Aperçu de la sécurité en matière de transfert de cartes
Lorsqu’un utilisateur ajoute une carte de crédit, de débit ou prépayée (ou la carte d’un magasin) à l’app Portefeuille d’Apple, Apple envoie de façon sécurisée les données de celle‑ci, ainsi que d’autres informations concernant le compte et l’appareil de l’utilisateur, à l’émetteur de la carte ou au fournisseur de services autorisé de l’émetteur de la carte (habituellement le réseau de paiement). À l’aide de ces informations, l’émetteur de la carte (ou son fournisseur de services) décide d’approuver ou non l’ajout de la carte à l’app Portefeuille. Dans le cadre du processus de transfert de cartes, Apple Pay utilise trois appels côté serveur pour communiquer avec l’émetteur de la carte ou le réseau de paiement :
Champs requis
Carte de contrôle
Liaison et transfert
L’émetteur de la carte ou le réseau de paiement utilise ces appels pour vérifier, approuver et ajouter des cartes à l’app Portefeuille. Ces sessions client-serveur utilisent le protocole TLS 1.2 pour transférer les données.
Le numéro complet de la carte n’est stocké ni sur l’appareil ni sur les serveurs d’Apple Pay. Au lieu de cela, un numéro de compte de l’appareil est créé, chiffré, puis stocké dans le Secure Element. Ce numéro de compte de l’appareil est unique et chiffré de telle façon qu’Apple ne peut pas y accéder. Le numéro de compte de l’appareil étant unique et différent de la plupart des numéros de carte de paiement, l’émetteur de la carte ou le réseau de paiement peut empêcher son utilisation sur une carte à piste magnétique, par téléphone ou sur des sites Web. Le numéro de compte de l’appareil dans le Secure Element n’est jamais stocké sur les serveurs Apple Pay ni sauvegardé dans iCloud et il est isolé des appareils iOS, iPadOS et watchOS, ainsi que des ordinateurs Mac dotés de Touch ID ainsi que des ordinateurs Mac avec puce Apple utilisant le clavier Magic Keyboard doté de Touch ID.
Les cartes utilisées avec l’Apple Watch sont transférées pour Apple Pay via l’app Watch sur l’iPhone ou l’app pour iPhone des émetteurs de cartes. L’Apple Watch doit se trouver à portée du signal Bluetooth pour l’ajout d’une carte. Les cartes sont enregistrées expressément pour l’utilisation avec l’Apple Watch et ont leurs propres numéros de compte de l’appareil, qui sont stockés dans le Secure Element sur l’Apple Watch.
Les cartes de débit, de crédit ou prépayées (y compris les cartes de magasin) ajoutées s’affichent dans une liste de cartes d’Assistant réglages sur les appareils connectés au même compte iCloud. Ces cartes demeurent sur la liste tant qu’elles sont actives sur au moins un appareil. Elles sont supprimées une fois retirées de tous les appareils depuis sept jours. Cette fonctionnalité requiert que l’identification à deux facteurs soit activée sur le compte iCloud correspondant.