Le succès des portefeuilles mobiles influe sur le besoin de sécurité

L'essor des portefeuilles mobile, accentué par la pandémie, attise de plus en plus l'intérêt des cybercriminels. Mais comment les sécuriser efficacement ?

Le recours aux paiements mobiles est en plein essor ! Selon les données du secteur, plus de deux milliards de personnes dans le monde ont recours aux portefeuilles mobiles et chaque année plusieurs millions de nouveaux utilisateurs se convertissent à ce mode de transactions. En 2021, 25,7% des paiements en points de vente (POS) et 44,5% sur des sites de e-commerce ont été effectuées à l'aide de portefeuilles mobiles, remplaçant de plus en plus les paiements en espèces et sans contact.

La pandémie et les mesures de distanciation physique ont accentué l'essor des applications de paiement mobile un peu partout dans le monde. Ce développement a attisé l’intérêt des cybercriminels et donc nécessité le recours à une sécurité applicative robuste, à la pointe de la technologie.

Qu’est-ce qu’un portefeuille électronique mobile ?

Les portefeuilles mobiles permettent aux consommateurs d'utiliser leur smartphone, leur montre connectée et autres accessoires intelligents pour effectuer des paiements dématérialisés ou sans contact via des codes NFC1, MST2 et QR. Souvent, les portefeuilles mobiles offrent également des fonctionnalités connexes telles que les cartes-adhérents et de fidélité, les cartes-cadeaux, les paiements P2P (peer to peer) et les paiements in-app.

Depuis le lancement d'Apple Pay et de Google Pay entre 2014 et 2015, de nombreuses banques et fintech ont lancé des portefeuilles mobiles. Alors qu'Apple n'a pas permis aux développeurs tiers d'utiliser la technologie NFC sur ses iPhones, Google l'a autorisé. Cela a conduit à un large développement de solutions de portefeuille mobile pour Android par des dizaines de fournisseurs de technologie et de banques.

Les différents types de portefeuilles mobiles

En pratique, il existe deux types de portefeuilles mobiles :

  1. Les portefeuilles OEM (Original Equipment Manufacturer) : Ces portefeuilles mobiles sont élaborés par le fournisseur du smartphone et sécurisés par une solution de sécurité matérielle propriétaire (Trusted Execution Environment, Secure Element...) sur l'appareil lui-même.
  2. Les Portefeuilles tiers : Les applications tierces, comme PayPal, n'ont pas accès à la sécurité matérielle propriétaire de l'appareil. Les développeurs de portefeuilles mobiles tiers intègrent à la fois des fournisseurs de technologie, qui proposent généralement des kits de développement (Software Development Kit ou SDK) mobile de paiement (par exemple HCE3) ou des SDK de paiement mobile directement dans l'application.

Les portefeuilles mobiles sont-ils sécurisés ?

Afin de réduire le risque de fraude, les portefeuilles mobiles HCE (Host Card Emulation) utilisent la tokenisation. Ce système utilisé pour sécuriser les cartes de crédit consiste à transformer les données sensibles en tokens cryptés.  Elles sont remplacées par une série de chiffres générés de manière aléatoire dont l’utilisation peut être limitée (selon le nombre de fois où elle est utilisée ou le montant du paiement). Si le HCE et la tokenisation sont conçus pour réduire le risque de fraude, les données de paiement traitées par les portefeuilles mobiles peuvent toujours être exploitées par des malwares et des organisations criminelles. Bien que les token ne puissent pas être reconstitués à partir d’un numéro de carte de crédit, les cybercriminels peuvent, en effet, les voler et effectuer des paiements frauduleux aux dépens des véritables propriétaires légitimes portefeuilles mobiles.

L'avenir de la sécurité des paiements mobiles

Comme les espèces, les chèques et les cartes de crédit, les portefeuilles mobiles sont sujets à la fraude et aux abus. Leur adoption qui devrait augmenter à un rythme élevé entre 2022 et 2029(1) en font une cible de plus en plus attrayante pour les cybercriminels. L'augmentation des vulnérabilités mobiles zero-day (en hausse de 466% en 2021) et des malwares mobiles (plus de 2 millions de nouvelles souches en 2021) reflète cette situation.

Afin de sécuriser les portefeuilles mobiles, les fabricants d’équipements d’origine peuvent compter sur la sécurité matérielle, comme mentionné ci-dessus. Mais pour les développeurs de portefeuilles mobiles tiers, cette option n’est pas viable en raison de l’hétérogénéité des technologies des OEM. En outre, les technologies des plateformes OEM, comme les environnements d'exécution de confiance (TEE) intégrés dans les smartphones, font l'objet d'attaques avec un flux continu de vulnérabilités et d'exploits de type "zero-day".

Les smartphones restent des appareils non fiables et les développeurs de solutions de portefeuille mobile doivent donc protéger l'application, maintenir leur position de sécurité et anticiper les capacités et techniques des cybercriminels, en constante évolution.

Comment sécuriser les portefeuilles mobiles ?

Avant d'être publiquement lancées, les solutions de paiement mobile doivent être certifiées par les marques de cartes ou EMVCo, l’organisme du standard EMV collectivement détenu par American Express, JCB, MasterCard et Visa. Alors que la sécurité est un jeu permanent du chat et de la souris, il est vivement conseillé aux développeurs de solutions de paiement mobile d’être accompagnés par des spécialistes de la cybersécurité mobile. Ils pourront ainsi créer des applications mobiles sécurisées et conformes - notamment en protégeant leurs clés cryptographiques, leurs tokens, leurs codes source et leurs données - et obtenir rapidement leur certification de sécurité.

(1) Source : Global Mobile Wallet Market Report 2022 | Top Companies Study and Regional Forecasts 2029