Paiement sans contact: quelles failles et quels garde-fous?

ARGENT À mesure que le paiement sans contact (NFC) se démocratise, les actes de piratages se multiplient. À tel point que des députés, comme l’élu du Rhône Bernard Perrut (LR) récemment, s’inquiètent des failles de sécurités qui fragilisent ce dispositif pourtant si pratique au quotidien. Mais des garde-fous existent

Agence pour 20 Minutes

— 

Le paiement sans contact se démocratise et, avec cette démocratisation, les actes de piratages et les fraudes se multiplient.
Le paiement sans contact se démocratise et, avec cette démocratisation, les actes de piratages et les fraudes se multiplient. — Fotomelia

S’il y a une technologie qui a rapidement trouvé sa place dans les usages quotidiens des Français, c’est bien celle du paiement sans contact ou NFC, pour « near field communication » (communication par champ proche). Près de 15 % des paiements bancaires se font aujourd’hui via ce dispositif et les cartes NFC représentent près de trois quarts des cartes en circulation. Plus marquant encore, 26 % des Français ont déjà payé sans contact avec leur téléphone. Il faut dire que le fait de ne pas avoir à taper son code à chaque petit achat représente un gain de temps quotidien important. Or, la démocratisation de la technologie rend ses failles de plus en plus attractives aux pirates et aux voleurs.

Des failles inhérentes

Les fraudes au sans contact se multiplient donc rapidement. L’Observatoire de la sécurité des cartes de paiement estime qu’elles atteignent aujourd’hui plus de la moitié des fraudes par « skimming », au cours desquelles le voleur détourne l’appareil d’un commerçant ou un distributeur de billets. Il n’y a toutefois pas de quoi être pris de panique : cela ne représente que 0,02 % des paiements sans contact.

Les failles de la technologie sont connues depuis longtemps. Dès 2011, l’ingénieur en sécurité Renaud Lifchitz révélait que le NFC n’utilisait pas de protocole chiffré. Avec une simple clé USB NFC, ou un smartphone, il était alors possible de capter les ondes… et d’accéder à des données personnelles (nom, historique des transactions). Depuis 2013, les 130 établissements de crédit français ont mis à jour leurs puces. Attention, tout de même, car la majorité des CB NFC éditées sont distribuées par des enseignes de la grande distribution et ne sont donc pas automatiquement à jour. En 2013, toujours, la BBC rapportait l’histoire d’un homme qui avait payé deux fois un même achat en passant sur le lecteur son porte-monnaie. Celui-ci contenait deux cartes NFC qui ont été débitées en même temps.

Un déploiement qui inquiète

Depuis, les hackers se sont perfectionnés et sont capables de récupérer les numéros de cartes en s’approchant près de vous, voire de récupérer le signal pour l’utiliser ultérieurement. Comme ce type de paiement n’a pas besoin d’autorisation de la banque, une simple opposition ne suffit pas.

Ces éléments et la multiplication des fraudes ont alerté le député du Rhône Bernard Perrut, qui a récemment posé une question écrite à Cédric O, le nouveau secrétaire d’État en charge du numérique. « Plusieurs expériences ont mis en lumière les failles de sécurité des technologies de communication sans contact », écrit le parlementaire, avant de mettre en garde sur l’encadrement du déploiement très prochain par les banques d’un « service permettant à leurs clients particuliers d’ envoyer instantanément de l’argent d’un compte bancaire à un autre, via un téléphone mobile, en saisissant simplement le numéro de téléphone mobile d’un bénéficiaire. »

Focus : garde-fous et précautions d’usage

Alors certes, la menace de piratage existe, mais le dispositif est tout de même déjà bien encadré. La loi prévoit, par exemple, un remboursement immédiat et complet des paiements issus d’une fraude avérée. De plus, il existe un plafond indépassable pour les achats sans contact : 30 euros, avec un maximum de 100 euros par jour. Les sommes plus importantes requièrent toujours la saisie du code confidentiel.

Si vous êtes toujours méfiant, sachez que les banques sont dans l’obligation de proposer des cartes sans NFC. Si vous voulez désactiver la vôtre, vous pouvez toujours faire un petit trou dans le logo présent sur la carte. Sachez, également, qu’un smartphone est plus sécurisé qu’une carte : le signal NFC est en effet coupé dès que l’écran s’éteint, ce qui évite les piratages dans le métro, par exemple. Les systèmes Apple Pay et Google Pay génèrent en outre des numéros de carte jetables, a priori protégés. Sinon, il reste toujours la possibilité, pour quelques euros, de se munir d’un étui spécial faisant office de cage de Faraday. Théoriquement, votre banque est, là aussi, tenue de vous en fournir un. Plus pratique, il existe des cartes anti-NFC, qui se placent devant la CB dans le porte-monnaie. Enfin, il est conseillé de garder sa carte le plus haut possible sur soi, pour éviter les frottements, et de garder un œil sur son relevé de compte.