Les nouveaux moyens 
de paiement sont-ils fiables ?

La billettique se modernise lentement, mais sûrement. Prendre les transports avec sa carte bancaire ou son smartphone comme billet est désormais possible mais les développements dans les réseaux restent pour le moment plus que limités. La mise en œuvre de ces systèmes est extrêmement complexe et les questions de sécurité des transactions sont un enjeu central. 

Payer son transport avec sa carte bancaire ou son téléphone mobile, deux objets qui sont généralement dans les poches de tous les voyageurs, il y a longtemps qu’on nous le promet. Mais du rêve à la réalité, il n’y a pas qu’un pas. « Il faut bien reconnaître que même lorsque ces solutions sont proposées, souvent à titre expérimental d’ailleurs, elles ne sont utilisées que par quelques geeks… », note Serge Huguet, ingénieur et chef de projets chez Setec ITS. Elles cohabiteront donc longtemps avec les solutions de paiement traditionnelles. C’est vrai, qu’il s’agisse du sans contact NFC (pour Near field communication) ou du QR code.

Une solution intermédiaire existe à Strasbourg avec le tag NFC de U’Go, cette étiquette qui sera lue par le smartphone. « Strasbourg, c’est un peu une première étape de ce qu’on imagine faire avec le NFC demain », poursuit-il. Le tag permet en effet une communication sécurisée. Mais contrairement au full NFC, « ne fournit pas la capacité de traitement applicatif qui se fait en temps réel sur serveur central ». L’information sur le serveur, c’est en fait grâce à la connexion Internet du smartphone qu’on l’aura. D’où un temps de réponse moins rapide : de l’ordre d’une à trois secondes contre une demi-seconde avec un valideur NFC. « Si tous les voyageurs optaient pour le tag NFC, il pourrait rapidement se créer une grosse file d’attente ! », relève l’ingénieur de Setec ITS. De plus il faut prévoir un mode dégradé permettant au client d’accéder au transport en l’absence de connexion 3G. Et, pour éviter la triche, de limiter le nombre de validations mensuelles en mode dégradé : au xième passage, l’appli exigera une connexion pour vérification.

Ce qui est attendu, ce sont des équipements NFC qui dialogueront en instantané avec le smartphone. A ce jour, 8,6 millions de mobiles NFC seraient en circulation en France, la technologie étant présente sur 90 modèles, selon l’Association française du sans-contact mobile. Dans ce cas-là, le téléphone se comporte exactement comme une carte Calypso de télébillettique. Et donc avec un niveau de

sécurité identique, étant donné le parti pris français de tout stocker dans la carte SIM du téléphone. Un choix qui « est une affaire de positionnement stratégique, commercial, ainsi que de sécurité », assure Serge Huguet. Ce modèle est concurrent du HCE (pour Host card emulation) choisi par exemple par Visa et Mastercard aux Etats-Unis pour sécuriser les transactions NFC des porteurs de carte via leur smartphone NFC.

La carte SIM est en effet une carte à microprocesseur, tout comme nos cartes bancaires. Au pays de son invention – par Roland Moreno en 1974 – la puce est considérée comme le moyen de sécurisation numéro un.

« Pourtant, les Etats-Unis ne s’y sont mis que récemment pour leurs CB. Le monde du paiement sait aussi
s’en passer », commente-t-il. Ainsi les systèmes de paiement sans contact Apple Pay ou Google Pay sont-ils contrôlés par l’OS du smartphone et non par la SIM. Ils sont pourtant considérés comme procurant un niveau de sécurité suffisant. Alors pourquoi ce modèle ne serait-il pas assez sécurisé pour les transports ? La présence de seulement trois opérateurs lourds de téléphonie mobile qui s’accordent sur la question ainsi que le fait que le leader mondial de la sécurité numérique, Gemalto, soit un géant français n’y sont peut-être pas étrangers…
A noter tout de même, un avantage au choix de positionner l’appli transport dans la SIM systématiquement mis en avant : cela fonctionne même téléphone éteint ou déchargé. « Il faudrait mesurer combien de personnes voyagent smartphone déchargé, leur nombre est de plus en plus faible », suggère de son côté le chef de projet du cabinet d’ingénierie. Par ailleurs, il serait tout à fait possible d’agir avec un téléphone déchargé comme avec un client qui voyage avec une carte de transport cassée : verbalisation + SAV + remboursement éventuel. « Le modèle existe, il est ac

cepté, rien n’empêche de le décliner aux autres supports », souligne-t-il. Car cet atout s’accompagne d’un revers : le ticket de transport étant indissociable de la carte SIM, il faut à chaque fois conclure un accord avec chaque opérateur de téléphonie. L’utilisateur doit ensuite télécharger une application spécifique au réseau avant toute transaction. Difficile donc de satisfaire la demande immédiate d’un touriste à Roissy par exemple. D’où le développement parallèle de paiement sans contact avec la carte bancaire (CB).

Le GIE Cartes Bancaires (près de 63 millions de cartes en circulation fin 2014) veut promouvoir le NFC. Il annonce « déjà 39,6 millions de cartes sans contact, CB ou cartes de distributeurs ». En 2015, Axelle Lemaire, secrétaire d’Etat au Numérique avait décidé de donner un coup de pouce à la technologie française, les banques estimant pouvoir équiper toutes les CB du NFC à fin 2016. Le marché est important : au total, ce sont les trois milliards de transactions inférieures à 20 euros effectuées chaque année qui sont visées par le sans-contact. Avec 1,6 % des transactions, le paiement sans contact dans les commerces est encore peu répandu.
Dans les réseaux de transports, il est quasi inexistant. Seul exemple européen : Londres qui propose depuis septembre 2014 aux voyageurs occasionnels d’utiliser leur CB comme carte Oyster. Les Visa, Mastercard, Maestro ou American Express sont acceptées et d’après Gemalto, des visiteurs de 57 pays ont utilisé le service en 2015.

Depuis le 21 septembre dernier, Grenoble expérimente un système léger de paiement à bord du bus par CB NFC (voir p. 36). Mais il ne s’agit pas de recevoir la facture chez soi en fin de mois comme dans la capitale anglaise. Fourni par une entreprise grenobloise, le système permet de générer un titre papier qui tient lieu de facturette et de ticket valable une heure. Un premier pas néanmoins. « L’innovation c’est aussi d’avoir conçu un terminal embarqué à l’apparence d’un valideur », estime l’ingénieur de Setec ITS. Sauf que, sur le terrain, la bonne idée devient handicap, les abonnés distraits croyant valider leur carte Tag ou Ourà! devant l’appareil destiné uniquement aux CB!

L’avenir réside-t-il davantage dans la fusion des applications bancaire et transport (Calypso) dans une seule carte ? Une initiative en ce sens avait été lancée à Reims fin 2011, avec l’expérimentation Citévia, une carte Visa NFC « co-brandée » Caisse d’Epargne et Citura. Ornée de la photo d’un tram, la carte proposant une réserve d’argent pour les paiements NFC chez les commerçants abritait l’abonnement ou bien le ticket unitaire Citura. C’est resté une

niche, au point que le réseau n’en fait plus la promotion. Ce serait pourtant un vrai service, a priori parfaitement sécurisé, comme le rappelle Serge Huguet : « Les communications entre la carte sans contact et le terminal de paiement sont aujourd’hui cryptées ». 

De plus, combien d’années à attendre avant que nos valideurs admettent une CB étrangère ? « Que ce soit Visa ou Mastercard, on se retrouve avec des clés internationales qui ont des niveaux d’exigence variables selon les pays, rappelle-t-il. Ainsi une Visa émise au Chili n’a pas forcément les mêmes exigences de sécurité qu’une Visa émise au Royaume-Uni… » Au moins, les réseaux de transport ont-ils des clés communes se dit-on ? Même pas. Les clés sont restreintes au périmètre géographique d’acceptation de la carte. C’est pourquoi, bien que fondée sur la même technologie, un passe Navigo ne fonctionnera pas sur un valideur à Marseille…

Depuis quelques années, les autorités organisatrices poussent les opérateurs à proposer des solutions de services innovantes, comme la possibilité d’acheter ses titres à distance. Parallèlement, l’opérateur souhaitant améliorer ses performances, vitesse commerciale notamment, voudra limiter ou supprimer la vente à bord avec paiement en espèces. Et puis, il y a l’exigence de la simplification du parcours client, en particulier pour le touriste ou l’occasionnel. Le vent pousse donc dans le sens du NFC. Mais le chemin semble encore long avant de pouvoir traverser la France en train, sauter dans tram et bus sans autre moyen de paiement que CB ou mobile… Mais on a le droit d’en rêver.

Cécile NANGERONI