Comme tous les ans, la grande messe de la téléphonie mobile a eu lieu à Barcelone du 24 au 27 février 2014 . Et comme le téléphone mobile et ses déclinaisons (tablettes et désormais montres connectées) s’intègrent à tous les éléments de la vie quotidienne, le domaine bancaire était encore bien présent cette année. Mais à la différence de l’an dernier, où les annonces plus ou moins pertinentes à destination du monde bancaire se multipliaient d’un stand à l’autre, cette année, l’heure était principalement au concret, avec la démonstration de solutions déjà en place dans certains pays, ou déjà montrées à Cartes en novembre dernier (voir Revue Banque n° 766). Les quelques annonces et nouveautés présentées n’en ont donc que plus de poids.
Le HCE comme outil pour faciliter le paiement sans contact ?
Lorsque, en novembre dernier, Google a annoncé l’intégration du HCE (Host Card Emulation) dans la version 4.4 (KitKat) de son système d’exploitation mobile Android (voir Revue Banque n° 767), il a donné un grand coup de pied dans la fourmilière du paiement par NFC. En effet, tout comme Orange Cash annoncé peu avant le salon en février dernier (voir Revue Banque n° 769), cette solution élimine de facto un des acteurs du trio classique pour le paiement sans contact par téléphone mobile. Là où Orange Cash permet aux acheteurs d’utiliser leur téléphone avec une carte bancaire dématérialisée prépayée dans la carte SIM (en partenariat avec Visa en France et avec MasterCard en Espagne) sans passer par une application bancaire, le HCE élimine la nécessité d’avoir un élément sécurisé physique dans le téléphone pour faire du paiement NFC. Pour le cas français, cela signifie que l’application bancaire ou de paiement n’aurait plus besoin d’être stockée sur la carte SIM du téléphone ; la banque pourrait donc proposer ce service à l’ensemble de ses clients sans se préoccuper de savoir quel opérateur ils utilisent. De quoi faire frémir les opérateurs ? Pas tout à fait : coup sur coup, les deux grands émetteurs de cartes, Visa inc. et MasterCard, ont publié juste avant l’ouverture du salon des spécifications pour permettre l’usage du HCE dans le cadre du paiement mobile.
Pour Milan Gauder, responsable des paiements émergents chez MasterCard, le HCE « est une nouvelle façon de permettre au porteur de carte d’utiliser un téléphone NFC en boutique, sans renier les solutions existantes. C’est une autre solution qu’EMV, mais elle est suffisamment sûre pour que nous l’utilisions avec MasterPass in-apps. » En clair, la solution de paiement sera au cœur de l’application et utilisera le wallet de MasterCard. L’enrôlement pour une première utilisation se fera également à partir de l’application, avec un accès au site de Masterpass pour s’inscrire la première fois. À ce sujet, en France, MasterPass est déjà accepté par les prestataires de paiement Atos et Ogone, mais aucun accord n’est encore passé avec les banques.
Côté Visa Europe, le discours est légèrement différent. Frédéric Maistre, responsable paiement mobile et innovation chez Visa Europe, précise que « Visa International a annoncé les spécifications pour HCE, mais Visa Europe n’a pas publié de spécifications à ce stade. Nous voulons continuer à discuter avec les banques pour européaniser ces dernières. » Pour autant, c’est bien sur le stand de Visa qu’il était possible de voir en action le paiement via HCE. En effet, la société travaille depuis un an avec BankInter sur un système de paiement sans contact basé sur l’HCE et cherche à trouver la bonne méthode pour augmenter la sécurité. Chez BankInter, la solution choisie passe par la génération à chaque transaction d’une carte à usage unique.
Sécurité renforcée à tous les étages
L’autre grande tendance du Mobile Word Congress portait sur la sécurité, et plus particulièrement sur celle des téléphones. Sur ce point, deux solutions coexistent.
La première, reprenant le principe du Hoox de Bull (voir Revue Banque n° 765), consiste à concevoir un smartphone sécurisé de bout en bout. C’est la solution adoptée par le Blackphone, codéveloppé par Geeksphone et Silent Circle. Ce téléphone est destiné avant tout au grand public soucieux du respect de sa vie privée et de la confidentialité de ses communications et déplacements. Le téléphone contient un processeur dédié au chiffrement et propose une version sécurisée d’Android (baptisée Private OS) qui protège et chiffre en permanence les applications et les données contenues dans le téléphone. Il permet aussi de désactiver la géolocalisation intégrée à certaines applications, et de se connecter de façon invisible aux différents hotspots WiFi. Il est livré avec trois licences Silent Circle pour échanger appels et messages chiffrés avec trois autres contacts sous Android ou iOS ; sinon, seuls les appels de Blackphone à Blackphone sont chiffrés. Ce téléphone sera vendu à partir de 460 euros HT en juin, soit sur le site de la société (blackphone.ch), soit via l’opérateur KPN en Hollande, Belgique et Allemagne.
L’autre méthode pour assurer la sécurité des téléphones portables est celle dite de la boîte noire. Ici, le matériel ne change pas, mais on change le système d’exploitation ou on y ajoute un conteneur dédié à la sauvegarde des données les plus sensibles. C’est l’approche choisie par Samsung avec sa solution Knox qui mélange conteneur pour les données professionnelles sur les Samsung Galaxy et Note (à partir du S3) et cloud pour la gestion à distance des applications et accès sensibles à l’entreprise. C’est également l’approche privilégiée par Uhuru, une société française. Celle-ci propose un système Android durci (basé sur la version 4.2 du système d’exploitation) qui s’installe sur n’importe quel smartphone Android. Celui-ci chiffre les données du téléphone et les messages SMS ainsi que les appels vocaux. Il dispose également d’un magasin d’applications dédiées (qui peut être hébergé par l’entreprise cliente qui choisira alors les applications autorisées) et permet la gestion à distance des téléphones par les services informatiques.
