Idées reçues sur le fonctionnement d’Apple Pay

 (birchtree.me)
1 points par GN⁺ 2024-03-29 | 1 commentaires | Partager sur WhatsApp

Les portefeuilles numériques et le mythe du « seul Apple Pay fait ça »

  • Apple Pay est excellent, mais il semble y avoir des malentendus sur son fonctionnement.
  • Un paiement via Apple Pay masque le véritable numéro de carte bancaire, ce qui empêche les commerçants de suivre les clients à partir de cette donnée.
  • L’article explique la différence entre DPAN et FPAN. Le FPAN est le numéro imprimé sur la carte physique, et le DPAN est un numéro unique attribué à l’appareil.
  • Le DPAN est comparable à un enregistrement DNS, et un DPAN différent est généré à chaque utilisation d’Apple Pay.
  • Le DPAN n’est pas une fonction propre à Apple Pay, mais une fonctionnalité standard de tous les portefeuilles numériques. Google Pay et Samsung Pay offrent la même chose.
  • Les boutons Amazon Pay et Shop Pay masquent eux aussi le véritable FPAN vis-à-vis du commerçant.
  • Les banques utilisent également des DPAN dans leurs propres portefeuilles numériques afin de protéger le véritable numéro de compte.

Le problème du suivi des clients

  • L’affirmation selon laquelle le DPAN change à chaque transaction est fausse. Pour des transactions successives chez un même commerçant, le DPAN reste identique.
  • Le DPAN complique la combinaison des données de transaction entre plusieurs commerçants pour analyser les habitudes d’achat, mais il n’empêche pas un commerçant unique de suivre l’historique des transactions d’un client.
  • En cas de fuite de données, le DPAN est plus sûr pour le client. Il ne fonctionne que lorsqu’il est soumis comme partie d’un bundle chiffré unique à chaque transaction, ce qui le rend inutilisable pour les pirates.

La confidentialité d’Apple Pay

  • L’idée selon laquelle Apple Pay masque les informations personnelles n’est pas exacte.
  • L’auteur a testé une véritable transaction Apple Pay et vérifié un rapport au niveau commerçant. Lors du paiement, l’adresse de facturation et l’adresse du domicile, le nom complet et l’adresse e-mail sont transmis au commerçant.
  • Le SDK Apple Pay permet au commerçant de choisir quelles informations personnelles il souhaite obtenir du client.
  • Lorsque la carte de paiement Apple Pay apparaît, toutes les informations présentes sur cette carte sont transmises au commerçant.

Conclusion

  • Apple Pay est un excellent moyen de paiement et a joué un rôle majeur dans la popularisation des portefeuilles numériques.
  • Les fonctionnalités offertes par Apple Pay ne sont pas uniques dans le secteur. Le DPAN complique le suivi des achats entre plusieurs commerçants et protège les clients en cas de fuite de données.
  • Il est irréaliste d’attendre de tout le monde qu’il connaisse le fonctionnement de tous les portefeuilles numériques. Partager ce type d’informations est utile.

L’avis de GN⁺

  • Cet article aide à dissiper des idées reçues courantes sur les portefeuilles numériques. Il corrige notamment la perception erronée selon laquelle Apple Pay disposerait de fonctionnalités uniques dans le secteur.
  • En expliquant comment des technologies comme le DPAN contribuent à la protection de la vie privée des clients, l’article participe à mieux informer les utilisateurs pour qu’ils utilisent les portefeuilles numériques de manière plus sûre.
  • D’un point de vue critique, l’article souligne que les portefeuilles numériques ne constituent pas une solution parfaite en matière de confidentialité. Il note par exemple qu’ils n’empêchent pas un commerçant unique de suivre l’historique des transactions d’un client.
  • Il existe dans le secteur divers portefeuilles numériques offrant des fonctions similaires à Apple Pay. Par exemple, Google Pay et Samsung Pay proposent des mécanismes comparables pour protéger les informations de carte bancaire des utilisateurs.
  • Parmi les points à considérer lors de l’adoption de cette technologie, il est important de comprendre le niveau de protection de la vie privée de l’utilisateur et le niveau réel de sécurité offert. L’avantage du DPAN est qu’il peut empêcher l’exposition directe des informations de carte bancaire du client en cas de fuite de données.

À lire aussi

1 commentaires

 
GN⁺ 2024-03-29
Avis Hacker News
  • Quelqu’un demande une explication ELI5 (comme à un enfant de 5 ans) du fonctionnement d’Apple Pay et Google Pay. L’utilisateur pensait que ces services transmettaient les informations de carte bancaire au commerçant ou à la passerelle de paiement, mais a l’impression qu’Apple/Google jouent plutôt le rôle de passerelle ou de mode de paiement. Il se demande s’ils collectent toutes les données de transaction et si un support particulier est nécessaire sur les terminaux de paiement pour prendre en charge Apple/Google Pay. D’autres commentaires affirment toutefois qu’Apple Pay est profondément ancré dans les standards. Il s’interroge sur ce qui est propriétaire chez Apple et Google, pourquoi il est difficile de remplacer ces apps par des alternatives open source, et si cela vient de leur accès exclusif à la puce NFC.
    • Quand Apple Pay a commencé à se généraliser, un utilisateur l’a étudié de près à partir de son expérience dans le traitement des paiements de détail. Il avait été impressionné à l’époque par la profondeur de l’ancrage d’Apple Pay dans les standards du secteur. Il n’y avait absolument rien de spécifique à Apple, jusqu’à la technologie de communication sans fil, et cela reste vrai aujourd’hui. Certains commerçants ont dû modifier leurs systèmes intentionnellement pour ne pas accepter Apple Pay (CVS lui revient particulièrement en mémoire). Cela venait de la volonté des commerçants de différencier des systèmes de paiement concurrents. Il juge positivement le fait que l’auteur ait réexaminé la situation récente.*
    • Il manque dans la discussion le fait que les transactions de portefeuilles numériques comme Apple Pay sont tout aussi traçables que les transactions utilisant un numéro de carte classique. Il conseille de ne pas s’attendre à ce que les paiements par portefeuille numérique protègent davantage la vie privée que les paiements avec une carte ou un numéro de carte traditionnels.*
    • Le billet de Matt Birchler corrige l’information erronée selon laquelle le DPAN (numéro de compte de paiement propre à l’appareil) serait différent selon le commerçant. D’après la documentation officielle d’Apple, le DPAN n’est unique qu’à l’appareil et ne change pas sauf si la carte est supprimée puis ajoutée de nouveau. Ainsi, l’utilisation de la même carte sur deux appareils différents (par exemple un iPhone et une Apple Watch) ne permet pas un suivi commun, mais les transactions auprès de différents commerçants sur un même appareil peuvent être suivies par des courtiers en données.*
    • Il s’interroge sur le fait que le SSO (authentification unique) et les paiements mobiles ne soient pas des interfaces standard, et demande pourquoi ce n’est pas « se connecter avec mon fournisseur SSO par défaut configuré » au lieu de « Se connecter avec Google » ou « Se connecter avec Apple ». Il note aussi que beaucoup de vendeurs ou de sites ne prennent en charge qu’une partie de ces fournisseurs, si bien que le SSO n’est pas vraiment du SSO. Il estime qu’une spécification commune devrait être suivie par tous les vendeurs, sinon la loi finira par imposer de tels standards à l’avenir.*
    • Il fait remarquer que c’est le commerçant qui décide de la quantité d’informations personnelles collectées lors du paiement avec Apple Pay, et qu’Apple Pay n’empêche pas les demandes d’informations au moment du checkout. Il se demande si cela se produit aussi lors d’achats en magasin physique et si Apple/Google demandent explicitement le consentement avant de partager des informations qui ne sont manifestement pas nécessaires.*
    • Lors du lancement d’Apple Pay en Australie, les grandes banques locales travaillaient déjà depuis des années à accroître l’usage du paiement sans contact. Quand Apple est arrivé en réclamant des frais à l’américaine, toute l’infrastructure existait déjà grâce aux banques. Les grandes banques locales ont fini par prendre en charge Apple Pay sous la pression trop forte des clients. Les banques s’en plaignent encore, et si le régulateur forçait l’ouverture de la puce NFC, elles abandonneraient immédiatement Apple Pay.*
    • Il se demande pourquoi Apple Pay n’affiche pas le montant à payer à l’écran avant l’autorisation de la transaction. Il suppose que ce n’est pas un problème d’UX, mais plutôt que l’appareil Apple ne connaît pas le montant du paiement.*
    • Quelqu’un demande où Gruber a dit « seul Apple Pay fait cela ». L’auteur souligne que Gruber a commis quelques erreurs ou n’a pas parfaitement saisi certains détails.*
    • Il mentionne qu’Apple a fait un excellent travail pour populariser ce type de portefeuille numérique, et qu’Apple Pay était assez singulier à son lancement, mais ne l’est plus dans l’industrie aujourd’hui. Il se souvient que d’autres systèmes de paiement par téléphone, au début, transmettaient directement les numéros de carte à la machine.*