Paiement sans contact Apple Pay avec Orange Cash

Un article super-rapide.

J’ai testé Apple Pay via Orange Cash sur iPhone, Watch et Mac : c’est nickel.

Apple Pay

Apple Pay est la solution de paiement « générique » développée par Apple.

En gros, on ajoute sa CB dedans (si la banque est partenaire) et on peut payer partout où il est possible de payer en sans contact.

On peut payer en magasin, mais aussi sur le web sur iOS et sur macOS (il faut utiliser Safari comme navigateur par défaut), et dans les apps.

Le tout est intégré le plus facilement possible, c’est rapide, c’est (hyper) sécurisé. Et on ne subit pas les plafonds de paiement.

En gros, c’est la version 2 du sans contact. (ou plutôt la version terminée)

Orange Cash

Orange Cash est une solution développée par Orange (et ouais !) qui permet de disposer d’un porte-feuille virtuel sur Android, Windows Phone et iOS. Du moment qu’on utilise le réseau de l’opérateur.

On recharge ce porte-feuille virtuel et on peut ensuite payer partout.

Depuis ce matin, Orange Cash est disponible sur iOS.

J’ai donc – enfin – pu tester Apple Pay.

En magasin

Le paiement sur iPhone :

  • j’approche mon iPhone, qui me propose la CB à débiter
  • le magasin, la date et le montant sont affichés
  • je pose juste mon doigt sur le capteur d’empreinte digitale pour valider (sans déverrouiller, sans lancer une app ou quoi que ce soit)
  • c’est fait.

La même chose avec la Watch :

  • je « clic » 2 fois le bouton latéral : la CB s’affiche
  • je m’approche du terminal de paiement (2-3 cm)
  • c’est payé.

C’est franchement super facile. On n’a pas à chercher. Pas d’app ou autre. C’est facile et rapide.

Sur le web

J’ai testé sur mon iPhone, dans Safari : on appuie sur le bouton d’achat, une « note » apparait, on a juste à valider le paiement avec son empreinte digitale.

Sur le Mac, dans Safari : on appuie sur le bouton d’achat, la « note » s’affiche à l’écran et demande à être validée sur l’iPhone ou la Watch. La même note est affichée sur l’appareil concerné. Ensuite, c’est comme en magasin : empreinte digitale ou double tapotement.

Facile, rapide. Par contre, ça ne fonctionne que dans Safari qui doit être le navigateur par défaut. (sur Mac, j’utilise plutôt Chrome)

Pour conclure

Orange Cash fonctionne bien. Avec Apple Pay, c’est nickel.

A terme, les CB pourraient bien disparaitre car le processus est plus long et pas forcément plus sécurisé :

  • le commerçant saisit le montant
  • on insère la CB
  • on saisie le code (à l’abris des regards indiscrets)
  • on redonne le terminal au commerçant
  • le commerçant attend les 2 tickets qu’il doit découper…

Alors que le sans contact via mobile est plus simple :

  • le commerçant saisit le montant
  • on valide le paiement sur le mobile / la montre (peu importe les regards indiscrets)
  • on s’en va : chacun a reçu son ticket via le web.

À Google de sortir Android Pay en France, aux banques de jouer le jeu et adieu la CB.

iOS 10 : un point sur la compatibilité

En général, une application iPhone ou iPad est compatible avec les versions n – 1 de iOS.

Qu’en est-il avec iOS 10 ? Qu’en est-il du matériel ? Tout vous sera dévoilé dans cet article.

État de l’art

Aujourd’hui, la plupart de applications sont compatibles iOS 8 et iOS 9. Ce qui permet d’être compatible avec plus de 90 % des appareils : 97 % selon les chiffres Apple de juillet 2016, sachant que quasiment 90 % des appareils sont sur iOS 9.

Une particularité cependant : tous les appareils compatibles iOS 8 sont également compatibles iOS 9, ce qui facilite l’adoption. Même si l’expérience passée a montré que le changement de compatibilité matérielle n’est pas vraiment un frein, un appareil iOS pouvant supporter les dernières mises à jour pendant 4 à 5 ans (on change de smartphone tous les 3-4 ans en général, le temps que les demandes de fonctionnalités de la part des utilisateurs les rendent « obsolètes »).

Par exemple, iOS 9 est compatible avec l’iPhone 4S sorti le 14 octobre 2011. Sachant qu’il faut au minimum un iPhone 5 pour jouer à Pokémon Go (des millions d’apps distribuées), cela donne une idée de l’impact sur le parc actuel.

Le taux d’adoption de iOS 9 a été très rapide : plus de 50 % en moins d’un moins, au moins 30 % dès le premier jour de sortie.

Les appareils compatibles avec iOS 9 :

  • tous les iPhone à partir de l’iPhone 4S (fin 2011)
  • tous les iPad à partir de l’iPad 2 (début 2011)

Et iOS 10 ?

iOS 10 vient avec de nombreuses nouvelles fonctionnalités qui dépassent les capacités de l’iPhone 4S et l’iPad 2. Tout en ne profitant pas pleinement de la technologie des appareils les plus récents.

Les appareils compatibles sont donc :

  • tous les iPhone à partir de l’iPhone 5 (iPhone 4S disparait)
  • tous les iPad à partir de l’iPad 4 (iPad 2 et iPad 3 disparaissent)
  • tous les iPad Mini à partir de l’iPad Mini 2 (iPad Mini 1 disparait)

En gros, tous les appareils sortis à partir de fin 2012 sont compatibles. C’est à dire les produits équipés de puce A6 minimum. En gros, 3X plus puissantes que les A5 tout en étant plus économes en énergie.

Et pour l’avenir ?

Il y a fort à parier pour que la prochaine grosse étape soit le 100% 64 bits.

En effet, l’A7 est le premier processeur de smartphone 64 bits et il est apparu avec l’iPhone 5S. Un atout qui permettra de profiter de meilleures performances et un niveau de sécurité plus élevé sans toucher à l’autonomie.

Un autre atout de l’architecture A7 est la compatibilité avec l’API Metal (induite par le 64 bits), qui permet de tirer le meilleur parti des performances graphiques. En gros, on gagne des performances et de la qualité dans les jeux vidéos et autres animations sans avoir un impact sur la consommation d’énergie.

L’A7 est également compatible avec OpenGL ES 3.0, une autre API graphique moins performante que Metal mais plus populaire.

Il y a donc fort à parier pour que iOS 11 soit une version encore plus stable que iOS 10. Et pour que iOS 12 soit une bombe en termes de sécurité, d’autonomie et d’effets visuels.

Mais ça, c’est pour plus tard.

En conclusion

iOS 10 arrive cet automne, probablement en septembre, avec plein de nouveautés dont la très grande majorité des utilisateurs iOS pourront profiter.

Pour les autres, ils pourront profiter des apps pendant environ 1 an.

Ensuite, s’ils veulent rester à jour, il faudra penser à changer de matériel. Si le budget est limité, Apple propose des appareils reconditionnés à moindre coût.

Sachant que la meilleur rapport qualité/prix du moment reste l’iPhone SE : la puissance d’un iPhone 6S, dans un petit iPhone avec un peu moins de fonctionnalités (écran un peu moindre, pas de 3D Touch), à moins de 500 € (offre à 15,95 € / mois disponible sur le site Apple).

Apple en pleine forme !

Un petit point sur l’actualité d’Apple.

1 milliard d’iPhone vendus

Apple vient récemment d’annoncer le milliardième iPhone vendu !

1 milliard. Ce n’est pas rien. Sachant que la moitié de ces iPhone (~ 500 millions) ont été vendus ces 2 dernières années.

Quand l’iPhone est sorti en 2007, Nokia était le leader incontesté et Blackberry était en pleine forme. Apple est arrivée avec un smartphone qui coûtait cher et n’était même pas compatible avec Flash (un plugin installé à l’époque dans les navigateurs).

L’app store le plus rentable

Alors que son concurrent Google continue d’écouler ses appareils pour développer son marché publicitaire, Apple a choisi de faire payer les consommateurs.

Malgré un nombre bien inférieur d’appareils en circulation (~ 500 millions pour iOS, contre au moins 1 milliard pour Android, Apple continue de dominer le marché des apps.

En effet, son App Store est 2 fois plus rentable que Google Play. Avec 2 fois moins de téléchargements. Une opportunité pour Apple et pour les concepteurs d’applications.

Apple Pay en plein essor

Nous avons parlé d’Apple Pay il y a quelques temps.

La plateforme de paiement sans contact d’Apple continue de se développer. Elle est disponible en France depuis juillet. Et elle va accepter de plus en plus de nouveaux partenaires.

Son nombre d’utilisateurs a été multiplié par 4 en un an.

Les 3/4 des paiements sans contact réalisés aux USA se font via Apple Pay.

Apple Pay est disponible dans plus de 11 millions de points de vente dans le monde, et ce chiffre ne cesse de croitre.

Et plein d’autres choses

Le successeur de l’iPhone 6S se fait attendre. iOS 10 va également apporter de nombreuses opportunités. L’iPhone SE et l’iPad Pro voient leur succès se confirmer.

Certes, tout n’est pas rose, mais c’est très encourageant pour les concepteurs d’applications et autres partenaires d’Apple : le premium a encore un bel avenir devant lui !

Vous souhaitez savoir qui connait vos mots de passe ?

Le titre est un peu racoleur, mais il fait suite à une expérience menée récemment par Morin Innovation.

Selon l’appareil et le réseau que vous utilisez, des informations sensibles vous concernant (mot de passe, coordonnées bancaires, coordonnées sécurité sociale, etc) peuvent être interceptées de manière manuelle ou automatique.

La démarche précise ne va pas être évoqué ici : inutile de donner aux hackers en herbe les techniques de piratage qu’ils pourraient eux-même utiliser.

Première faille : ne pas mettre à jour

Vous utilisez Windows XP « parce que c’était mieux avant » ? Sachez que Windows XP ne reçoit plus de mises à jour. Les nouvelles failles trouvées ne sont donc plus corrigées. C’est un terrain de jeu idéal pour récupérer vos informations personnelles.

Il en va de même pour les anciennes versions de OS X, le système du Mac, dont la mise à jour est gratuite.

Et c’est également la même chose sur les smartphones.

Bien choisir son smartphone

Les smartphones de plus de 4 ans représentant environ 5 % des utilisateurs, et tous les 2 ans en moyenne.

Si votre iPhone a plus de 5 ans, il ne reçoit plus les mises à jour du système iOS. Les iPhone 4S et plus récent ont toujours droit à leur mise à jour. Et sont donc protégés au maximum possible.

Si vous vous orientez vers Android, vous avez le choix entre plusieurs milliers d’appareils. Choisissez plutôt du haut de gamme. Le Galaxy S2 peut être mis à jour avec la dernière version d’Android en passant par l’outil CyanogenMod (si vous êtes un peu geek, vous devriez vous en sortir sans soucis). Les modèles de moyenne gamme ont des mises à jour pendant environ 1 à 2 ans. Les modèles d’entrée de gamme sont bien souvent déjà obsolètes à la sortie.

Pour ce qui est de Windows Phone, environ 80 % des appareils reçoivent des mises à jour récentes, dont la dernière version Windows 10. Les versions Windows 8.1 reçoivent malgré tout des mises à jour de sécurité. Ce qui est plutôt intéressant.

L’étude de la sécurité s’est limitée aux mises à jour concernant Windows Phone tant la part de marché reste – encore – mince.

Le navigateur web

Utilisateurs d’Internet Explorer : toutes les versions inférieures à la version 11 sont obsolètes.

Les autres navigateurs sont mis à jour automatiquement et de manière régulière.

« HTTPS » ne signifie pas toujours « sécurité absolue »

Quand vous vous connectez sur un site en HTTPS, la connexion est sécurisée. Les données qui transitent entre votre ordinateur / smartphone et le site ne sont pas visibles.

Une personne (ou un robot) malintentionnée qui « observerait » la connexion ne verrait passer que des chiffres et lettres sans aucune cohérence.

On distingue les connexion HTTPS par un petit cadenas dans l’adresse du site (la barre en haut), souvent en vert, à gauche ou à droite de l’adresse.

HTTPS

Cependant, les certificats sont parfois obsolètes. En conséquence de quoi un pirate peut interférer entre vous et le site web. En gros, il se fera passer pour le site web vis à vis de vous. Et il se fera passer pour vous vis à vis du site web. Ainsi, il pourra récupérer les informations déchiffrées.

Les techniques modernes et les navigateurs modernes permettent justement d’éviter ça.

Dans Chrome, vous pouvez distinguer un site véritablement sécurisé :

Morin_Innovation

Et un site à la sécurité douteuse :

RSI_–_Authentification_et_Developer_Tools_-_http___localhost_8080_rwd_maiffr_dist_www_transverse_services_simulateur_html

Attention : de nombreuses banques et autres organismes « de confiance » utilisent des procédés obsolètes en matière de sécurité.

Comment aller sur Internet en toute sécurité ?

Il y a 2-3 règles simples pour être en sécurité sur Internet.

Disposer d’un appareil à jour

En allumant votre PC / Mac / Smartphone / What else vérifiez vos mises à jour.

C’est un premier niveau de protection.

Utiliser votre propre ordinateur et votre propre réseau

Les ordinateurs des lieux publics sont des cibles faciles pour les pirates. Ils peuvent souvent se mettre en intermédiaire : l’accès aux connecteurs réseaux n’est pas forcément sécurisé, ce qui permet d’intercepter les communications si on maîtrise la chose.

Et les ordinateurs des lieux publics sont rarement à jour.

Connectez-vous soit chez vous, soit chez un proche. Eventuellement sur une box de votre fournisseur d’accès ou un procédé similaire reconnu.

A défaut, utilisez votre connexion 3G/4G.

Les applications mobiles (ça fait mal…)

L’étude de la sécurité qui a été faite a été réalisée sur des applications mobiles iOS et Android.

La responsabilité de la sécurité dépend à la fois du système d’exploitation et du concepteur de l’application.

La faille courante sur mobile

La faille la plus courante sur mobile n’est pas d’essayer de casser la sécurité de la connexion à un service, mais de baisser le niveau de sécurité pour le rendre obsolète et ainsi récupérer les informations.

En gros, en utilisant un appareil Android « rooté » (ou non mis à jour) ou un iPhone « jailbreaké », on peut faire croire au site web que nous n’avons pas la capacité de mettre en place le niveau de sécurité maximum. On demande donc à communiquer au travers d’une connexion sécurisée obsolète.

Et là, le pirate peut se mettre entre les deux.

IOS : sécurisé par défaut

Les applications iOS sont sécurisées par défaut. Elles sont compilées, chiffrées et le système bloque beaucoup d’accès de sorte à protéger vos données.

Si vous êtes encore sur iOS 8 (il en reste quelques uns), passez rapidement à iOS 9. La dernière mise à jour permet de forcer la sécurité des connexions des applications mobiles grâce à une technologie appelée ATS. Cependant, certains développeurs désactive cette fonctionnalité par paresse de la mise à jour.

Pour le reste, on peut réaliser des applications ne contenant aucun identifiant dans le code (pour se connecter au serveur) et donc totalement sécurisées.

On peut éventuellement renforcer la sécurité avec des techniques complémentaires, au cas où iOS aurait une faille non connue permettant de casser les mécanismes de sécurité en place. Mais, si c’était le cas, le FBI n’aurait pas fait de procès à Apple pour accéder aux informations d’un iPhone.

Sauf si vous ne mettez pas à jour votre iPhone, et si le développeur ne se donne pas la peine de respecter les règles de sécurité par défaut ou n’utilise pas les outils à disposition, votre iPhone est globalement très bien sécurisé.

Ce qui est normal : après tout, vous payez le prix fort – entre autre – pour que vos données soient en sécurité.

Android : sic!

Avant d’être accusé de quoi que ce soit, je tiens à préciser que j’ai lancé plusieurs appels sur la toile ces derniers jours et ils sont restés sans réponse. Si vous avez des réponses à me donner, n’hésitez pas, je complèterai l’article.

J’ai testé plusieurs applications Android, dont celles d’organisations qui devraient protéger la sécurité de leurs utilisateurs. Je ne les citerai pas, par bienveillance et parce que l’erreur est humaine. Et, de toutes manières, il est très difficile de faire mieux que pas terrible avec Android. Je vais expliquer précisément pourquoi.

En premier lieu, j’ai pu découvrir le code source de toutes les applications téléchargées. Et donc récupérer les identifiants de connexion au service web permettant de gérer les données.

J’ai même eu accès à un service d’envoi automatique de SMS. Bref, ça craint. Imaginez que je sois un pervers un peu taré et que j’utilise ce service pour envoyer des SMS salaces : qui se ferait accuser ?

En plus, une faille Android anéantit la sécurité mise en place sur les autres appareils.

Certaines techniques permettent de « masquer » le code source, dont l’obfuscation, qui consiste à complexifier artificiellement le code. Sur une dizaine d’apps, une seule était réellement compliquée à lire. Pour les autres, on s’y retrouvait tout de même facilement. Donc, ça craint. Y compris pour le développeur qui n’y peut rien.

On pourrait utiliser, comme avec iOS, des services Google qui permettraient de récupérer les identifiants sensibles via une connexion établie par l’application et exploitable uniquement par l’application. Ça n’existe pas. Et, même si ça arrivait dans la prochaine version, ce ne serait pas compatible avec la majorité des appareils Android avant plusieurs années.

Bref : on est condamné à laisser en clair les informations.

Si toutefois on utilise une bonne technique pour bien cacher les identifiants de connexion au service web, il n’y a malheureusement aucune technique permettant de forcer la protection de la connexion (aucun équivalent à ATS) : en conséquence, on doit utiliser des techniques particulières pour s’assurer qu’il n’y a personne entre notre serveur et notre application.

J’en ai déjà perdu la plupart d’entre vous : c’est normal, ce domaine qu’est la sécurité est très spécifique.

Pour les développeurs, c’est pareil : la plupart ne connaisse pas tellement la sécurité. Vu que le système n’est pas suffisamment sécurisé par défaut, l’application n’est pas sécurisée. Et, encore une fois, inutile de leur jeter la pierre : la sécurité est un domaine très spécifique et doit avant tout être géré par le système en lui-même.

Je ne dis pas qu’Android n’est pas sécurisé : il y a tout pour bien faire. C’est juste que dans plus de 90 % des cas ce n’est pas sécurisé. Et, malheureusement, on ne peut pas y faire grand-chose.

Faut-il responsabiliser l’utilisateur ? Faut-il responsabiliser le développeur d’application ? Faut-il responsabiliser les concepteurs d’Android ?

Ça ne vous a pas coûté cher : vous savez maintenant pourquoi.

Si un jour votre compte est débité ou votre identité falsifiée, vous saurez que vous n’avez pas eu de chance à la roulette russe. Mais vous saurez surtout d’où peut venir le problème.

« C’est malin, j’ai les boules : t’as pas une solution quand même ? »

Hormis mettre votre Android à la poubelle et acheter un Windows Phone ou un iPhone, vous pouvez tout de même protéger un peu plus vos informations personnelles en évitant que vos données soient volées par n’importe qui.

Cette solution est très utile et doit être appliquée quelle que soit votre smartphone ou ordinateur.

Vous savez maintenant qu’un mot de passe de connexion n’est absolument pas une sécurité : n’importe quel pingouin mal luné peut le récupérer en allant voir 3 tutoriels sur le piratage.

Pour autant, il existe une solution : l’identification à plusieurs facteurs.

Le premier facteur est le mot de passe, totalement « has been » aussi compliqué soit-il.

Le second facteur est l’envoi d’un SMS ou l’envoi d’un code dans une application spécifique.

Et là, c’est malin. Car, pour pouvoir accéder à votre compte, le petit malin devra posséder à la fois votre mot de passe (facile) ET votre téléphone sur lequel sera envoyé un SMS ou un code dans une app. Et, si votre smartphone est bien protégé (mot de passe ou mieux : TouchID), le petit malin pourra aller se brosser.

Si vous souhaitez en savoir plus, j’ai rédigé un petit article à ce sujet.

Le plus triste est que – malheureusement – les banques, assurances et autres établissements ayant à leur disposition des informations sensibles vous concernant utilisent rarement ce système d’identification. (par contre, Google, Facebook, Apple, Microsoft et autres le proposent)

Sur ce, dormez tranquilles… On vous surveille ! (rire sardonique)

Je rigole. 🙂 Mais faites attention quand même.

 

Obsolescence programmée (ou non) des smartphones

Le marché des smartphones a atteint sa maturité aux alentours de 2010.

Quelle expérience tirer de ces quelques années de vie de nos smartphones ?

Les produits haut de gamme

Prenons les produits haut de gamme des 2 leaders du marché : Apple et Samsung.

A l’époque sortaient le Galaxy S2 (649 € en 16 Go) et l’iPhone 4S (629 € en 16 Go).

Qu’en est-il de leur obsolescence ?

Galaxy S2

Le Galaxy S2 est sorti avec Android 2.3.3 et a suivi – officiellement – toutes les évolutions jusqu’à la version 4.1.2. Cette dernière étant sortie en 2013.

En bricolant son smartphone (très geek pour un résultat non officiel), on peut espérer aller jusqu’à la version 5.1.1, sortie en août 2015.

Au niveau performances (le smartphone doit rester utilisable), les témoignages concernant son successeur S4 avec la version 4.4 ne sont pas glorieux : mieux vaut tout de même rester avec un système un peu ancien, mais qui fonctionne.

Pour information, la dernière version en date d’Android est la version 6, sortie durant l’hiver 2015.

Le smartphone est donc resté optimisé et utilisable pendant 2 ans (2013, Android 4.1.2), utilisable pendant 4 ans (mi-2015, Android 5.1.1), obsolète en 5 ans (fin 2015, Android 6).

iPhone 4S

L’iPhone 4S est sorti en 2011 avec iOS 5. Il a suivi toutes les mises à jour officielles sans exception jusqu’à la dernière version : iOS 9.2.1 (janvier 2016).

Côté performances, la dernière version en date du système Apple a donné une nouvelle jeunesse à l’iPhone 4S.

En 5 ans, l’iPhone 4S a pu suivre toutes les évolutions du système tout en profitant d’optimisations lui permettant de profiter de performances honorables.

Entrée de gamme

S’il y a bien une gamme où de nombreux smartphones sont vendus, c’est l’entrée de gamme.

Inutile de s’étendre sur le sujet, le constat est affligeant. Si beaucoup de smartphones à 150 € sont obsolètes en moins d’un an (lents, aucune mises à jour), un nombre important sont obsolètes dès la sortie. Ce qui est plutôt scandaleux.

Conclusion

Que l’on soit plutôt iOS ou Android, on remarque que le montant investi dans un smartphone détermine sa durée de vie.

Un smartphone à 650 € aura une durée de vie de 5 ans. Un smartphone à 150 € aura une durée de vie de 1 an (5 x 150 € = 750 €, CQFD).

Au-delà de l’aspect financier, un appareil qui doit être jeté plus rapidement est de fait moins écologique. Même s’il est « potentiellement réparable », il n’est pas « upgradable ».

Evidemment, rien n’est parfait dans ce bas monde. On souhaiterait tous que nos smartphones puissent être recyclés à 100 %, qu’ils ne consomment aucune énergie non renouvelable, etc. Ça viendra un jour, après des années d’expérimentation. Soyons optimistes.

À défaut d’être de parfaits consommateurs, nous pouvons au moins être des consommateurs responsables, de sorte à responsabiliser les entreprises dont nous sommes clients.

Et Green Peace produit régulièrement des rapports à ce sujet, qui évoluent chaque année selon les efforts des géants du secteur. Notamment concernant l’aspect traitement des données, qui est une réalité du secteur.

A nous de prendre en considération au mieux les choix écologiques, bien évidemment selon notre capacité financière, car la consommation responsable coûte généralement un peu plus cher.