S’il y a une technologie qui a rapidement trouvé sa place dans les usages quotidiens des Français, c’est bien celle du paiement sans contact. Près de 15% des paiements bancaires se font aujourd’hui via ce dispositif - soit environ 1,5 milliard d’euros – et les cartes NFC représentent près de trois quarts des cartes bleues en circulation. Plus marquant encore, 26% des Français ont déjà payé sans contact avec leur téléphone. Il faut dire que le fait de ne pas avoir à taper son code à chaque petit achat représente un gain de temps quotidien important. Or, la démocratisation de la technologie rend ses failles de plus en plus attractives aux pirates et aux voleurs.
DES FAILLES INHÉRENTES
Les fraudes au sans contact se multiplient donc rapidement. L’Observatoire de la sécurité des cartes de paiement estime qu’elles atteignent aujourd’hui plus de la moitié des fraudes par « skimming » au cours desquelles le voleur détourne l’appareil d’un commerçant ou un distributeur de billets. Il n’y a toutefois pas de quoi être pris de panique : cela ne représente que 0,02% des paiements sans contact. Les failles de la technologie sont connues depuis longtemps. Dès 2011, l’ingénieur en sécurité Renaud Lifchitz révélait que le NFC n‘utilisait pas de protocole chiffré. Avec une simple clé USB NFC, ou un smartphone, il était alors possible de capter les ondes… et d’accéder à des données personnelles (nom, historique de transactions). Depuis 2013, les 130 établissements de crédit français ont mis à jour leurs puces. Attention tout de même, la majorité des CB NFC éditées sont distribuées par des enseignes de la grande distribution et ne sont donc pas automatiquement à jour. En 2013 toujours, la BBC rapportait l’histoire d’un homme qui avait payé deux fois un même achat en passant sur le lecteur son porte-monnaie. Celui-ci cachait deux cartes NFC qui ont été débitées en même temps.
Depuis, les hackers se sont perfectionnés et sont capables de récupérer les numéros de cartes en s’approchant un peu près de vous, voire de récupérer le signal pour l’utiliser ultérieurement. Comme ce type de paiement n’a pas besoin d’autorisation de la banque, une simple opposition ne suffit pas.
Ces errements et la multiplication des fraudes ont alerté. Plusieurs expériences ont mis en lumière les failles de sécurité des technologies de communication sans contact. Mise en garde a été faite également, sur l’encadrement du déploiement très prochain par les banques d’un « service permettant à leurs clients particuliers d’envoyer instantanément de l’argent d’un compte bancaire à un autre, via un téléphone mobile en saisissant simplement le numéro de téléphone mobile d’un bénéficiaire.
FOCUS : GARDE-FOUS ET PRÉCAUTIONS D’USAGE
Alors certes, la menace de piratage existe, mais le dispositif est tout de même déjà bien encadré. La loi prévoit, par exemple, un remboursement immédiat et complet des paiements issus d’une fraude avérée. De plus, il existe un plafond indépassable pour les achats sans contact : 30 € avec un maximum de 100€ par jour. Les sommes plus importantes requièrent toujours la saisie du code confidentiel.
Si vous êtes toujours méfiant, sachez que les banques sont dans l’obligation de proposer des cartes sans NFC. Si vous voulez désactiver la vôtre, vous pouvez toujours faire un petit trou dans le logo présent sur la carte. Sachez également qu’un smartphone est plus sécurisé qu’une carte : le signal NFC est en effet coupé dès que l’écran s’éteint, ce qui évite les piratages. Les sytèmes Apple Pay et Google Pay génèrent en outre des numéros de carte jetables, a priori protégés. Sinon, il reste toujours la possibilité, pour quelques euros, de se munir d’un étui spécial faisant office de cage de Faraday. Théoriquement, votre banque est, là aussi, tenue de vous en fournir un. Plus pratique, il existe des cartes anti-NFC, qui se placent devant la CB dans le porte-monnaie. Enfin, il est conseillé de garder sa carte le plus haut possible sur soi, pour éviter les frottements et de garder un oeil sur son relevé de compte.
DES FAILLES INHÉRENTES
Les fraudes au sans contact se multiplient donc rapidement. L’Observatoire de la sécurité des cartes de paiement estime qu’elles atteignent aujourd’hui plus de la moitié des fraudes par « skimming » au cours desquelles le voleur détourne l’appareil d’un commerçant ou un distributeur de billets. Il n’y a toutefois pas de quoi être pris de panique : cela ne représente que 0,02% des paiements sans contact. Les failles de la technologie sont connues depuis longtemps. Dès 2011, l’ingénieur en sécurité Renaud Lifchitz révélait que le NFC n‘utilisait pas de protocole chiffré. Avec une simple clé USB NFC, ou un smartphone, il était alors possible de capter les ondes… et d’accéder à des données personnelles (nom, historique de transactions). Depuis 2013, les 130 établissements de crédit français ont mis à jour leurs puces. Attention tout de même, la majorité des CB NFC éditées sont distribuées par des enseignes de la grande distribution et ne sont donc pas automatiquement à jour. En 2013 toujours, la BBC rapportait l’histoire d’un homme qui avait payé deux fois un même achat en passant sur le lecteur son porte-monnaie. Celui-ci cachait deux cartes NFC qui ont été débitées en même temps.
Depuis, les hackers se sont perfectionnés et sont capables de récupérer les numéros de cartes en s’approchant un peu près de vous, voire de récupérer le signal pour l’utiliser ultérieurement. Comme ce type de paiement n’a pas besoin d’autorisation de la banque, une simple opposition ne suffit pas.
Ces errements et la multiplication des fraudes ont alerté. Plusieurs expériences ont mis en lumière les failles de sécurité des technologies de communication sans contact. Mise en garde a été faite également, sur l’encadrement du déploiement très prochain par les banques d’un « service permettant à leurs clients particuliers d’envoyer instantanément de l’argent d’un compte bancaire à un autre, via un téléphone mobile en saisissant simplement le numéro de téléphone mobile d’un bénéficiaire.
FOCUS : GARDE-FOUS ET PRÉCAUTIONS D’USAGE
Alors certes, la menace de piratage existe, mais le dispositif est tout de même déjà bien encadré. La loi prévoit, par exemple, un remboursement immédiat et complet des paiements issus d’une fraude avérée. De plus, il existe un plafond indépassable pour les achats sans contact : 30 € avec un maximum de 100€ par jour. Les sommes plus importantes requièrent toujours la saisie du code confidentiel.
Si vous êtes toujours méfiant, sachez que les banques sont dans l’obligation de proposer des cartes sans NFC. Si vous voulez désactiver la vôtre, vous pouvez toujours faire un petit trou dans le logo présent sur la carte. Sachez également qu’un smartphone est plus sécurisé qu’une carte : le signal NFC est en effet coupé dès que l’écran s’éteint, ce qui évite les piratages. Les sytèmes Apple Pay et Google Pay génèrent en outre des numéros de carte jetables, a priori protégés. Sinon, il reste toujours la possibilité, pour quelques euros, de se munir d’un étui spécial faisant office de cage de Faraday. Théoriquement, votre banque est, là aussi, tenue de vous en fournir un. Plus pratique, il existe des cartes anti-NFC, qui se placent devant la CB dans le porte-monnaie. Enfin, il est conseillé de garder sa carte le plus haut possible sur soi, pour éviter les frottements et de garder un oeil sur son relevé de compte.
