Cartes Secure Connexion 2014 : un salon vieillissant pour une industrie en pleine mutation

« C’est la troisième année que je dis : “l’an prochain sera l’année du décollage du NFC” ». Ce trait d'humour, lancé par le président d’Eurosmart, Oyvin Rastad, lors de la conférence inaugurale de Cartes Secure Connexion 2014, résume bien l’optimisme du salon dans un domaine particulier, celui du paiement sans contact. Le lancement d’Apple Pay, le 4 novembre dernier, a fait sensation dans les allées et sur les stands, même si Apple n’était pas officiellement présent et que les accords en cours empêchaient ses partenaires de faire un commentaire officiel à ce sujet. Pour June-Yee Felix, présidente de Verifone Europe, « Apple Pay est le point de bascule pour lancer le NFC ».

D’un stand à l’autre, Apple Pay semble avoir agi tel un croque-mitaine vis-à-vis des différents acteurs du paiement mobile NFC. Si certains, tels les opérateurs et fabricants de cartes SIM, comme Gemalto, s’accrochent au modèle « SIMcentric » préconisé par l’ AFSCM [1] et sa norme Citizi, la plupart attirent le chaland en proposant leurs solutions basées sur HCE (Host Card Emulation).

Dans le modèle préconisé par l’AFSCM, l’élément sécurisant la transaction est matériel et implanté dans la carte SIM commercialisée par l’opérateur. Depuis 2010 que le paiement mobile NFC existe sous cette forme en France, les résultats ne sont guère probants : selon l’observatoire du NFC et du sans contact, 122 000 paiements NFC ont été effectués avec un téléphone mobile en 2013, contre 21,1 millions avec une carte bancaire simple. Ont constitué un vrai frein à son développement la diffusion de ce mode de paiement dans des territoires pilotes, sans jamais atteindre un niveau national, la difficulté à s’accorder sur un modèle financier équitable entre opérateurs et banques, mais aussi, pendant longtemps, le manque d’appareils compatibles et une méconnaissance du public.

Le HCE suffisamment sûr pour se lancer dans le paiement mobile

En déportant l’élément sécurisé dans le cloud, le modèle du HCE, relancé par Google en novembre  2013 [2] , permet aux banques ou aux distributeurs de se passer de tout accord avec les fabricants de cartes SIM et avec les opérateurs mobiles. Ce qui, à la manière d’Apple Pay qui s’appuie sur un élément sécurisé au sein du smartphone, simplifierait grandement la vie des utilisateurs. D’autant plus que Visa, MasterCard et – depuis début novembre – American Express ont tous publié leurs spécifications pour intégrer de façon sûre le HCE dans un schéma de paiement, en utilisant la tokenisation – c’est-à-dire l’assignation d’un jeton correspondant à un moyen de paiement et un porteur sans stocker directement les informations bancaires sur le téléphone –, comme le fait déjà Apple Pay avec des clés de sessions renouvelables. Comme le résume Simon Keates, consultant sécurité mobile pour Thales e-Security, « l’élément sécurisé physique est la méthode la plus sûre de faire des transactions mobiles, mais il présuppose un environnement très contrôlé. Les spécifications autour du HCE ont pour but d’atténuer le danger, sans complètement l’éliminer. En soit, le HCE n’est pas sûr ; mais les spécifications des opérateurs de paiement le rendent suffisamment sûr pour se lancer dans le paiement mobile. »

Et parmi la flopée d’opérateurs annonçant leurs solutions et leurs API pour lancer ces applications HCE, comme la MatrixHCE d’Inside Secure récompensée par un Sésame, l’annonce la plus remarquée dans ce domaine a été le partenariat entre Visa France et Worldline. Les deux sociétés vont lancer un pilote commercial avec quatre banques françaises et, dans un premier temps, 3 000 à 4 000 clients volontaires. La procédure d’enrôlement sera simple et rapide : téléchargement d'une application sur son smartphone, puis saisie du code d’activation fourni par la banque pour personnaliser l’application avec son code secret. En affranchissant l'utilisateur de l'obligation de détenir une carte bancaire sans contact, le modèle ne remet pas en cause les solutions de paiement mobile déjà disponibles, comme Kix ou Orange Cash – qui sera lancé nationalement courant 2015.

Il faudra également surveiller ce que proposeront les applications mobiles issues de la grande distribution. En effet, le HCE peut ajouter très simplement le paiement et l’intégrer à d’autres services : catalogue et promotion mobile, fidélité, offre de crédit directement dans l’application, etc.

1 Association française du sans contact mobile. 2 Voir Cahier Nouvelles Technologies, Revue Banque n° 767 et n° 770.