iBeacon, NFC, QRcode… Chaque acteur majeur du marché du paiement mobile possède sa technologie de prédilection. Nous avons par exemple Apple, qui contre toute attente, a lancé sa solution de paiement en mobilité avec le NFC ou encore Paypal qui mise tout sur le iBeacon. Enfin, Google avec Android, prône le HCE comme la solution unique pour révolutionner le marché du m-paiement.

La guerre sur le marché du paiement mobile est donc en pleine ascension et les dommages collatéraux se font déjà sentir. Gemalto, leader dans les solution NFC intégrant Secure Element, perdaient par exemple 5% de sa valeur en bourse, suite à la déclaration de Visa Inc. et Mastercard aux USA annonçant leur choix d’utiliser la technologie HCE.

Mais pourquoi oppose-t-on fréquemment HCE et NFC ? Quelles sont vraiment les différences entre ces deux technologies ? Décryptage des avantages et des inconvénients, des usages ainsi que des freins que présentent le modèle HCE.

Qu’est-ce que c’est ?

Le paiement mobile HCE, pour Host Card Emulation, est d’après Nathalie Caye d’e-excellence Inc., l’émulation d’une carte débit/crédit dans un dispositif NFC. Introduit par Google dans Android KitKat, le système HCE permet de sécuriser les transactions dans le cloud.

De son côté, le NFC tel que Apple l’utilise, repose sur la sécurisation de la transaction via un élément physique : le Secure Element (SIM Card, micro SD…).

En réalité, ces deux moyens de paiement sont tous deux des paiements NFC. Leur vrai différence se situe sur le mode de sécurisation des transactions. L’un le réalise dans le Cloud, quant à l’autre, sur un support physique.

A l’heure où 7 millions de mobiles NFC sont en circulation en France et où 20% des terminaux de paiement des marchands acceptent ce type de transaction, on peut d’ailleurs se demander qu’en est-il vraiment du degré de sécurité du HCE.

Quel est le degré de sécurité du système HCE ?

Le HCE propose une approche alternative à celle utilisée par Apple Pay. Dans le cas d’Apple, la sécurisation du paiement se réalise de manière physique sur un Secure Element (Micro-SD, carte SIM ou une puce dédiée) où est stocké temporairement une clé.

Au contraire, dans le système HCE, c’est dans dans le cloud que la clé est stockée.
Ce sont des tokens (jetons), limités dans le temps et envoyés sur le mobile, qui sont utilisés pour la sécurisation. C’est donc à Visa de les déchiffrer afin de valider la transaction. Afin de réaliser cette opération, une condition est nécessaire, avoir une connexion 3G/4G. Le temps de déroulement de l’opération dépendra donc de la bonne connexion à Internet. Sans cela, des jetons seront chargés au préalable sur le mobile pour permettre tout de même le paiement.

Les avantages de l’architecture HCE

Dans un premier temps, les impacts sur le paiement sans contact sont assez positifs car même si la sécurisation de la transaction se fait dans le cloud, nous sommes toujours dans un environnement NFC.

Dans un deuxième temps, la technologie d’émulation HCE est une solution simple et déployable à grande échelle. De plus, elle est totalement indépendante des fabricants de smartphone et de carte SIM ainsi que des opérateurs Telecom, ce qui permet de trouver des modèles économiques plus avantageux étant donné qu’il y a moins de parties prenantes.

Cela permet d’ailleurs d’offrir une solution de paiement mobile sans contact aux commerçants via une carte virtuelle, fonctionnant en close-loop (réseau fermé) et ne nécessitant aucun changement dans le software du TPE (terminal de paiement) en point de vente.

Troisièmement, le HCE a des soutiens de taille dont MasterCard et Visa qui promeuvent cette solution pour réaliser des transaction de paiement NFC sans Secure Element dans le mobile. Ce sont clairement des signes de confiance envoyés au marché. De plus, Visa a dévoilé récemment, qu’il procédera à des expériences avec les clients de plusieurs banques en France dès 2015.

Enfin, l’adoption d’applications de ce genre peut augmenter de manière exponentielle puisqu’il faut rappeler qu’aujourd’hui l’émulation de carte de type HCE est possible sur les OS Android, qui représentent plus de 80% des smartphones vendus dans le monde. En effet, près de 50 modèles d’Android sont équipés de la technologie NFC.

En résumé, en implémentant la technologie HCE dans les Android, Google permet un déploiement en magasin beaucoup plus rapide et sans grande contrainte pour le marchand.

Les inconvénients du HCE

Premièrement, il faut souligner que le système HCE est une technologie peu mature puisqu’elle a été introduite en novembre 2013. Les normes de sécurité de la part des schemes autour de ce système, bien que déjà bien avancées, sont encore en cours de définition.

Deuxièmement, le type d’émulation de carte proposé sur le marché est multiple, il n’y a pas de solution universelle entre OS.

Troisièmement, les paiements NFC d’un montant de moins de 20 euros ne nécessitent pas de code PIN car l’opérateur maîtrise la sécurité à travers la SIM. Hors, dans le cas du HCE, la niveau de sécurité n’est pas encore formellement établi. Un code Pin peut donc être demandé pour les petites sommes, ce qui rend moins attrayant le paiement NFC.

Enfin, le fait que la sécurisation de la transaction se passe dans le cloud amène à un intérêt de la part des hackers de s’infiltrer dans ce genre de système.

Les sociétés qui proposent du paiement mobile de type HCE vont donc devoir prouver que ce paiement sans contact de proximité est sûr, ergonomique, simple et rapide, sans quoi les applications seront boudées par les utilisateurs.

Quels sont les usages possibles avec la technologie HCE ?

La nouvelle architecture de HCE peut donner lieu à divers palettes d’utilisations.

Paiement en magasin

Le premier usage est bien évidemment celui du paiement. Le consommateur a maintenant le choix sur le type de paiement qu’il veut effectuer en vente à distance mais aussi dans les commerces de proximité.

Programme de fidélité

Les programmes de fidélité encore et toujours bien présents dans les stratégies marketing vont pouvoir passer un cran au dessu si, grâce à cette technologie, on arrive à couvrir la gestion des points et la conversion de ceux-ci en pouvoir d’achat supplémentaire.

Intégration dans les applications commerçantes

Du côté des commerçants, les possibilités du système NFC permettent de développer des offres de plus en plus ciblées en envoyant par exemple des bons de réduction utilisables immédiatement depuis son smartphone.

Enfin, le développement des technologies de paiement sans contact contribue pleinement au développement des magasins connectés. On peut par exemple imaginer la multiplication des transactions sur des bornes interactives.