Faut-il se méfier du paiement sans contact ?

© iStock

Après Visa, c’est la banque KBC qui a annoncé en ce début d’année le lancement du paiement sans contact en Belgique. Payer sans avoir à tapoter son code pin, la méthode peut sembler alléchante. Mais ce système est-il réellement sécurisé ?

Le paiement sans contact, né en 2012, vous permet de régler vos achats simplement en passant votre carte bancaire, munie du petit logo , devant le terminal. Le système fonctionne grâce à une petite puce et une minuscule antenne: on appelle cela la technologie NFC (Near Field Communication). Cette technologie semble a priori parfaite pour régler les petits achats, le montant étant plafonné à 20€. Pourtant, en y regardant de plus près, on s’aperçoit que le paiement sans contact pourrait coûter bien plus cher…

Une première mise en garde

Dès 2012, Renaud Lifchitz, consultant sécurité chez British Telecom, a été le premier à tirer la sonnette d’alarme. Il avait découvert une faille dans les cartes bancaires équipées du système de paiement sans contact. À l’aide d’une simple clé USB munie d’un lecteur NFC, accessible à la vente pour tout un chacun pour une quarantaine d’euros, ou même d’un banal smartphone, il était possible de se procurer l’intégralité des données de la carte bancaire. Seul le cryptogramme n’apparaissait pas.

Le nom, le numéro de carte, sa date de création et même la liste des dernières opérations effectuées, des informations a priori confidentielles, pouvaient en revanche être récupérés. Il suffisait d’avoir le matériel nécessaire, ainsi que des connaissances basiques en codage. Selon Renaud Lifchitz, une telle opération était possible à une distance d’environ 1,5 mètre de la carte lorsque cette dernière était “passive”, et jusqu’à 15 mètres lorsqu’elle était “active”, c’est-à-dire en pleine transaction.

Le risque qu’une carte identique soit ensuite créée demeurait cependant assez faible, selon le consultant. Utiliser ces données pour effectuer des paiements en ligne s’avérait à l’inverse tout à fait envisageable. En effet, si en Europe, le cryptogramme à trois chiffres est très souvent demandé lors d’une transaction en ligne, ce n’est pas le cas dans certains pays, comme sur les sites d’e-commerce américains.

Une fraude à un million de dollars

Récemment, une étude a pointé une autre faille cachée. Des chercheurs de l’université de Newcastle, au Royaume-Uni, ont réussi à contourner la limite des 20€… pour atteindre tout de même près d’un million de dollars. Il suffirait tout simplement de payer dans une devise étrangère. Si la banque est censée flairer une telle fraude et empêcher la transaction, l’étude démontre en revanche que de plus petits montants, de quelques dizaines ou centaines d’euros, peuvent être débités.

Un bilan en demi-teinte

Depuis 2012, des progrès ont tout de même été réalisés sur le plan de la sécurité. Certaines données sont désormais cryptées, comme le nom du titulaire de la carte bancaire, ou encore, depuis fin 2013, l’historique des transactions. Mais le numéro de carte et la date d’expiration, eux, sont toujours accessibles par les pirates.

Autre problème: que faire en cas de vol de la carte bancaire ? En effet, sans code pin, difficile de prouver qu’on n’était pas à l’origine des transactions frauduleuses. Pour limiter ce risque, les banques ont limité le montant cumulé à 100€: un fraudeur ne devrait donc pas être en mesure de vider un compte en banque de sitôt en utilisant une carte dans les magasins.

Globalement, les cas de fraudes avec ce type de paiement restent limités, suffisamment en tout cas pour ne pas paniquer. Le CNRS notamment a mené sa petite enquête de l’autre côté de l’Atlantique et a montré qu'”aux USA, ce procédé est utilisé depuis des années et la fraude n’est pas plus importante qu’avec les systèmes classiques“.

Si vous êtes un éternel sceptique, sachez qu’il existe des solutions simples pour se prémunir d’un éventuel piratage. L’étui de protection, un petit concentré d’aluminium, évitera par exemple que vos données ne s’échappent de la puce. Plus étonnant, pour un peu plus d’une centaine d’euros, vous pourrez même vous offrir un jean dont les poches sécurisées accueilleront votre carte bancaire sans risque. Reste à se méfier des pickpockets..

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Partner Content