Pour certains, il est un gain de temps quotidien considérable. Pour d’autres, il reste une menace. Le paiement sans contact est-il vraiment une porte ouverte vers nos comptes et données personnelles ?

En janvier 2017, d’après les chiffres de la Fédération bancaire française (FBF), 63,3 % des cartes bancaires dans l’Hexagone étaient désormais équipées du sans contact. Parmi elles, 44 % avaient servi à finaliser au moins une transaction sans contact ce mois-là. Au total, près d’un achat de moins de 20 euros sur quatre a été effectué via ce moyen de paiement, soit 605 millions de transactions en tout.

VOIR AUSSI : Les objets connectés ont besoin de labels, selon l’agence de cybersécurité européenne

Voilà pour les chiffres, qui ne cessent d’augmenter, surtout du côté des commerçants qui n’hésitent plus à s’équiper de terminaux bancaires supportant la technologie NFC, pour Near Field Communication — système qui permet à un périphérique d’échanger des informations avec un terminal grâce à une antenne et un protocole dédiés. "À ce rythme, le Groupement d’intérêt économique des cartes bancaires (GIE CB) espère atteindre le milliard de paiements sans contact en 2017 et les 3 milliards fin 2018", rapporte la FBF. Malgré tout, nombre d’entre nous hésitent toujours à user de l’option sans contact sur leur carte bancaire. Certains la rejètent même en bloc, convaincus qu’elle n’est pas suffisamment sécurisée et qu’elle peut mettre en péril argent et données personnelles. 

Sur Twitter, j’ai réalisé un petit sondage, qui n’a évidemment qu’une valeur indicative compte tenu de son manque de méthodologie. Si 58 % des 625 participants trouvent ce système "très pratique", 30 % d’entre eux avouent donc s’en méfier. Méfiance qui semble trouver son origine dans deux idées générales : ce type de carte serait plus simple à pirater, et il représenterait un moyen supplémentaire pour les banques, qui proposent désormais systématiquement des cartes équipées de cette technologie, de mieux nous contrôler. En gros.

Mais ces craintes sont-elles vraiment justifiées ? Avant d’apporter des éléments de réponse à cette question, rappelons que le même scepticisme régnait il y a près de 40 ans, lorsque la carte à puce — nos cartes bleues —, a émergé dans nos vies. Au fil du temps, et à force d’améliorations sécuritaires constantes, elle a fini par gagner la confiance des consommateurs. Code personnel, cryptogramme… Autant de précautions que semble aujourd’hui contourner sans aucun scrupule le sans contact. 

Un post de blog du CNRS daté de juillet 2015 dresse d’ailleurs un état des lieux des risques liés aux puces NFC, et ce qu’on y découvre est carrément anxiogène : "Actuellement, aucun contrôle n’est présent [sur ce moyen de paiement]", y explique le spécialiste de la cryptographie Pierre-Alain Fouque, chercheur à l’Institut de recherche en informatique et systèmes aléatoires (Irisa) de Rennes. "Comme on ne demande rien à l’utilisateur, rien n’empêche le vendeur de faire plusieurs retraits sur la carte." Et de poursuivre : "Si vous vous promenez dans la rue, avec votre carte NFC dans votre poche ou votre sac, il est tout à fait possible pour un hacker passant près de vous d’intercepter vos données [grâce à un faux lecteur, comme un téléphone portable ou un ordinateur], pour les envoyer à un complice qui s’en sert au même moment pour régler un achat." Nom d’un petit bonhomme, sommes-nous vulnérables à ce point ?

Les cartes NFC sont-elles moins "sûres" que les cartes qui ne disposent pas de cette technologie ?

Si l’on parle de chiffrement des transactions, la réponse est non. Elles disposent des mêmes niveaux de sécurité que les classiques cartes à puces. Une seule étape vient à manquer lorsqu’il s’agit d’un paiement sans contact (et c’est bien sa raison d’être) : l’entrée d’un code PIN. Évidemment, quiconque vole une carte bancaire peut immédiatement après l’avoir dérobée se rendre à la boulangerie s’acheter dix pains au chocolat ou au bureau de tabac s’offrir pour 20 euros de jeux à gratter (et peut-être gagner des millions d’euros avec…).

Presque toutes les banques remboursent aujourd’hui les achats effectués frauduleusement avec le sans contact

Mais le nombre de ces petites transactions, dont le montant maximum est aujourd’hui fixé à 20 euros (il passera à la rentrée à 30 euros pour toutes les nouvelles cartes) est plafonné à 50 ou 100 euros dans une seule journée, en fonction des banques. De quoi nous laisser le temps de réaliser qu’on a perdu notre carte et de faire opposition. Qui plus est, presque tous les établissements bancaires remboursent aujourd’hui les achats effectués frauduleusement avec le sans contact. Il suffit de vérifier cela dans le contrat signé au moment de l’obtention d’une nouvelle carte bancaire.

Est-il vraiment possible qu’un malfaiteur me soutire de l’argent dans la rue ou dans les transports par exemple, en approchant un terminal bancaire de mon sac ou de ma poche ?

Techniquement, oui. Mais à vrai dire, quiconque veut se lancer dans ce type d’activité criminelle devra s’armer de courage. "Il faut déjà que le malfaiteur dispose d’un TPE, soit un terminal de paiement, connecté à Internet. S’en procurer un en soi n’est pas compliqué, mais l’activer est plus ardu. ll lui faudra faire l’effort de déclarer une société et de mettre au point un dispositif bancaire de blanchiment d’argent", explique Oliver Hamm, expert en sécurité chez NES Conseil. "Ensuite, il faudra qu’il dispose d’une antenne ou qu’il s’approche à quelques centimètres de la dite carte pour réaliser un débit." Encore faut-il qu’il sache où se trouve exactement la carte sur sa victime, et comment celle-ci est positionnée.

Pierre Chassigneux, directeurs des projets et du risk management au GIE CB, nous assure avoir réalisé des tests en conditions réelles pour bien évaluer ce risque d’"aspiration" d’argent à l’insu du consommateur. "On ne s’est pas contentés de plaquer un terminal bancaire sur les poches ou les sacs des gens, on s’est équipés d’une antenne cachée dans un sac à dos qui permet d’opérer ce type de transaction frauduleuse jusqu’à un mètre de distance. On n’a pas été capable de récupérer une seule donnée ou un centime."

Et qu’on me soutire tout simplement des informations bancaires ?

Là encore, en employant l’équipement nécessaire comme une simple application pour smartphone capable de lire les puces NFC, il est possible d’aspirer des données : le type de carte, le nom de la banque, le numéro de carte ou encore sa date d’expiration. Evidemment, il s’agit là d’informations qu’on souhaite voir rester confidentielles. Impossible en revanche de récupérer avec cette méthode le cryptogramme ou encore le nom et le prénom de la victime, ceux-ci n’étant plus lisibles dans toutes les cartes bancaires depuis 2012.

Impossible en revanche de récupérer le cryptogramme ou encore le nom et le prénom de la victime

"Sans cryptogramme, aujourd’hui presque toujours indispensable pour payer sur le Net, ni l’identité de la victime, il est difficile d’arriver à grand chose, même si cela reste du vol de données. Le phishing ou les malwares sont des moyens bien plus efficaces pour des pirates de récupérer des informations utiles pour subtiliser rapidement de l’argent aux gens", poursuit Pierre Chassigneux. En bref, un pirate serait bien mal avisé de soutirer des données personnelles via la puce NFC de notre carte bancaire plutôt qu’en hachant directement des sites Internet mal protégés.

Un commerçant peut-il me soutirer plusieurs fois un même montant ?

Oui, mais toute transaction sans contact apparaît évidemment sur nos relevés de banque… Un commerçant malhonnête aura donc intérêt à ne pas commettre ces "erreurs d’inattention" trop souvent, qui nécessitent d’ailleurs de retaper une nouvelle fois un montant sur la machine, au risque de se faire pincer rapidement.

Et si l’on reste malgré tout sur nos gardes ?

Tout client est aujourd’hui en droit de demander à sa banque de désactiver le paiement sans contact, mis par défaut sur les cartes de nouvelle génération. Mieux vaut toutefois en faire la demande avant le renouvellement de sa carte, histoire de faciliter la démarche. Il est aussi possible de la jouer plus roots en coupant l’antenne de sa carte (il existe des tutos pour ça sur le Net), mais attention, la dégradation pourra ensuite nous être reprochée par la banque, qui reste la propriétaire de la carte.

Il reste toujours une dernière solution, plus simple et moins radicale : investir dans un petit étui métallique qui "coupe" toute possibilité d’entrer en contact avec notre carte, à la manière d’une cage de Faraday. Après tout, ça ne mange pas de pain, car en Angleterre, un récent rapport analysé par la BBC démontre que la fraude au paiement sans contact a le vent en poupe dans le pays, même si celle-ci reste largement à relativer. En France, le GIE CB maintient que la fraude à la carte bancaire en général ne cesse de diminuer, avec un taux de fraude historiquement bas de 0,008 % en 2017. 

Quelque chose à ajouter ? Dites-le en commentaire.