CB virtuelle, cryptogramme… Les cartes bancaires s’équipent contre le piratage

ARGENT Le piratage des données de carte bancaire a coûté 439 millions d’euros en 2018. Pour limiter les risques, les banques misent sur des technologies de plus en plus sophistiquées

Julie Polizzi pour 20 Minutes

— 

Les paiements et retraits effectués en carte bancaire sont limités par des plafonds de sécurité.
Les paiements et retraits effectués en carte bancaire sont limités par des plafonds de sécurité. — IStock / City Presse

À première vue, le taux de fraude sur les cartes bancaires françaises n’a l’air de rien. Il a atteint à peine 0,062 % en 2018, selon le dernier rapport annuel de l’Observatoire de la sécurité des moyens de paiement (OSMP). Sauf qu’en termes de montants, il concentre 42 % des arnaques et représente la quasi-totalité du nombre de transactions frauduleuses, pour un coût total de 439 millions d’euros.

Au-delà des consignes de prudence, les banques ont décidé de répliquer grâce à la technologie.

L’efficacité du cryptogramme dynamique

La première option consiste à passer par une CB virtuelle. Il vous suffit de créditer d’un certain montant cette carte à durée limitée, et dont le numéro est différent de celui de votre carte réelle, afin d’effectuer vos achats sur Internet en toute sécurité. De nombreuses banques proposent ce service de « e-carte bleue » comme le Crédit Mutuel, la Caisse d'épargne, la Banque Populaire ou encore la Banque postale, moyennant une cotisation annuelle tournant autour de 12 à 13 euros selon les établissements.

Depuis son lancement en 2016, la carte bancaire à cryptogramme dynamique rencontre elle aussi beaucoup de succès. Cette CB perfectionnée remplace les trois fameux chiffres de sécurité inscrits au verso par un petit écran alimenté par une minipile longue durée incrustée dans le plastique. Grâce à ce système, le code est programmé pour changer à intervalle régulier, en général toutes les heures. Dès lors, si un pirate parvient à le dérober, il ne pourra l’utiliser que dans un laps de temps très court, avant que ce dernier soit obsolète. De quoi limiter considérablement les risques de paiement frauduleux.

Si la Société Générale a été la première à commercialiser ce dispositif (600.000 clients l’utilisent aujourd’hui), de nombreux autres établissements bancaires l’ont depuis adopté, comme BNP Paribas, le CIC, le Crédit du Nord, le Crédit Mutuel, Hello Bank ! ou encore Orange Bank. Le cryptogramme dynamique est le plus souvent proposé en tant qu’option payante facturée une douzaine d’euros par an, en supplément de la cotisation carte annuelle.

L’empreinte digitale pour bientôt ?

L’essor du paiement sans contact – 2,3 milliards de transactions réalisées en 2018, pour un montant total de 24,4 milliards d’euros – a également donné matière à réflexion au secteur financier. Le Groupement des cartes bancaires expérimente depuis quelques années une CB biométrique intégrant un capteur d’empreinte digitale. Fini le code PIN qui doit être composé à l’abri des regards sur le terminal de paiement. Avec ce dispositif, il suffit de s’authentifier en apposant son doigt à l’endroit prévu sur la carte. De même, cette solution permet d’utiliser le paiement sans contact sans limite de montant. Quant au code secret, il n’est pas supprimé pour autant, puisqu’il reste nécessaire pour effectuer des achats sur Internet ou retirer de l’argent au distributeur.

La Société Générale avait annoncé la commercialisation de cette version biométrique pour courant 2019. La banque nous a toutefois indiqué que bien « que la technologie fonctionne et soit prometteuse », ce produit n’était pas encore « industrialisable à grande échelle ». La période pilote a donc été prolongée et le lancement sur le marché reporté à une date indéterminée.

Pallier les failles du NFC

Près des trois quarts des cartes bancaires sont aujourd’hui équipées de la fonction sans contact utilisant la technologie NFC. Ce système permet d’effectuer des achats en magasin d’un montant maximum de 30 euros, sans avoir à taper son code confidentiel.

Bémol : des hackers bien équipés peuvent intercepter ces ondes de courte portée en se plaçant près de vous (dans les transports en commun notamment) pour utiliser votre CB à votre insu. Il existe des étuis ou des cartes à glisser dans le portefeuille, comme la carte Absolut Secure, qui bloquent la technologie NFC. Ceci étant dit, d’après l’Observatoire de la sécurité des moyens de paiement, les 5 millions d’euros de fraudes aux paiements sans contact survenus en 2018 résultent « seulement du vol ou de la perte de la carte ».