitants en logiciel, hein. Google et Apple n'ont pas le monopole du savoir faire, d'ailleurs ni Google ni Apple n'a inventé la carte à puce.
Des PME françaises sont totalement capable de fournir des solutions hardware et/ou software à ce type de problématique tout en conseillant le client (et non pas en suivant des directives inappropriées).
RIP MCX
aucune confiance en mcx personellement.
de plus j'aime pas trop le principe de tout tracer et ensuite de se refiler les listes entres enseignes.
j'aime pas du tout non plus le fait de devoir lancer une appli pour scanner un qr code etc...
et comme dit plus haut une cb on peut l'annuler,faire opposition etc...un rib c'est mort.
leur solutions a etait super bien pensé pour eux.
le truc c'est que c'est pas eux qui vont faire que ça prendras ou pas aupres des clients...
On n'arrête pas de parler de CurrentC comme une grande nouveauté qui va débarquer bientôt (l'année prochaine ?). Mais cette solution existe déjà largement ailleurs qu'aux US… En Afrique du Sud où j'habite il est très courant de payer via SnapScan (https://appsto.re/fr/LW8CJ.i), qui fonctionne aussi sur le principe des QR codes à scanner. Et personne n'y trouve à dire, bien au contraire ! :)
@flepr :
Tout simplement car c'est plus sécurisé que d'utiliser les cartes bancaires à cause des vols et des falsifications.
Si Apple Pay est plus sécurisé que les 2 cas cités plus haut. Et moins envahissant que snapscan qui trace tes achats et autres données à ton insu! ;-)
Moi, en cas de vol de ma CB, j'appelle un numéro et ma carte est bloquée instatanément, ou au pire, prend effet dés que la hot line est avertie....
Si d'aventures, on arrivait à me causer un préjudice, mon assurance me couvre.
Je n'ai pas à me soucier de savoir si ma carte est 'sous couverture' réseau ou autre... Le gag est que la plupart qui vont se faire voler leur i6 vont se ruer pour faire opposition à leurs cartes...
L'enclave de sécurité sera fiable que pour un moment: tout est une question de temps et d'intérêt. Jusque là les hackeurs n'allaient pas perdre du temps pour récupérer des empreintes. Maintenant que la carotte est plus intéressante, ils vont foncer et pas uniquement pour l'appât du gain mais pour la célébrité (au moins les premiers...)
Apple n'est jamais arrivé à empêcher le jailbreak et là ils sortent un truc inviolable?!
@0MiguelAnge0 :
Il faut peut-être voir que c'est pas dans l'intérêt d'Apple de totalement fermer son système pour contrer le jailbreak. Ce dernier est un laboratoire gratuit pour elle ;-)
Apple sait très bien que seule une très petite part de leur clientèle va s'aventurer sur le jailbreak. Et ils n'ont pas tords car la plupart des clients d'Apple aiment les choses simples et propres ;-)
Moi je trouve qu'au contraire Apple a réussi sans le vouloir vraiment à créer un centre de recherche indépendant mais sous contrôle quand même et qui plus est gratuit.
Je dis juste que c'est aune manière de percevoir le jailbreak.
@0MiguelAnge0
Il y a une grosse diffférence quand même. Selon les spéc d'Apple, la puce "Secure encalve" est une puce que l'on ne peut que écrire. C'est à dire les données vont vers la puce. Et la seule chose que la puce sait faire c'est de répondre oui ou non. Avec ce genre de système, je ne vois pas comment un hacker va pouvoir lire le contenu ? C'est la conception même de la puce.
Si j'ai bien compris c'est pas le numéro de ta carte qui est stocké dans ton tel, mais un numéro unique généré qui sert à faire le lien. Je pense pas qu'on puisse en faire grand chose en l'état.
Quelqu'un a t il plus de détails sur le mecanisme d'Apple Pay ?
@mirando :
Avec crédit lyonnais, j'utilise ce système de numéro de carte unique généré aléatoirement et utilisable qu'une fois depuis des années pour acheter en ligne. Ici Apple le combine avec Touch ID et peaufine le système pour le rendre très facile et assez sécurisé à utiliser.
Sans pour autant partager ces données personnelles aux autres.
C'est l'avantage d'Apple Pay je pense.
@jaovao
C'est exactement ça...
Moi, ce qui me dérange là dedans, c'est qu'Apple devient une banque, et que ce rôle, je trouve, ne lui va pas trop.
Acheter des apps pour l'iPhone est une catastrophe, ça manque clairement de transparence, quand on se gourre, y a aucune procédure claire et efficace, faut chercher longtemps l'info, mobiliser trop de ressources pour un simple remboursement. iTunes est une catastrophe pour tout ça. On rebondit de page écran en pages web sans clarté.
Alors si faut imaginer la même chose pour consulter son compte, faire opposition, etc. pour l'instant cet ApplePay ne me séduit pas plus.
@iG
Moi, ce qui me dérange là dedans, c'est qu'Apple devient une banque, et que ce rôle, je trouve, ne lui va pas trop.
C'est là ou tu te trompes, Apple ne devient pas une banque. Apple ajoute juste une sécurisation de l'utilisation de la carte bancaire. Pour preuve, ApplePay ne peut fonctionner sans carte bancaire
@bibi81
Ah oui, quels tiers ont le budget R & D d'Apple ou Google sur la question, l'équipe de développeurs qui va avec, l'infrastructure serveur / réseau pour gérer les transactions ?
En France, Ingenico, quasi leader sur le marché européen des lecteurs de cartes CB, fournit à Apple un terminal de paiement qui nécessite toujours iOS 6 pour fonctionner... C'est à ce genre d'expertise que tu pensais ?
Il n'y a pas besoin de milliards. Avec quelques millions tu peux déjà débuter. Apple au début sous-traitait une partie de la conception de l'iPhone à Samsung, il n'y a pas encore très longtemps Apple sous-traitait aussi une partie de son "réseau" (la partie CDN).
A ma connaissance les terminaux de paiement ne fonctionnent pas sous iOS (surtout qu'ils existaient bien avant iOS).
Honnêtement, à part si CurrentC avait une solution développée avec PayPal, IBM, Microsoft ou Square, je vois pas bien comment ils peuvent espérer être au niveau d'ApplePay
Je ne crois pas qu'ils cherchent à avoir une solution au niveau de Apple Pay ou de la CB. Je crois qu'ils cherchent avant tout à avoir leur solution.
@XiliX :
Qui te parle de la nécessité de lire la puce?! Si tu parviens à comprendre ce qu'il faut lui envoyer pour qu'elle te réponde OUI, tu génèreras ton token unique.
Tu devrais t'interesser aux techniques de piratages... Certains vont jusqu'à générer un bruit au niveau de l'alimentation de la puce cryptographique pour éviter que des malins arrivent à faire du reverse engineering à analysant la consommation de celle-ci. Bref, chacun voit midi à sa porte mais pour moi, un phone me sert à beaucoup de chose mais je ne payerai jamais rien avec...