Imaginez un plombier qui termine une intervention chez un client. Le travail est fait, la facture est prête, mais le client n’a pas de liquide. Pas de terminal bancaire dans le camion non plus. Il y a deux ans, cette situation se soldait par un virement à recevoir « plus tard » (avec les relances que ça implique). Aujourd’hui, ce même artisan sort son téléphone, ouvre une application, et encaisse le paiement en quelques secondes. La carte du client touche le dos du smartphone. C’est réglé.
Cette scène, rendue possible par la technologie SoftPOS, se répète des milliers de fois par jour en Europe. Et elle est en train de modifier en profondeur la manière dont les petits commerces, les indépendants et même les grandes enseignes pensent l’encaissement.
Un terminal qui tient dans la poche
SoftPOS, pour Software Point of Sale, désigne une application logicielle qui exploite la puce NFC d’un smartphone ou d’une tablette pour accepter les paiements sans contact. Concrètement, le commerçant installe l’application sur son appareil, crée un compte, et peut commencer à encaisser des cartes bancaires ou des portefeuilles numériques comme Apple Pay ou Google Pay. Aucun lecteur externe n’est nécessaire.
Le fonctionnement repose sur le protocole NFC (Near Field Communication), le même qui permet à un client de payer en approchant sa carte d’un terminal classique. Sauf qu’ici, c’est le téléphone du vendeur qui joue le rôle du terminal. Visa appelle cette approche « Tap to Phone », Mastercard préfère « Tap on Phone ». Dans le langage courant, on parle simplement de « Tap to Pay ». Quarkslab, société française spécialisée en cybersécurité offensive et défensive, détaille dans son analyse sur SoftPOS les mécanismes techniques qui rendent ce type de transaction possible sur des appareils grand public.
L’intérêt économique est direct. Un terminal de paiement traditionnel coûte entre 200 et 800 euros à l’achat, sans compter l’abonnement mensuel et les frais de maintenance. Avec le SoftPOS, le coût d’entrée chute drastiquement : l’appareil, c’est le smartphone que le commerçant possède déjà.
La question que tout le monde pose en premier
La sécurité. C’est systématiquement le premier point soulevé quand on parle de transformer un téléphone Android ou un iPhone en machine à encaisser. Et la question est légitime. Un smartphone n’est pas conçu à la base pour manipuler des données bancaires sensibles. Il exécute des dizaines d’applications, se connecte à des réseaux variés, peut être rooté ou jailbreaké.
Le PCI Security Standards Council (PCI SSC), l’organisme qui regroupe Visa, Mastercard, American Express, Discover et JCB, a anticipé le problème. Fin 2019, ils ont publié la norme PCI CPoC (Contactless Payments on COTS), un cadre de certification spécifiquement conçu pour les paiements sans contact sur des appareils commerciaux grand public. Depuis, cette norme a été complétée par le standard MPoC (Mobile Payments on COTS), plus large, qui couvre aussi les paiements avec saisie de code PIN sur l’écran du téléphone.
En pratique, les applications SoftPOS doivent implémenter plusieurs couches de protection : chiffrement des données de la carte dès la lecture NFC, vérification de l’intégrité de l’appareil (détection de root/jailbreak), cryptogrammes dynamiques à usage unique pour chaque transaction, et monitoring en temps réel côté serveur. EMVCo, l’autre organisme de référence dans le monde du paiement, a d’ailleurs créé sa propre certification complémentaire pour les briques de sécurité embarquées dans ces solutions.
Qui adopte le SoftPOS, et pourquoi maintenant ?
Les food trucks. Les livreurs. Les coiffeurs à domicile. Les marchands sur les marchés. Ce sont eux qui ont adopté le SoftPOS en premier, parce que l’alternative c’était le cash ou rien. Square a largement contribué à démocratiser le paiement mobile aux États-Unis avec ses lecteurs de carte compacts, mais le SoftPOS va un cran plus loin en éliminant même ce petit boîtier.
Les chiffres parlent d’eux-mêmes. Selon les projections du secteur, le nombre de commerçants utilisant le SoftPOS devrait passer de 6 millions en 2022 à plus de 34 millions en 2027. Apple a donné un coup d’accélérateur significatif en ouvrant sa fonctionnalité Tap to Pay sur iPhone aux développeurs tiers, après l’avoir longtemps réservée à Apple Pay.
Mais le SoftPOS ne se limite pas aux micro-entreprises. Des enseignes de grande distribution l’utilisent comme point d’encaissement mobile complémentaire. Un vendeur en rayon peut finaliser une vente sans que le client ait à passer en caisse. Un contrôleur dans un train scandinave encaisse les billets avec son téléphone professionnel. Le cas d’usage s’élargit.
Les angles morts
Tout n’est pas rose. Certains clients restent méfiants à l’idée de taper leur carte bancaire sur le téléphone personnel d’un vendeur. La perception de sécurité n’est pas la même que face à un terminal Ingenico ou Verifone posé sur un comptoir. Ce frein psychologique est réel, même si techniquement, les protections sont équivalentes (voire supérieures, puisque les normes CPoC/MPoC sont plus récentes que celles des vieux terminaux encore en circulation).
Il y a aussi la question de la connectivité. Le SoftPOS nécessite une connexion internet active, que ce soit en 4G, 5G ou WiFi. Pas de mode hors ligne possible. Pour un commerçant installé dans une zone mal couverte, ça peut poser problème.
Enfin, la fragmentation du marché reste un sujet. Entre les solutions liées à un processeur de paiement spécifique et celles qui sont agnostiques, entre les applications Android-only et celles compatibles iOS, le commerçant doit naviguer dans un écosystème encore en structuration. L’ENISA (l’agence européenne de cybersécurité) a d’ailleurs souligné que les applications SoftPOS étaient exposées à des risques spécifiques : malwares POS, attaques de type man-in-the-middle sur les canaux de communication, et exploitation de failles dans les configurations réseau.
Ce que ça change pour la suite
Le SoftPOS n’est probablement pas la fin de l’histoire. Les feuilles de route de l’industrie NFC mentionnent des « multi-purpose taps » : un seul contact entre la carte et le téléphone qui déclencherait simultanément le paiement, l’ajout de points de fidélité, et l’envoi du reçu numérique. On parle aussi d’étendre la portée du NFC pour qu’un passager puisse payer son taxi depuis la banquette arrière, sans tendre sa carte au chauffeur.
Pour les développeurs de solutions de paiement, l’enjeu est double. D’un côté, simplifier l’expérience commerçant au maximum. De l’autre, maintenir un niveau de sécurité qui satisfasse des normes de plus en plus exigeantes. Les certifications PCI et EMVCo ne sont pas de simples formalités : elles demandent un investissement technique considérable en chiffrement, en protection applicative (obfuscation, RASP, cryptographie en boîte blanche), et en surveillance continue.
Le smartphone comme terminal de paiement, c’est un de ces changements qui paraît anodin vu de loin. Pourtant, il redistribue les cartes entre fabricants de terminaux traditionnels, fintechs, développeurs d’applications, et experts en sécurité. Les commerçants, eux, retiennent surtout une chose : c’est plus simple, c’est moins cher, et ça fonctionne. Le reste, c’est l’affaire des ingénieurs.
Fondateur d’Azertytech et passionné de high-tech et d’informatique, je rédige des articles sur le sujet depuis 2018. Éditeur de sites et consultant SEO, j’utilise ce site pour partager mon savoir et ma passion de l’informatique à travers des guides, tutoriels et analyses détaillées.
