Une cascade de « failles » oblige les supermarchés à bloquer ou limiter le paiement sans contact sur smartphone

Apple

Par Gaël Weiss le

Depuis quelques jours, les utilisateurs d’Apple Pay se plaignent sur divers forum de ne plus pouvoir utiliser le service de paiement sans contact d’Apple à la caisse de divers supermarchés, et plus spécifiquement des Leclerc. Le site iGeneration a mené l’enquête et révèle que ce blocage provient d’une véritable cascade de petites failles, issues de dérogations bancaires et de simplification dans la gestion des cartes bancaires au sein de l’application.

iGeneration vient de publier une longue enquête, très documentée, dans laquelle le journaliste explique pourquoi il n’est plus possible d’utiliser Apple Pay aux caisses de supermarchés E.Leclerc. La raison de ce blocage est simple : certains utilisateurs d’Apple Pay se sont rendu compte qu’il était possible de payer ses courses sans voir leur compte en banque débité. Mais les causes sont multiples et reposent aussi bien sur la façon dont Apple gère les cartes bancaires au sein d’Apple Pay que sur la façon dont les supermarchés vérifient bien auprès des banques que l’argent est présent sur le compte de l’utilisateur.

Une histoire de code service

Pour tout bien comprendre, on vous conseille de lire l’article de iGeneration. Pour résumer, il y a deux principales explications. La première est liée à la façon dont Apple Pay gère les cartes bancaires d’un utilisateur. Il faut ainsi savoir que chacune des cartes bancaires physiques dispose d’un « code service » composé de trois chiffres, un standard « qui permet de restreindre le fonctionnement des cartes dans certains cas ». Ce code, c’est ce qui permet aux terminaux utilisés par les commerçants de savoir, entre autres, si un découvert est autorisé sur le compte bancaire de l’utilisateur.

Or, iGeneration explique que lorsque l’on rentre plusieurs cartes bancaires dans Apple Pay, « toutes les cartes ajoutées à Apple Pay sont associées au même code service, quel que soit leur code original ». Pourquoi ? On ne le sait pas. Mais iGeneration suppose qu’Apple l’a fait « par facilité ».

Des dérogations bancaires accordées aux supermarchés pour accélérer le passage en caisse

Ce code service, justement, est à l’origine du problème de E.Leclerc. Car la chaîne de supermarché, comme la plupart de ses concurrents, a obtenu une dérogation de la part des banques afin que « ses terminaux de paiement ne vérifient pas aussi bien les cartes qu’ils le devraient ». Concrètement, pour accélérer le passage aux caisses, « les terminaux se contentent de vérifier le code service de la carte bancaire pour déterminer si une autorisation est nécessaire ».

Et c’est là que le bât blesse. Car si l’utilisateur a entré plusieurs cartes, dont l’une possède un découvert autorisé et pas l’autre, ces deux cartes vont partager le même code service. Et des utilisateurs d’Apple Pay ont constaté qu’il était possible de payer ses courses avec une carte bancaire enregistrée sur le téléphone qui n’avait aucun (ou peu de) fond sur le compte bancaire. « Si le compte est vide ou insuffisamment crédité au moment de la transaction, la vérification est censée la bloquer et afficher un refus de paiement sur le terminal. Mais dans les supermarchés E.Leclerc, la vérification n’était pas initiée avec Apple Pay et le terminal autorisait la transaction alors qu’elle était censée être bloquée » explique iGeneration.

Le plus beau là-dedans ? Les banques n’ont même pas réclamé l’argent à leur client. « puisque les vérifications d’usage n’étaient pas complètes dans le cas de E.Leclerc », les banques ont tout simplement rejeté la transaction et les magasins ne touchaient ainsi jamais d’argent. On comprend mieux pourquoi Leclerc a bloqué ces paiements mobiles. iGeneration indique également que Leclerc n’est d’ailleurs pas le seul touché par cette faille. Si Carrefour, par exemple, ne bloque pas les paiements mobiles, d’autres enseignes limitent le plafond de paiement par mobile ou le refusent purement et simplement, comme c’est le cas chez Auchan.

Des solutions sont en cours d’élaboration

Enfin, si Apple Pay est partiellement fautif dans cette histoire, les supermarchés n’ont actuellement d’autres choix que de bloquer ou limiter tous les autres services de paiement mobile (Samsung Pay, PayLib…). Il est en effet impossible pour les terminaux des enseignes de supermarché « de distinguer un service de paiement mobile d’un autre ».

Quoi qu’il en soit, les différents acteurs responsables de cette situation – supermarchés, banques, Apple, mais aussi acteurs du domaine de la carte bancaire – sont aujourd’hui conscients de ces failles et travaillent sur une solution. L’une d’entre elles serait d’obliger les utilisateurs d’Apple Pay à signer le ticket de caisse, afin de pouvoir prouver que le client est bien passé à la caisse et a payé. Ce qui va à contresens de la fluidité voulue par les systèmes de paiement sans contact mobile. On imagine donc qu’Apple pourrait faire quelque chose afin de rendre son application Apple Pay plus stricte dans la gestion des codes services.

Selon iGeneration, E.Leclerc prévoirait de remettre en place les paiements mobiles sans contact dans les prochains mois, quand les premières solutions seront trouvées.