Toujours discrètes, voire opaques sur la sécurité des paiements sans contact, les banques ont néanmoins constitué un important stock d’étuis anti-NFC pour leurs clients. Mais cette précaution est-elle suffisante ?
Poser, c’est payé !
Ce slogan diffusé par le Groupement des Cartes Bancaires veut souligner la simplicité du paiement sans contact, disponible avec les cartes bancaires munies d’une puce NFC, reconnaissables au logo ci-contre.
Pourtant, dès 2012, l’expert en sécurité Renaud Lifchitz avait découvert une faille de sécurité, permettant notamment d’accéder à une carte NFC et son contenu à distance. Et oui, le NFC c’est comme le WiFi ou le Bluetooth, c’est avant tout des informations qui circulent dans les airs ! Et donc potentiellement à la merci de tous. Depuis 2012, les techniques d’interception de communications NFC ont progressé : alors qu’à l’époque il fallait se tenir à 5 centimètres de la carte ciblée, aujourd’hui un matériel valant à peine 300 euros permet de voler des informations bancaires (numéro de la carte et date d’expiration) à plusieurs mètres. Certaines applications mobiles sont même spécialisées dans cette activité.
Même si aujourd’hui aucune collecte frauduleuse de grande ampleur n’est à déplorer, l’avis de la CNIL reste très mitigé quant à la technologie NFC sur les cartes bancaires.
Les banques se défendent, mais ne renoncent pas
Officiellement, les banques ont toujours nié un risque réel lié à la sécurité des cartes de paiement sans contact. Néanmoins, la Banque de France oblige celles-ci à disposer d’un stock d’étuis anti-NFC (égal à 10% du nombre de cartes NFC en circulation), qui bloquent les ondes émises par la puce sans fil. Ils pourront être distribués gratuitement aux clients qui en font la demande. Mais ces étuis anti-NFC permettent-ils d’assurer une parfaite sécurité ? Hélas non : lors des paiements, la carte doit être retirée de son étui. Les éventuels pirates n’ont donc qu’à patienter auprès des caisses ou des bornes de paiement qui proposent le paiement sans contact…
La Banque de France oblige également les banques à désactiver le NFC des cartes, sur demande expresse des clients. Mais il est peu probable que les banques s’y plient facilement : d’une part cela ferait baisser le nombre officiel d’utilisateurs du paiement sans contact, et d’autre part cela représenterait un coût non négligeable pour les banques (10€ par désactivation). La mauvaise alternative de l’étui anti-NFC (0,15 à 0,50 € l’unité) sera donc probablement préférée… Par les banques !
Les cartes bancaires NFC sont automatiquement distribuées aux clients, au fil du temps, et remplacent peu à peu les CB traditionnelles. Si vous ne voulez pas de puce NFC intégrée à votre carte bancaire, vous avez tout à faire le droit de demander à votre conseiller financier de retirer cette puce, ou de demander une carte sans puce. Si vous insistez et qu’il continue de rechigner, vous avez encore deux possibilités, plus radicales :
- Changer de banque pour un établissement bancaire plus conciliant
- Retirer vous-même la puce NFC de votre carte, à vos risques et périls
Même si les vols d’informations bancaires par interception de communications NFC sont par définition difficiles à détecter, cette pratique frauduleuse ne semble pas encore très populaire, et les bonnes vieilles tentatives de phishing restent toujours très rentables pour les cybercriminels. Mais ce n’est pas une raison pour accepter les yeux fermés une carte bancaire NFC imposée !
Source: 01net.com
Images: Flickr / Jason Tester Guerrilla Futures / CC BY-ND 2.0 (détail)
Ben leur logo il ressemble étrangement au logo WiFi… qui est déposé. C’est étrange non, et pour tout dire… pas très malin je trouve.
Deux seuls objectifs derrière cette techno :
– faire baisser le nombre de transaction fiduciaires (pieces de monnaie/billets), qui coutent chers aux banques en terme de gestion.
– diminuer les « dessous de table » et augmenter les rentrees de taxes pour l’Etat.
En juin 2014, date d’échéance de ma Visa classic BNP, il m’a été fournie en renouvellement, une carte AVEC NFC. La lettre de mise à disposition mentionnait juste cette nouvelle fonction, sans possibilité de choix. Je l’ai refusée par écrit à mon conseiller, et 3 semaines + tard, la BNP m’a fourni la même sans NFC (elle a par ailleurs le sigle Moneo, ce dont je ne me sert pas). Quand on demande poliment, et quand on veut, on peut .