Le paiement sans contact c’est quand même bien pratique. Vous approchez votre carte d’un terminal de paiement et zou… la transaction est réalisée. Plus besoin de tatouer le code de votre carte de crédit dans l’oreille de votre chien, pour effectuer des petits paiements (moins de 20 € chez certaines banques), il suffit juste de poser votre carte de crédit pour payer.
Bien que très pratique, le paiement sans contact est loin d’être adopté par tous. D’après les chiffres de la Fédération bancaire française (FBF), seulement 44 % des cartes compatibles ont été utilisées pour payer un achat de moins de 20 € en début d’année. Pourquoi une telle réticence ? Par peur ! Comme avec l’arrivée des cartes de crédit à l’époque, les Français ont peur qu’on leur vole de l’argent ou pirate leurs données personnelles via le paiement sans contact. Une peur justifiée ? C’est notre sujet du jour.
Comment le paiement sans contact fonctionne ?
Tout d’abord, revenons sur le fonctionnement du paiement sans contact. Dans ces cartes de crédit, nouvelle génération, on retrouve une puce NFC. Comme avec les smartphones, cette technologie permet d’échanger des données entre deux terminaux qui se trouvent à proximité. En approchant votre carte d’un terminal de paiement, vous allez partager vos bancaires, ce qui va engendrer un prélèvement sur votre compte courant.
Dans cette définition, il y a deux informations importantes à retenir : « à proximité » et « terminal de paiement ». Vous allez comprendre pourquoi…
Est-ce qu’il est possible de pirater une carte de paiements sans contact ?
Les réfractaires au paiement sans contact avancent toujours le même argument : avec le NFC, une personne peut effectuer un paiement à votre insu, en étant simplement à proximité de vous avec un terminal de paiement. Mais cela est pratiquement impossible !
Tout d’abord, pour obtenir un terminal de paiement opérationnel, il faut créer une société et monter un système de blanchiment d’argent. Sans cela, il serait assez simple de remonter la piste du malfaiteur et de lui faire payer la note. Ensuite, il faut approcher le TPE (terminal de paiement), de votre carte de crédit. Encore faut-il savoir où se situe votre porte-monnaie et être vraiment à proximité sans se faire repérer. Il existe bien des amplificateurs de signaux (jusqu’à 1 m), mais en toute franchise, c’est beaucoup d’efforts pour récupérer seulement des petites coupures…
Pierre Chassigneux, directeur des projets et du risk management au GIE CB, a réalisé l’expérience en condition réelle. Équipé d’un amplificateur, il a été incapable de récupérer le moindre centime. Alors oui, l’opération est techniquement possible, mais elle demande tellement d’efforts et obtient si peu de résultats que vous ayez quand même très peu de chances que cela vous arrive. Un récent rapport de la banque de France corrobore ces propos : « les fraudes sur le paiement sans contact sont liées, quasi exclusivement, au vol ou à la perte de la carte ». C’est d’ailleurs pour cela que la majorité des banques limitent l’utilisation du paiement sans contact à 100 €/jour.
Et le vol de données personnelles ?
Vos cartes de crédit permettent d’effectuer des paiements, mais pas seulement. Une personne malveillante peut aussi profiter de cette porte d’entrée (le NFC) pour récupérer vos données bancaires. Pour cela, l’approche est beaucoup plus simple. À partir d’une application spécifique, il est possible de récupérer ces données personnelles en étant à proximité de vous.
Le problème, c’est qu’elles sont quasi inutilisables. Aujourd’hui, pour effectuer un paiement en ligne, il est systématiquement demandé de renseigner le cryptogramme de votre carte de crédit. Ce petit code à 3 chiffres, situés sur le dos de votre carte, n’est heureusement pas stocké dans les données transmises par NFC. Puis qu’on se le dise, il est bien plus simple de récupérer ces données avec du phishing ou un malware, que d’arpenter les rues en scannant les personnes que vous croisez.
Au final, faut-il s’équiper d’une protection ?
La première conclusion qu’il faut faire, c’est qu’au lieu d’admettre des informations du type « on peut se faire prélever facilement avec le paiement sans contact », il vaut mieux vérifier auprès de sources fiables et ne pas suivre bêtement les « on-dit ». Pour cela, je vous invite à consulter le dernier rapport de la Banque de France ou encore ce blog post du CNRS. Si après ces deux lectures, vous considérez que le paiement sans contact constitue toujours un risque, alors libre à vous de vous procurer une des nombreuses protections existantes. Pour ma part, ma carte bleue restera en liberté dans mon portefeuille.