Paiement sans contact

Zoom sur le paiement sans contact, quid de la sécurité ?

Le paiement sans contact se dévoile comme un procédé rapide, mais est-il vraiment sécurisé ? Malheureusement, il semble que les cartes bancaires compatibles ne bénéficient pas d’un système très avantageux pour les consommateurs.

Une carte vulnérable à cause d’un procédé très simple

La carte bancaire a révolutionné le monde du paiement tout en volant la vedette aux chèques et à l’espèce. Avec l’arrivée des puces NFC, les clients peuvent effectuer des achats sans entrer un code, en passant seulement la carte devant un moniteur compatible.

Le format est attractif et surtout rapide, mais il est aussi la cible des hackers à cause de cette même simplicité. Les anciennes cartes comportent des chiffres ainsi qu’un code personnel. Sans cette information, il est impossible d’effectuer un règlement, ce qui n’est pas le cas pour la carte sans contact, car aucune authentification n’est demandée. Si la carte venait à être dérobée, la personne malveillante n’aurait aucune difficulté pour réaliser un achat.

Une sécurité qui n’est pas franchement au rendez-vous

Alors que les établissements bancaires ont redoublé d’effort ces dernières décennies pour sécuriser au maximum les moyens de paiement, la carte sans contact aurait tendance à effectuer le chemin inverse.

Elle reprend le même concept des titres de moyens de transport. Elles sont lues lorsqu’elles s’approchent d’un terminal à moins de 10 cm et le fonctionnement reste identique pour les cartes de paiement avec une puce NFC. Les experts en sécurité sont donc très inquiets, car les arnaques sont susceptibles de se multiplier à cause de ce procédé qui est très vulnérable en ne demandant aucune authentification.

Pierre-Alain Fouque, le spécialiste de la cryptographie a confié au CNRS son inquiétude, car selon lui :

Rien n’empêche le vendeur de faire plusieurs retraits sur la carte ...

Au vu du manque de sécurité, il a été décidé d’appliquer un plafond de 20 euros par achat et l’utilisation est limitée à trois voire quatre transactions par jour.

Des hackers peuvent intercepter des données grâce à la puce NFC

Pour que le paiement soit effectif, un terminal doit lire la carte de paiement grâce à cette puce NFC. Les données sont alors transmises assez facilement. Certains consommateurs sont par conséquent en mesure de se questionner sur la simplicité du système, car un hacker équipé d’un lecteur peut-il intercepter les données ?

La réponse est malheureusement positive. Il suffira qu’il s’approche du sac à main par exemple à moins de 10 centimètres pour lire les informations à l’aide d’un lecteur compatible.

A ce moment, il détient toutes les données nécessaires pour effectuer une transaction sans que le client s’en aperçoive. Au vu de la dangerosité de ce procédé, des consommateurs ont demandé aux établissements bancaires de désactiver le paiement sans contact, c’est donc un moyen de protection à ne pas négliger. Il ne faut pas oublier que 31.5 millions de cartes de paiement sans contact sont en circulation sur le sol français, des clients peuvent détenir un exemplaire sans qu’ils le sachent.

Comment protéger la carte de paiement sans contact ?

Si les consommateurs ne souhaitent pas utiliser cette méthode, il est recommandé de la désactiver auprès de l’établissement bancaire qui est à l’origine de la carte.

En parallèle, il existe une mesure de sécurité baptisée DBP : Distance Bounding Protocol. Elle consiste à réduire la distance entre le lecteur et la carte bancaire pour lutter contre les lectures hasardeuses à plusieurs mètres. Une chercheuse en post-doctorat à l’Irisa, Cristina Onete pointe du doigt cette mesure qui demande des recherches approfondies et qui est disponible sur une seule carte (Mifare Plus).

Elle estime que le temps de transmission des données entre un lecteur et une carte est trop long et favorise les erreurs ainsi que les piratages. Dans ces conditions, il est difficile de savoir si la transmission est effectuée via le lecteur sans contact d’un marchand ou celui d’un hacker.

Même s’il reste encore du travail, des progrès sont référencés. Les cartes de paiement sans contact sont vulnérables et présentent des risques. Ceux qui apprécient cette méthode et qui souhaitent la conserver peuvent se diriger vers un moyen de protection.

Des étuis spécifiques sont conçus pour supprimer les transmissions hasardeuses lorsque la carte est rangée. Des hackers ne peuvent donc pas la lire.

Dans le futur, la sécurité sera peut-être plus importante. En attendant, il est judicieux de laisser de côté la carte de paiement équipé d’une puce NFC au vu des dangers.