Le fabricant chinois de terminaux de paiement PAX Global est dans le viseur des autorités américaines, qui le suspectent de transférer des données de clients confidentielles vers la Chine. Derrière cette affaire, se cache la question des différentes technologies utilisées par les acteurs de ce marché : sont-elles toutes sécurisées ?
Terminaux de paiement PAX : des données clients qui seraient transférées vers la Chine
À la fin de l’année 2020, PAX Global a signé un partenariat avec Crédit Agricole, via la filiale spécialisée AVEM, qui vise notamment à équiper les commerçants en terminaux de paiement. Mais PAX Global est désormais soupçonné par les autorités américaines de récupérer illégalement des données de clients par le biais de ses terminaux, pour les transférer en Chine.
Cette affaire n’est pas sans rappeler celle de la chaîne de distribution Target en 2013. Target avait été contrainte de révéler le piratage de plusieurs dizaines de millions de cartes bancaires, utilisées dans ses magasins. Cette violation massive des codes PIN des clients avait entraîné une chute considérable du chiffre d’affaires de la chaîne.
Crédit Agricole, dont la réputation pourrait être entachée par l’enquête ciblant PAX Global, a immédiatement tenu à relativiser, précisant que les terminaux de paiement proposés à ses clients commerçants ne fonctionnaient pas avec la même technologie que celle utilisée par PAX.
Contrairement aux terminaux de paiement « classiques » proposés par Crédit Agricole, qui fonctionnent sans puce, avec Linux, et qui ne stockent pas les données de géolocalisation, les terminaux de PAX Global sont des SoftPos, utilisant le système d’exploitation Android.
La question de la sécurité des données au cœur d’un marché concurrentiel
Ces terminaux nouvelle génération fonctionnent donc avec la même technologie qu’un smartphone, ce qui leur permet de proposer différents services de paiement, à l’image des applications installées sur un mobile Android.
Crédit Agricole n’est pas le seul acteur à s’intéresser à cette technologie, qui permet de se démarquer des concurrents dans un secteur en plein essor. Ainsi, d’autres banques, comme Société Générale, BNP Paribas et la Banque Postale, sont actionnaires de la filiale AVEM, tandis que plusieurs fintechs recourent elles aussi aux terminaux de paiement Android proposés par PAX Global.
Pourtant, selon certains spécialistes, ces terminaux de paiement nouvelle génération pourraient faire l’objet des mêmes cyberattaques que les smartphones. Actuellement, le niveau de sécurité des terminaux de PAX, qui se sont vus délivrer les mêmes certifications que les terminaux de paiement classiques, n’est toutefois pas remis en question.
Reste que dans un marché très concurrentiel, la moindre faille de sécurité, qu’elle soit avérée ou seulement soupçonnée, peut avoir de sérieuses conséquences sur la crédibilité d’un acteur économique. Aux États-Unis, le spécialiste des paiements WorldPay a préféré anticiper, et a d’ores et déjà annoncé que les terminaux PAX ne seraient plus distribués. Ils seront remplacés par les terminaux de paiement classiques de deux concurrents de PAX, Ingenico et Verifone.