Restez à la maison pour protéger vos proches. Livraisons 📦 maintenues et gratuites.

Faut-il avoir peur du paiement sans contact, comment limiter les risques de piratage ?


Faut-il avoir peur du paiement sans contact et comment limiter les risques de piratage

Les Français ont largement adopté le paiement sans contact. Très pratique au quotidien mais parfois risqué. Face notamment aux failles du NFC, des précautions s’imposent. Bienvenu dans l’ère des digital pickpockets.

Faut-il avoir peur du paiement sans contact et comment limiter les risques de piratage

Avec une carte sans contact, plus besoin d’entrer de code secret : c’est payé, illico. Grâce au NFC, technologie sans fil à courte portée (10 cm entre 2 appareils), conçue pour permettre à votre smartphone de fonctionner comme une carte bancaire, ou à votre CB de marcher comme un “pass”.

C’est simple et rapide, en France, 10 % des paiements par cartes bancaires se font actuellement sans contact, et les cartes NFC représentent déjà 70 % des CB en circulation. Au point que le paiement sans contact est aujourd'hui une habitude pour de nombreux Français - en 2017, plus de 1,2 milliard de paiements ont été réalisés via des cartes bancaires NFC d'après le GIE Cartes Bancaires. Dans le même temps, 26 % des Français paient en "contactless" avec leur smartphone. Un véritable boom, donc.

NFC, technologie piratable

Problème, de taille : le sans contact est facilement piratable.
En 2011, Renaud Lifchitz, ingénieur sécurité, mettait à jour “la” faille, à savoir que les cartes utilisant le NFC n’utilisent pas de protocole chiffré. Il avait démontré qu’avec une clé USB NFC, ou un smartphone, il était possible de capter les ondes… et d’accéder à des données personnelles (nom, historique des transactions). 


La CNIL s’est saisie de la question, et depuis 2013, les infos personnelles ont disparu des CB sans contact. Du moins de celles du GIE des cartes bancaires (130 établissements de crédit), car la moitié des cartes NFC restent émises par des enseignes de la grande distribution. Quant aux CB éditées avant 2013…

L’ère des “digital pickpockets”

Quid des risques de fraude ? Un hacker ne peut plus aspirer vos infos personnelles, mais il peut toujours “pirater” votre carte et pirater vos données bancaires quand elle est dans votre sac.

Les paiements avec une carte NFC sont plafonnés à 30 € par achat, et on ne peut effectuer plus de 4 paiements par jour. Pas de risque, si on vous dérobe votre carte. Mais cela ne règle pas le problème du “paiement accidentel” : en 2013, la BBC rapportait le cas de clients de Marks & Spencer ayant payé 2 fois le même article… parce qu’ils avaient voulu utiliser une carte sans NFC, tout en approchant leur portefeuille, dans lequel se trouvait une 2e carte, sans contact.

Ce plafond ne règle pas non plus le risque de voir des hackers collecter d’autres infos, moins personnelles, mais suffisantes pour faire des achats en ligne (sans limitations) : il suffit “d’aspirer” le numéro de la carte et sa date de validité. En 2015, un journaliste de SCMag a relaté sa rencontre avec un “frotteur 2.0” : dans le métro, “le type se cognait sur moi”, raconte-t-il. 20 £ lui ont été dérobées sur sa carte NFC. Du “digital pickpocketing”.



Selon l'Observatoire de la sécurité des cartes de paiement, les fraudes liées au sans contact équivalent à plus de la moitié des fraudes par “skimming” (au distributeur), pratique bien répandue. Sachant que le nombre de cartes NFC ne fait que croître, les fraudes au sans contact risquent donc de devenir bien réelles. Mais attention à ne pas non plus tomber dans la parano : pour l'instant, ces fraudes aux paiements NFC sont très rares - elles représentent actuellement 0.02% des paiements sans contact. Et en cas d'attaque, la loi impose à votre banque de vous dédommager dans les plus brefs délais (sauf si elle réussit à démontrer que vous avez été "négligent dans la conservation de vos données bancaires", bien entendu).

Prenez vos précautions

Dans le doute, et parce que deux précautions valent mieux qu’une, mieux vaut partir du principe que même si elles sont rares, les fraudes liées au sans contact pourraient très bien devenir courante dans un avenir très proche, au fur et à mesure du succès de ce mode de paiement.

D'abord, sachez que les banques sont tenues de vous proposer des cartes sans NFC si vous leur demandez. Vous pouvez aussi désactiver le sans contact à tout moment, sans frais. Si la banque réchigne, vous pouvez toujours faire un trou dans la carte… ou saisir la CNIL.

Mais il faut avouer que payer sans composer de code, ou sans retirer d'argent dans un distributeur, c'est quand même bien pratique. Alors si vous voulez continuer à utiliser le “contactless”, voici comment limiter les risques. Déjà, sachez que avez moins à craindre si vous utilisez un smartphone (paradoxal) : la fonctionnalité de paiement n’est pas activée en permanence - quand l’écran est éteint, il est impossible d’aspirer votre numéro de carte. Et de plus en plus d’applis de paiement mobile sont protégées par des codes PIN. Evitez toutefois, par précaution, de laisser le NFC allumé quand vous n’utilisez pas votre appareil.



Si vous avez un iPhone et que vous utilisez Apple Pay, sachez que ce système de paiement génère des numéros de carte jetables, qui ne sont utilisables qu’une fois, ce qui vous met - théoriquement - à l’abri du piratage. Idem pour Google Pay.

Concernant les cartes NFC, la solution est matérielle. Il vous faut vous munir d’un gadget en aluminium, faisant office de cage de Faraday, pour bloquer les infos de la carte. Vous pouvez mettre la main sur des étuis de protection, que votre banque est tenue de vous fournir gratuitement. Une solution un peu contraignante, car il vous faudra sortir l’étui du portefeuille, puis la carte de l’étui : un outil plus pratique, peut être la carte anti-NFC. Du même format qu’une carte, vous pouvez glisser ce puissant “brouilleur” dans la fente où se trouve votre carte, afin de couper le signal de la puce.

Certes, lors du paiement en lui-même, le risque de piratage demeure, mais le risque de fraude sera limité si vous utilisez l’un de ces gadgets, les hackers préférant “sniffer” votre carte quand elle est bien au chaud dans votre sac. Ah oui, il est aussi conseillé de placer votre carte le plus haut possible sur vous lors d’un achat, et de surveiller vos relevés bancaires. Maintenant, avec ces quelques conseils, vous devriez pouvoir faire vos achats l'esprit (un peu) plus tranquille.

0 commentaires

  • Soyez le premier à nous laisser un commentaire.

Laissez un commentaire

Veuillez noter que les commentaires doivent être approuvés avant d'être affichés