Paiements par carte avec Apple Pay
Apple Pay peut être utilisé pour payer des achats effectués en magasin, dans des apps et sur des sites Web.
Paiement par carte en magasin
Lorsque l’iPhone ou l’Apple Watch est activé et qu’il détecte un champ CCP, si Portefeuille d’Apple est définie comme l’app sans contact par défaut, l’appareil présente à l’utilisateur la carte demandée (si la sélection automatique est activée pour cette carte) ou la carte par défaut à partir de Portefeuille d’Apple, qui est gérée dans Réglages. L’utilisateur peut également accéder à Portefeuille d’Apple et choisir une carte ou, si l’appareil est verrouillé :
appuyer deux fois sur le bouton latéral des appareils dotés de Face ID (si Portefeuille d’Apple est l’app par défaut);
appuyer deux fois sur le bouton principal des appareils dotés de Touch ID (si Portefeuille d’Apple est l’app par défaut);
utiliser les fonctionnalités d’accessibilité permetttant de payer avec Apple Pay à partir de l’écran verrouillé.
Ensuite, avant que les données soient transmises, l’utilisateur doit confirmer son intention de payer et s’identifier par l’un des moyens suivants :
Authentification biométrique
Saisie du code ou du mot de passe de l’appareil
Authentification en appuyant deux fois sur le bouton latéral d’une Apple Watch déverrouillée
Aucune donnée de paiement ne peut être envoyée sans authentification de l’utilisateur.
Une fois que l’utilisateur a été identifié, le numéro de compte de l’appareil et un code de sécurité unique sont utilisés pour traiter le paiement. Ni Apple ni l’appareil de l’utilisateur ne partagent les numéros complets des cartes de paiement avec les commerçants. Par contre, Apple peut obtenir des données anonymes, comme l’heure et le lieu de la transaction. Ces informations sont destinées à améliorer Apple Pay et d’autres services d’Apple.
Paiement par carte dans les apps
Apple Pay peut également être utilisé pour effectuer des paiements dans les apps pour iOS, iPadOS, macOS, watchOS et visionOS. Lorsqu’un utilisateur paie dans une app avec Apple Pay, Apple reçoit les données de transaction chiffrées à acheminer au développeur ou au commerçant particulier auprès duquel l’utilisateur effectue le paiement. Avant l’envoi de ces données au développeur ou au commerçant, Apple chiffre de nouveau la transaction à l’aide d’une clé propre au développeur. Cela permet de garantir que seuls les développeurs autorisés munis de la paire de clés peuvent déchiffrer les informations. Apple Pay conserve des données de transaction anonymes, comme le montant approximatif de l’achat. Ces données ne peuvent être associées à un utilisateur précis et n’incluent aucune information sur le contenu des achats.
En plus des magasins, il est également possible d’utiliser Apple Pay à partir des apps iOS, iPadOS, macOS, watchOS et visionOS. Lorsqu’un utilisateur paie dans une app, Apple reçoit les données de transaction chiffrées. Il envoie ensuite ces données au développeur ou commerçant approprié. Avant de procéder à cette étape, Apple chiffre de nouveau les données à l’aide d’une clé propre au développeur. Cela garantit que seuls les développeurs autorisés peuvent y avoir accès. Apple Pay conserve des données de transaction anonymes, comme le montant de l’achat. Par contre, ces données ne sont pas associées aux utilisateurs et ne révèlent pas ce qu’ils achètent.
Lorsqu’une app lance une transaction de paiement Apple Pay, les serveurs Apple Pay reçoivent la transaction chiffrée de l’appareil avant le commerçant. Puis, ils chiffrent à nouveau la transaction au moyen d’une clé propre au commerçant avant de la transmettre à ce dernier.
Lorsqu’une app demande un paiement, elle appelle une API pour déterminer si l’appareil prend en charge Apple Pay et si l’utilisateur possède des cartes de paiement capables d’effectuer des paiements sur les réseaux de paiement acceptés par le commerçant. L’app demande les renseignements dont elle a besoin pour traiter et terminer la transaction (coordonnées et adresses d’expédition et de facturation, par exemple). L’app demande ensuite à iOS, à iPadOS, macOS, watchOS ou visionOS de présenter le formulaire Apple Pay. Ce formulaire demande ensuite des informations pour le compte de l’app ainsi que d’autres renseignements nécessaires, par exemple la carte à utiliser.
L’app reçoit alors les informations relatives à la ville, à la province et au code postal requises pour calculer les frais d’expédition. L’ensemble des informations demandées n’est transmis à l’app que lorsque l’utilisateur a autorisé le paiement par l’un des moyens suivants :
Authentification biométrique
Saisie du code ou du mot de passe de l’appareil
Authentification en appuyant deux fois sur le bouton latéral d’une Apple Watch déverrouillée
Une fois le paiement autorisé, les informations figurant sur le formulaire Apple Pay sont envoyées au commerçant.
Paiement par carte dans les extraits d’app
Un extrait d’app est une petite partie d’app qui permet à l’utilisateur d’effectuer une tâche rapidement (comme louer une bicyclette ou payer le stationnement) sans télécharger l’app complète. Si un extrait d’app prend en charge les paiements, l’utilisateur peut utiliser Connexion avec Apple (si le développeur a configuré cette fonctionnalité), puis effectuer un paiement au moyen d’Apple Pay. Lorsqu’un utilisateur effectue un paiement à partir d’un extrait d’app, toutes les mesures de confidentialité et de sécurité sont les mêmes que lorsqu’un utilisateur effectue un paiement dans une app.
Autorisation de paiement par l’utilisateur et vérification par le commerçant
Les utilisateurs et les commerçants s’assurent de la sécurité des paiements en transmettant des informations aux serveurs Apple Pay, au Secure Element, à l’appareil et à l’API de l’app. L’utilisateur doit en premier lieu autoriser le paiement effectué à partir d’une app. L’app envoie ensuite une demande de valeur antirejeu cryptographique aux serveurs Apple Pay. Les serveurs transmettent cette valeur ainsi que d’autres données de transaction au Secure Element, ce qui crée une accréditation de paiement destinée à être chiffrée à l’aide d’une clé Apple. Le Secure Element renvoie ensuite le justificatif de paiement aux serveurs Apple Pay afin qu’ils puissent le déchiffrer, vérifier sa valeur antirejeu par rapport à celle envoyée initialement par les serveurs Apple Pay, et le chiffrer à nouveau avec la clé de commerçant. Les serveurs renvoient ensuite le paiement à l’appareil, qui le transmet à l’API de l’app, laquelle le transmet au système du commerçant pour traitement. Enfin, le commerçant vérifie le justificatif de paiement pour confirmer la transaction.
Les API requièrent une déclaration d’autorisation spécifiant les identifiants de commerçant pris en charge. Une app peut également inclure des données supplémentaires (comme un numéro de commande ou l’identité du client) à envoyer au Secure Element pour les faire signer afin que la transaction ne puisse pas être détournée vers un autre client. Cette tâche est effectuée par le développeur de l’app, qui peut préciser les données d’application (applicationData) de la demande de paiement. Un hachage de ces données est inclus dans les données de paiement chiffrées. Le commerçant doit ensuite vérifier que le hachage applicationData correspond à ce qui se trouve dans les données de paiement.
Paiement par carte sur les sites Web
Apple Pay peut être utilisé pour effectuer des paiements sur les sites Web à partir :
des appareils qui utilisent l’authentification biométrique;
d’Apple Watch;
des ordinateurs Mac munis d’une puce Apple qui utilisent le Magic Keyboard avec Touch ID.
Les transactions Apple Pay peuvent également être commencées sur un Mac et terminées sur un iPhone ou une Apple Watch sur lesquels Apple Pay est activé avec le même compte iCloud. Si l’utilisateur transmet des données de paiement par ce moyen, la transmission Handoff d’Apple Pay utilise le protocole du service d’identité d’Apple (IDS) chiffré de bout en bout pour transmettre ces données entre le Mac de l’utilisateur et l’appareil d’autorisation. Le client IDS sur Mac utilise les clés d’appareil de l’utilisateur pour effectuer le chiffrement, de sorte qu’aucun autre appareil ne puisse déchiffrer ces informations. Ces clés ne sont pas disponibles à Apple.
Pour chaque transmission Handoff, Apple Pay doit obtenir de l’appareil certains renseignements sur la carte de crédit de l’utilisateur, notamment le type, l’identifiant unique et certaines métadonnées. Le numéro de compte de l’appareil associé à la carte de l’utilisateur n’est pas partagé et demeure stocké de façon sécurisée sur l’iPhone ou l’Apple Watch. Apple transfère également en toute sécurité les coordonnées et adresses d’expédition et de facturation de l’utilisateur récemment utilisées au moyen du trousseau iCloud.
Une fois que l’utilisateur autorise le paiement, un jeton de paiement unique et chiffré pour chaque certificat de site Web de commerçant est transmis de façon sécurisée de l’iPhone ou de l’Apple Watch au Mac de l’utilisateur, puis est transmis au site Web du commerçant.
Remarque : Seuls les appareils à proximité les uns des autres peuvent demander et effectuer un paiement. La proximité est déterminée au moyen de notifications Bluetooth® faible énergie (BLE).
L’utilisation d’Apple Pay en ligne requiert que tous les sites Web participants soient enregistrés auprès d’Apple. La validation du nom de domaine est effectuée une fois que le domaine est enregistré et qu’un certificat de client TLS est émis par Apple. Les sites Web qui prennent en charge Apple Pay doivent :
fournir leur contenu par HTTPS;
obtenir une session de commerçant unique et sécurisée pour chaque transaction de paiement sur un serveur Apple à l’aide du certificat client TLS émis par Apple.
Les données de session de commerçant sont signées par Apple. Une fois une signature de session de commerçant vérifiée, un site Web peut demander si l’utilisateur dispose d’un appareil prenant en charge Apple Pay et si une carte de crédit, de débit ou prépayée est activée sur l’appareil. Aucun autre renseignement n’est partagé. Si l’utilisateur ne veut pas partager ces informations, il peut désactiver les requêtes Apple Pay dans les réglages de confidentialité de Safari de son iPhone, de son iPad ou de son Mac.
Si le site Web utilise la version la plus récente d’Apple Pay JS SDK, alors les transactions Apple Pay peuvent également être lancées à l’aide de n’importe quel navigateur Web tiers sur n’importe quel système d’exploitation, pour être conclues sur un iPhone ou iPad doté d’Apple Pay sous iOS 18, iPadOS 18, ou versions ultérieures. Pour ce faire, un code doit être numérisé à l’aide de la caméra de l’appareil afin d’établir une connexion avec le site Web. Lorsque le site Web présente ce code, une connexion WebSocket sécurisée est établie entre le site Web et les serveurs d’Apple. Après l’analyse de ce code, une connexion WebSocket sécurisée est établie entre l’appareil doté d’Apple Pay et les serveurs d’Apple. C’est ce qui termine la configuration de la connexion bidirectionnelle requise entre le site Web et l’appareil doté d’Apple Pay en utilisant les serveurs d’Apple comme relais. Toute communication effectuée entre ces deux parties respecte ensuite le processus habituel des transactions Apple Pay en ligne.
Une fois qu’une session de commerçant est validée, les mesures de confidentialité et de sécurité sont les mêmes que lorsqu’un utilisateur effectue un paiement dans une app.
Paiements automatiques et jetons de commerçant
Les appareils sous iOS 16, iPadOS 16, macOS 13, ou les versions ultérieures, peuvent utiliser les jetons de commerçants Apple Pay, qui permettent de sécuriser les paiements sur tous les appareils de l’utilisateur. Le formulaire de paiement Apple Pay mis à jour optimise également les expériences de paiement préautorisé. De nouveaux types de transaction dans l’API Apple Pay permettent aux développeurs de personnaliser l’expérience du formulaire de paiement pour des utilisations particulières, comme les abonnements, les factures récurrentes, les paiements échelonnés et les recharges automatiques de soldes de cartes.
Les jetons de commerçant ne sont pas spécifiques à un appareil et permettent donc la continuité des paiements récurrents si l’utilisateur a retiré sa carte de paiement de l’appareil.
Paiements à plusieurs commerçants
Dans iOS 16 ou une version ultérieure, Apple Pay comprend la capacité de spécifier des montants d’achats spécifiques pour plusieurs commerçants sur un seul formulaire de paiement Apple Pay. Cela donne la flexibilité aux clients d’effectuer un achat groupé, par exemple un forfait voyage comprenant le vol, la voiture de location et l’hôtel, puis d’envoyer les paiements aux commerçants individuels.