Le paiement sans contact est-il sans danger ?

Plus besoin de taper son code, il suffit de survoler la machine avec sa carte bancaire pour régler ses achats. Le paiement sans contact est en pleine expansion. Plus de 30 millions de cartes disposant de cette fonctionnalité sont en circulation en France. En 2016, toutes les cartes bancaires proposeront cette fonction. "La révolution est déjà en marche et rien ne saura l’arrêter", assurent les acteurs du paiement sans contact. En septembre, les Grenoblois pourront même payer leur trajet en bus grâce à ces nouvelles cartes. Une première dans l'Hexagone. Mais les banques doivent encore gagner la confiance des clients.

Ce nouveau moyen de paiement peine à s'imposer. Selon une étude commandée par Syntec Numérique et réalisée par l’institut de sondage Odoxa début 2015, 43% des personnes interrogées n'utilisent pas cette fonctionnalité car elles ne connaissent pas son existence. Plus préoccupant pour les banques, 57% des sondés trouvent le paiement sans contact inutile. Dans son rapport annuel, publié jeudi 9 juillet, l'Observatoire de la sécurité des cartes de paiement, qui dépend de la Banque de France, appelle à la vigilance.

La technologie NFC (communication en champ proche) ne serait pas sans danger, selon les spécialistes de la Banque de France. Francetv info vous explique pourquoi il faut s'en méfier, même si ce moyen de paiement est plein de promesses. 

"De graves lacunes de sécurité" 

Les cartes bancaires sans contact fleurissent dans les portefeuilles. Une équipe du Centre national de la recherche scientifique (CNRS) en a fait un objet d'étude. C'est "un système de paiement qui comporte de graves lacunes de sécurité", prévient le CNRS. Le paiement sans contact peut se révéler dangereux, selon Pierre-Alain Fouque. Ce spécialiste de la cryptographie a même désactivé cette fonctionnalité sur sa propre carte bancaire, rapporte le CNRS. "Si vous vous promenez dans la rue, avec votre carte NFC dans votre poche ou votre sac, il est tout à fait possible pour un hacker passant près de vous d’intercepter vos données pour les envoyer à un complice qui s’en sert au même moment pour régler un achat", assure le chercheur. Une hypothèse peu rassurante. Et la crainte est réelle chez les consommateurs : 4% des clients de la Société générale refusent ainsi d'avoir une carte disposant de cette technologie. Ils sont 5% au Crédit du Nord, indique Europe 1. 

Le gouverneur de la Banque de France demande que des mesures soient prises pour limiter les risques de fraude liés à cette technologie. "L’Observatoire appelle les émetteurs à toute la vigilance nécessaire, et rappelle les engagements pris concernant la possibilité de désactiver la fonction sans contact des cartes, soit en mettant des étuis de protection à la disposition des utilisateurs, soit en mettant en œuvre la désactivation à distance de la fonction sans contact, soit en permettant le remplacement, à la demande du porteur, d’une carte sans contact par une carte dépourvue de cette fonctionnalité", liste le document de 68 pages.

Une technologie qui serait sans "faille exploitable" 

Les craintes avancées par le chercheur Pierre-Alain Fouque ou d'autres clients d'établissements bancaires sont à nuancer. Les fraudeurs ont peu de chances d'intercepter des données bancaires par le biais de la technologie NFC. C'est l'une des conclusions rassurantes du rapport de l'Observatoire de la sécurité des cartes de paiement. La fraude aux paiements sans contact intervient quasi exclusivement après la perte ou le vol de la carte. 

"La technologie sans contact elle-même ne semble donc pas avoir présenté de faille exploitable pour les fraudeurs (de type écoute passive des données de carte lors d’une transaction, ou activation à distance de la carte dans des lieux publics, par exemple)", confirme le texte. Une technique pourrait également permettre de renforcer la sécurité des transactions. La chercheuse néerlandaise Cristina Onete propose que la transmission des informations entre la carte bancaire et le lecteur se fasse plus rapidement pour empêcher les fraudeurs d'intercepter les données.

Des recours possibles en cas de fraude

Pour éviter que de l'argent ne s'évapore, la loi française encadre l'utilisation du paiement sans contact. Les clients ont treize mois pour contester les transactions non autorisées auprès de leur banque. Le service de paiement se doit alors de rembourser la somme dérobée dans les plus brefs délais. "Dans le cas de fraudes résultant d’un paiement effectué en mode sans contact suite à une perte ou un vol de sa carte, on notera que le porteur ne supportera aucune perte liée à cette opération de paiement non autorisée", confirme l'Observatoire de la sécurité des cartes de paiement. 

Les clients sont aussi protégés par le montant maximum autorisé lors de ces opérations. Le paiement sans contact est plafonné à 20 euros et les dépenses sont généralement limitées à 100 euros par jour. Cela "permet de limiter le préjudice subi en cas de perte ou de vol d’une carte", indique le rapport. Le vol de cartes disposant de la technologie NFC devient, par la même occasion, beaucoup moins attractif pour les fraudeurs.