La fraude à la carte bancaire n'est pas pour demain

BANQUES La technologie mise au point par le professeur britannique est difficilement utilisable...

M.N.
— 
D'ici à fin janvier, toutes les banques françaises auront fait parvenir à leurs clients par courrier un récapitulatif des frais liés à la gestion de leur compte courant, répondant à une attente des associations de consommateurs qui réclamaient plus de transparence.
D'ici à fin janvier, toutes les banques françaises auront fait parvenir à leurs clients par courrier un récapitulatif des frais liés à la gestion de leur compte courant, répondant à une attente des associations de consommateurs qui réclamaient plus de transparence. — Joël Saget AFP/Archives
Bien vu mais déjà prévu. Les spécialistes des cartes bancaires reconnaissent jeudi que la fraude décrite par le professeur britannique Ross Anderson est techniquement correcte. Mais ils modèrent les ardeurs du chercheur sur la faisabilité d’une telle fraude.
«Cette technologie n'est pas à prendre à la légère mais elle est quand même très limitée. Il n'y a surtout aucun risque de préjudice si le client est de bonne foi: le "leurre" ne s'applique qu'aux cartes volées» et non clonées, a expliqué Jean-Marc Bornet à E24, administrateur du Groupement des cartes bancaires.

Et dans le cas d'une perte ou d'un vol d'une carte à puce, la Banque de France rappelle qu'il suffit de faire opposition pour se protéger.
L’utilisation de cette technologie est également restreinte à un seul type de transaction. Les retraits aux distributeurs et les paiements à distance, notamment sur internet, ne sont pas concernés, seuls les paiements en magasin sont à risque.
En effet, comme l’a expliqué David Naccache, expert en cryptographie et professeur à l’ENS, le protocole de communication EMV -entre la carte à puce et le système de paiement- peut être faussé par une «fourche». Soit un appareil qui s’intercale physiquement entre la carte et le terminal de paiement, qui est donc impossible à utiliser avec un distributeur de billet qui «avale» la carte par exemple.
Autorisation demandée à la banque en cas de gros paiement
Obstacle de taille, l’appareil employé est également assez imposant et voyant, de la taille d’un téléphone portable dans le meilleur des cas. Il reste donc difficilement utilisable sur un terminal, alors que ce type d'opérations nécessite un minimum de discrétion.
En outre, «dans 40% des transactions par cartes, surtout quand le montant est important, une autorisation est demandée à la banque. Dans ce cas, le "leurre" ne peut pas fonctionner: la banque ne va pas valider la transaction puisque le code n'a pas été tapé», analyse Jean-Marc Bornet.
Autre protection, une parade a été prévue par les fabricants de terminaux et de cartes, même si elle n’est pas toujours activée pour des problèmes de compatibilité. Une norme permet de chiffrer les échanges entre la carte à puce et le terminal, en utilisant le code confidentiel associé à la carte tout au long des échanges. Ainsi, le leurre, activé une seule fois au moment de la frappe du code, ne sert plus à rien.
Les risques de fraude massive à la carte bancaire ne sont donc pas pour demain, concordent donc les spécialistes. La France reste ainsi l'un des pays les plus sûrs du monde dans ce domaine: selon l'Observatoire de la sécurité des cartes de paiement, le taux de fraude sur les transactions et retraits effectués par cartes était de 0,069 % en 2008.
fraude  décrite par le professeur britannique Ross Anderson
Bien vu mais déjà prévu. Les spécialistes des cartes bancaires reconnaissent jeudi que la fraude décrite par le professeur britannique Ross Anderson est techniquement correcte. Mais ils modèrent les ardeurs du chercheur sur la faisabilité d’une telle fraude.
«Cette technologie n'est pas à prendre à la légère mais elle est quand même très limitée. Il n'y a surtout aucun risque de préjudice si le client est de bonne foi: le "leurre" ne s'applique qu'aux cartes volées» et non clonées, a expliqué Jean-Marc Bornet à E24, administrateur du Groupement des cartes bancaires.

Et dans le cas d'une perte ou d'un vol d'une carte à puce, la Banque de France rappelle qu'il suffit de faire opposition pour se protéger.
L’utilisation de cette technologie est également restreinte à un seul type de transaction. Les retraits aux distributeurs et les paiements à distance, notamment sur internet, ne sont pas concernés, seuls les paiements en magasin sont à risque.
En effet, comme l’a expliqué David Naccache, expert en cryptographie et professeur à l’ENS, le protocole de communication EMV -entre la carte à puce et le système de paiement- peut être faussé par une «fourche». Soit un appareil qui s’intercale physiquement entre la carte et le terminal de paiement, qui est donc impossible à utiliser avec un distributeur de billet qui «avale» la carte par exemple.
Autorisation demandée à la banque en cas de gros paiement
Obstacle de taille, l’appareil employé est également assez imposant et voyant, de la taille d’un téléphone portable dans le meilleur des cas. Il reste donc difficilement utilisable sur un terminal, alors que ce type d'opérations nécessite un minimum de discrétion.
En outre, «dans 40% des transactions par cartes, surtout quand le montant est important, une autorisation est demandée à la banque. Dans ce cas, le "leurre" ne peut pas fonctionner: la banque ne va pas valider la transaction puisque le code n'a pas été tapé», analyse Jean-Marc Bornet.
Autre protection, une parade a été prévue par les fabricants de terminaux et de cartes, même si elle n’est pas toujours activée pour des problèmes de compatibilité. Une norme permet de chiffrer les échanges entre la carte à puce et le terminal, en utilisant le code confidentiel associé à la carte tout au long des échanges. Ainsi, le leurre, activé une seule fois au moment de la frappe du code, ne sert plus à rien.
Les risques de fraude massive à la carte bancaire ne sont donc pas pour demain, concordent donc les spécialistes. La France reste ainsi l'un des pays les plus sûrs du monde dans ce domaine: selon l'Observatoire de la sécurité des cartes de paiement, le taux de fraude sur les transactions et retraits effectués par cartes était de 0,069 % en 2008.

«Cette technologie n'est pas à prendre à la légère mais elle est quand même très limitée. Il n'y a surtout aucun risque de préjudice si le client est de bonne foi: le "leurre" ne s'applique qu'aux cartes volées» et non clonées, a expliqué Jean-Marc Bornet à E24, administrateur du Groupement des cartes bancaires.

Et dans le cas d'une perte ou d'un vol d'une carte à puce, la Banque de France rappelle qu'il suffit de faire opposition pour se protéger.
a expliqué Jean-Marc Bornet à  E24,
«Cette technologie n'est pas à prendre à la légère mais elle est quand même très limitée. Il n'y a surtout aucun risque de préjudice si le client est de bonne foi: le "leurre" ne s'applique qu'aux cartes volées» et non clonées, a expliqué Jean-Marc Bornet à E24, administrateur du Groupement des cartes bancaires.

Et dans le cas d'une perte ou d'un vol d'une carte à puce, la Banque de France rappelle qu'il suffit de faire opposition pour se protéger.


«Cette technologie n'est pas à prendre à la légère mais elle est quand même très limitée. Il n'y a surtout aucun risque de préjudice si le client est de bonne foi: le "leurre" ne s'applique qu'aux cartes volées» et non clonées, a expliqué Jean-Marc Bornet à E24, administrateur du Groupement des cartes bancaires.

Et dans le cas d'une perte ou d'un vol d'une carte à puce, la Banque de France rappelle qu'il suffit de faire opposition pour se protéger.


L’utilisation de cette technologie est également restreinte à un seul type de transaction. Les retraits aux distributeurs et les paiements à distance, notamment sur internet, ne sont pas concernés, seuls les paiements en magasin sont à risque.


En effet, comme l’a expliqué David Naccache, expert en cryptographie et professeur à l’ENS, le protocole de communication EMV -entre la carte à puce et le système de paiement- peut être faussé par une «fourche». Soit un appareil qui s’intercale physiquement entre la carte et le terminal de paiement, qui est donc impossible à utiliser avec un distributeur de billet qui «avale» la carte par exemple.


Autorisation demandée à la banque en cas de gros paiement


Obstacle de taille, l’appareil employé est également assez imposant et voyant, de la taille d’un téléphone portable dans le meilleur des cas. Il reste donc difficilement utilisable sur un terminal, alors que ce type d'opérations nécessite un minimum de discrétion.


En outre, «dans 40% des transactions par cartes, surtout quand le montant est important, une autorisation est demandée à la banque. Dans ce cas, le "leurre" ne peut pas fonctionner: la banque ne va pas valider la transaction puisque le code n'a pas été tapé», analyse Jean-Marc Bornet.


Autre protection, une parade a été prévue par les fabricants de terminaux et de cartes, même si elle n’est pas toujours activée pour des problèmes de compatibilité. Une norme permet de chiffrer les échanges entre la carte à puce et le terminal, en utilisant le code confidentiel associé à la carte tout au long des échanges. Ainsi, le leurre, activé une seule fois au moment de la frappe du code, ne sert plus à rien.


Les risques de fraude massive à la carte bancaire ne sont donc pas pour demain, concordent donc les spécialistes. La France reste ainsi l'un des pays les plus sûrs du monde dans ce domaine: selon l'Observatoire de la sécurité des cartes de paiement, le taux de fraude sur les transactions et retraits effectués par cartes était de 0,069 % en 2008.
selon l'Observatoire de la  sécurité des cartes de paiement
Les risques de fraude massive à la carte bancaire ne sont donc pas pour demain, concordent donc les spécialistes. La France reste ainsi l'un des pays les plus sûrs du monde dans ce domaine: selon l'Observatoire de la sécurité des cartes de paiement, le taux de fraude sur les transactions et retraits effectués par cartes était de 0,069 % en 2008.