Boosté par l'omniprésence des smartphones connectés en 4G, le paiement mobile ouvre de nouvelles perspectives de croissance pour les entreprises de sécurité, estiment des groupes et des consultants spécialisés du secteur. L'accumulation des authentifications (codes du téléphone et de l'application, voire d'une opération spécifique) rend le paiement mobile (m-commerce) plus sûr que l'e-commerce, lequel représente, selon le cabinet Oliver Wyman, 11% des transactions mais plus de 56% des fraudes. Ces verrous permettront en outre au paiement mobile de s'affranchir de la limite de 20 euros appliquée par sécurité aux transactions des cartes sans contact, indispensable sésame pour sa généralisation, ajoutent les spécialistes du secteur. Selon une récente étude réalisée par le groupe de moyens de paiements Visa, la proportion d'Européens payant régulièrement avec leur mobile a triplé depuis 2015 pour atteindre 54%.
L'authentification, graal de la sécurité mobile Pour les spécialistes de sécurité numérique comme Gemalto, Oberthur Technologies ou Ingenico, les opportunités de marché sont nombreuses et variées. "Le Graal sera de s'imposer réellement et devenir la solution leader de l'authentification au niveau mondial aussi bien sur le mobile que sur le web", souligne Thierry Mennesson, spécialiste du digital chez Oliver Wyman. Le marché mondial de la biométrie pour mobiles (empreinte digitale, reconnaissances vocale et faciale...) pourrait être multiplié par cinq d'ici 2022 à 45-50 milliards de dollars, estime de son côté le cabinet A.T. Kearney. "La bataille est ouverte et ce qui fera la technologie gagnante sera la facilité de l'intégrer dans l'expérience utilisateur", note Jean-Baptiste Malbate, d'A.T Kearney. Aucune technologie n'est encore prête de s'imposer, soulignent les consultants: l'empreinte digitale ne suffit pas, l'authentification vocale peut rebuter des utilisateurs et la reconnaissance faciale, plus prometteuse, est encore en test. Un arsenal de capteurs devrait apporter des techniques complémentaires de sécurisation aux prochaines générations de smartphones, par exemple pour mesurer les tremblements de la main afin de vérifier qu'un code n'a pas été saisi sous la menace, explique Julien Maldonato, du cabinet de Deloitte. "Le principal risque sur lequel on travaille c'est d'être certain que le moyen de paiement prévu aille bien dans le bon téléphone", souligne Philippe Vallée, directeur général de Gemalto. Le recours aux réseaux télécoms, même via le wifi, ne pose aucun problème de sécurité supplémentaire pendant la transaction elle-même, assurent consultants et responsables des groupes. Même si des hackers parviennent à s'introduire dans les réseaux via des objets connectés mal protégés, cela ne signifie pas qu'ils accèdent aux données de paiement, chiffrées et compartimentées au sein du smartphone, soulignent les experts. La sécurité du paiement sur mobile repose en effet sur un système de "jetons" ("tokens") à usage unique plaçant les données de chaque transaction dans un coffre-fort virtuel, les rendant donc inexploitables pour un hacker, expliquent-ils.
Le mal et le remède dans la même révolution "Le scénario d'un voleur attrapant les clés de chiffrement est extrêmement improbable. Plus le commerce est électronique et digital, plus il est sûr", estime Jean-Claude Deturche, chargé des services financiers mobiles chez Gemalto. Mais il est primordial que les données d'une transaction ne se trouvent pas en totalité dans le "cloud", souligne Cédric Collomb, directeur marketing d'Oberthur Technologies, prônant le recours à des systèmes de stockage local en complément. "Etre connecté est un risque, mais cela permet aussi d'avoir plus d'informations via internet pour gérer ce risque" ajoute-t-il. "On a le mal et le remède dans la même révolution". Le principal risque d'une cyber-attaque n'est pas tant de détourner des transactions que de mettre le réseau de paiement mobile hors service, ajoute-t-il. La réglementation européenne va elle aussi inciter les acteurs du paiement à investir dans leurs systèmes, notamment dans le cadre d'une directive (appelée DSP2) visant à encadrer d'ici janvier 2018 le paiement mobile, comme les virements instantanés. Mais la recommandation d'une authentification forte à chaque transaction pourrait étouffer le paiement digital dans l'œuf, ralentissant les transactions et renchérissant leur coût, prévient Martina Weimert, d'Oliver Wyman. L'enjeu aiguise les appétits des banques et des marchands, qui devront s'assurer que le paiement mobile passe bien par leur propre carte, face aux ambitions affichées des Gafaa (Google, Apple, Facebook, Amazon et le chinois Alibaba), estiment les spécialistes. "Cela ne va pas se limiter aux acteurs traditionnels. Le marché va être en pleine croissance pour les acteurs tels que Gemalto et consorts", souligne Michaël Bittan, de Deloitte. Car une autre valeur ajoutée du mobile est de proposer des services en plus du paiement, comme le stockage des historiques de transactions permettant de retrouver facilement la preuve d'un achat ancien, souligne Martina Weimert, d'Oliver Wyman. Le nerf de la guerre pour les distributeurs sera de convaincre leurs clients d'utiliser leur solution de paiement, par exemple une application, pour effectuer leurs achats encore plus rapidement et cumuler des points de fidélité. L'application Wa! que Carrefour expérimente avec BNP Paribas autour de Chambourcy (Yvelines) allie ainsi le paiement avec des coupons et des réductions dans un écosystème marchand comportant aussi d'autre marques. Chez Starbucks, le programme de fidélité My Starbucks Reward, qui a convaincu 126.000 clients en France en deux ans, requiert la saisie d'un nom d'utilisateur et un mot de passe à chaque transaction, le numéro de carte bancaire étant, lui, stocké. Si les expérimentations permettant de payer via sa voiture (sur le principe du télépéage) peinent encore à définir leurs usages, les besoins des automobilistes sont aussi multiples que les perspectives de marché - de la réservation d'une pompe à essence au paiement au 'drive' de McDonald's. A l'aide d'une caméra embarquée, le véhicule peut surveiller le diamètre des pupilles du conducteur, le mouvement de ses paupières et son rythme cardiaque, établissant le diagnostic en temps réel de sa vigilance, explique Guillaume Devauchelle, directeur innovation de Valeo. "Les applications sont quasiment infinies. Quand vous les listez, c'est un monde qui s'ouvre devant vous", souligne-t-il. Des objets portés (comme une montre ou un bracelet) ou équipant le domicile (par exemple un réfrigérateur s'approvisionnant seul) ouvrent eux aussi des perspectives et utilisent les mêmes pratiques de sécurisation que le paiement par mobile.
