ont le , minci
Transcription
ont le , minci
Reproduction interdite (Usage strictement interne) Journal: QUE CHOISIR Date Article: 01.03.2015 ALERTER 1 Un nouveau dispositif permet de payer sans insérer sa carte bancaire dans le terminal du commerçant et sans taper son code. Or, il présente d'importantes failles sécuritaires. Pourtant, la plupart des banques cherchent à l'imposer à leurs clients! CARTE DE PAIEMENT SANS CONTACT L !Ra inclue* ont le minci , ELISA OUDIN Caisses d'épargne) du parcours du combattant... est en catimini, ou presque, que le paie- ment sans contact (ou NFC, pour Near Field Communication) est en train de débarquer sur nos cartes bancaires ! Il permet de payer immédiatement en approchant juste sa carte à 3 ou 4 cm d'un terminal. Et bela pour des sommes ne dépassant pas 20 . L'objectif est finalement très voisin de celui de l'ancien porte-monnaie électronique Moneo que les banques n'étaient pas parvenues à impo- ser. Celui-ci permettait de régler par carte les petites dépenses de la vie courante, afin de remplacer la petite monnaie. Une différence: aujourd'hui, le « sans contact » permet, en ne tapant pas son code, de gagner un peu de temps. Un seul réseau bancaire (sur la dizaine que nous avons les a tapes duppolia du paiement nana contact ne font pas rtéven Une carte de métro est mieux protégée! L'empressement de certaines banques à équiper leurs clients semble d'autant plus excessif que les avantages du «sans contact» ne font pas rêver. Un sondage publié par Le Parisien (21 janvier 2015) montre que 57% des Français estiment le paiement sans contact « pas utile ». Certes, la technique permet de gagner quelques dizaines de secondes au moment du paiement et d'alléger ses poches, mais au prix de moyens supplémentaires pour les escrocs d'utiliser frauduleusement nos étudiée) sollicite l'accord de données bancaires. Avec le dispositif sans contact, ses clients : La Banque postale. tel qu'il est développé aujourd'hui, le risque est LCL (Crédit lyonnais) est, quant à lui, en position d'attente. Ses cartes bancaires ne sont pas dotées du système. Le réseau préfère observer prudemment l'accueil par le public de ce mode de paiement. Toutes les autres banques intègrent l'option par défaut, lors du renouvellement de la carte. Au consommateur de réclamer expressément une carte sans dispo- sitif NFC s'il n'en veut pas! Une demande qui relève parfois (notamment dans certaines 50 QUE CHOISIR 534 Le pompon est décroché par Axa Banque, qui oppose une fin de non-recevoir à toutes les demandes de carte sans NFC. Et pour cause: selon les conseillers en ligne, la banque ne fabriquerait plus que des cartes pouvues de ce dispoSitif double : d'une part, en cas de vol de la carte, il devient plus facile d'effectuer des paiements et re- traits (le code n'est pas nécessaire); d'autre part, les pirates peuvent aspirer les données au moment où elles sont émises à distance par la carte. Ce second risque est peut-être le plus problématique. Pour pallier le premier, les établissements bancaires ont établi un plafonnement de dépenses sans contact: 20 par transaction et de 80 à 100 par mois; au-delà, le code bancaire est à nouveau réclamé. Mais les plafonds ne changent rien au MARS 2015 Page 114 Reproduction interdite (Usage strictement interne) Journal: QUE CHOISIR Date Article: 01.03.2015 tALERTER CARTE DE PAIEMENT SANS CONTACT LA CARTE NFC EN OUELOUES MOTS ;11g't '- 'PP11 4) T'et p Ma carte est-elle NFC? 'aZ ,z.er p- Est-elle activée? Si vous avez effectué un premier retrait ou un premier paiement en magasin, votre carte est active. p. Comment s'effectue un paiement? ' Il suffit d'approcher la carte bancaire à 3 ou 4 cm du terminal de paiement. La transaction s'effectue pour des montants inférieurs à 20 E, plafonnés de 80 à 100 E par mois. risque de se faire subtiliser à distance ses données... Au contact d'un récepteur (terminal de qu'il n'y ait rien entre la carte et l'antenne. Pour l'instant, ce n'est réalisable qu'en laboratoire», souligne le paiement, téléphone, etc.), la puce numérique de la carte NFC se met à émettre des ondes qui desent les données. Un simple téléphone portable suffit au- capitaine Thomas Souvignet, spécialiste en criminalistique numérique à la gendarmerie nationale. Avec les cartes NFC les plus anciennes, dont cer- jourd'hui pour les aspirer. Or, ces données ne sont pas sécurisées par un chiffrement, contrairement, par taines sont toujours en circulation, on peut, en plus du numéro de la carte (16 chiffres) et de la exemple, aux cartes Navigo du métro parisien. C'est paradoxal: les cartes bancaires qui possèdent le dispositif NFC sont moins protégées qu'une carte per- date de validité (4 chiffres) recueillir le nom et le prénom du client, ainsi que la liste des cinq der- mettant de prendre le métro », reproche Nicolas Kershenbaùm, consultant sécurité au cabinet de conseils en cybersécurité Lexsi. (Cnil), qui s'en est émue en 2012, oblige désor- Le piratage devient un jeu d'enfant Après nous être renseignés auprès d'un expért de la Gendarmerie nationale, nous avons tenté une opération de piratage. Il nous a suffi de deux secondes pour afficher sur l'écran de notre téléphone portable le numéro et la date de validité d'une carte bancaire NFC. Il a juste fallu installer auparavant sur le nières opérations bancaires réalisées. La Commission nationale de l'informatique et des libertés mais les banques à ne plus rendre accessibles ces informations. Mais le numéro de carte et la date de validité sont Les donnée.* pouvant âne Zruiel sinisent pote suffisants pour payer sur des un usage tnaudt,,,etvc sites marchands qui ne réclament pas le cryptogramme à trois chiffres. Ce dernier numéro est situé au dos de la carte; il n'est pas accessible aux pirates quelle que soit la géné- smartphone une application, très aisée à dénicher sur Internet. Certes, il faut placer le téléphone tout près de la carte... Mais cela n'a rien d'impossible, par exemple dans une file d'attente. Les pirates ration de carte bancaire. En France, le crypto- pourraient aussi améliorer le dispositif avec du matériel plus sophistiqué permettant d'amplifier le signal, notamment avec une antenne. «Pourlemoment, sieurs experts, le cryptogramme n'est de toute façon pas un obstacle insurmontable pour des nous n'avons pas constaté ce type de fraude. Pour inter- ch-es, cela représente 999 possibilités. Ce n'est pas colossal. Avec des logiciels de type "Force brute", qui existent déjà, on peut en venir à bout. Une combinaison cepter les données NFC à une distance importante, il faudrait une antenne d'une très forte puissance et MEDIAFORMEDICAL/ALAMY/ANTHONY BROWN Pour le savoir, rien de plus simple. Repérez, sur le recto de votre carte, le petit pictogramme ci-dessus. QUE CHOISIR ti e Je t5 gramme est réclamé pour sécuriser tous les paiements à distance (Internet et téléphone); mais pas forcément dans tous les pays. En outre, selon plu- pirates expérimentés : « Une combinaison à trois MARS 2015 534 QUE CHOISIR 51 Page 2/4 Reproduction interdite (Usage strictement interne) Date Article: 01.03.2015 Journal: QUE CHOISIR ALERTER j CARTE DE PAIEMENT SANS CONTACT Quelle* banque voua. !aiment le choix? LIRE LE '17BLEALI Nous avons posé les mêmes questions à tous les établissements: l'accord express du Vold, pour chaque banque, la politique de mise en place du Paiement sans contact. client est-il sollicité? La renonciation (avec ou sans frais) ou la désactivation sont-elles possibles? Nous Indiquons ci-dessous Accord express du client Renonciation sans frais La Banque postale OUI OUI LCL (Crédit lyonnais) Cartes non encore équipées NFC BANQUE les réponses des établissements (qui les engagent donc). Lorsque plusieurs témoignages identiques nous ont Renonciation avec frais alertés sur des difficultés par rapport au discours affiché. nous avons noté «Oui, mals. Nous avons classé les banques de la vlsà,vis de cette technologie à la moins respectueuse. (1) n. c.: non communiqué. . Désactivation immédiate Commentaires NON Accord express des clients demandé. n. c. N'a pas souhaité répondre. Situation d'attente. HSBC n. c. ni n. c. Société générale NON OUI, mais... Crédit mutuel-Arkea NON n. c. n. c. OUI n. c. Possibilité de désactiver en ligne. Difficultés pour avoir une carte sans NFC. n. c. N'a pas souhaité répondre. Difficultés pour ôbtenir une nouvelle BNP Paribas NON OUI, mais... NON, pour l'Instant carte sans NFC. La banque envisage la désactivation sans réfection de la carte. Crédit agricole NON Oui, mais... NON Difficultés pour obtenir une nouvelle Boursorama banque NON NON OUI Possibilité de désactiver l'option NFC à oartir de son compte en ligne. Banques populaires NON pour les cartes Visa NFC. Cartes mastercard encore non OUI, mals... NON équipées NFÇ, Caisses d'épargne NON OUI, mais... Axa banque NON NON , dee NON Difficultés pour obtenir une nouvelle carte NON Difficultés pour obtenir une nouvelle carte NON Propose un étui de protection. Thomas Livet, consultant chez Sifaris, société commerçant. Le montant est, bien sûr, faible, s'agissant de petits paiements; mais il porte sur la solution doit passer par le chiffrement du Seule panade: chittnen le minée) de la cante et la date de. validité numéro de la carte et de la date de validité. «C'est le seul moyen à ce jour de sécuriser le système. Cela compliquerait considérable- ment la tâche des pirates. Les LONGUE DURÉE e RESISTANT A l'EAU C.,,156 isci11443 A/8 e MO 15693 Pour vous prémunir contre le piratage, mettez votre carte bancaire dans un étui conçu pour bloquer les signaux NFC. 52 QUE CHOISIR 534 établissements bancaires semblent en tout cas avoir fait le choix du « NFC pour tous». «Il est possible de changer votre carte avec option sans contact Leur coût a baissé en conséquence. On pourrait, par exemple, utiliser des méthodes existantes, de type AES ou 3DES, pour les cartes bancaires.» agence parisienne de BNP-Paribas. Crédit agricole, Caisses d'épargne, Banques po- pulaires, BNP Paribas, CIC, Crédit mutuel, NTI- PIRATAGE CB NFC r un gigantesque potentiel de transactions. Les petits ruisseaux, c'est bien connu, font les grandes rivières... Intérêt financier ou pas, la majorité des contre une carte classique, mais la procédure sera un peu longue, car elle déroge à la norme. Aujourd'hui, toutes nos cartes sont fabriquées avec le mode NFC», nous explique ainsi un conseiller au guichet d'une technologies de cheement se sont beaucoup démocratisées depuis l'essor des sites Internet. - sans NFC. elles: chaque transaction par carte devrait générer à terme une commission bancaire, à la charge du ' lui, tee sans NFC. de 16 chiffres (correspondant au numéro de la carte bancaire), c'est autrement plus complexe ! », assure spécialisée dans l'analyse et la gestion des risques des nouvelles technologies de l'information. Selon VER 'TABLE PROTECTION carte sans NFC. NON 4 .1(,3 plus à l'écoute des clients Pour les banques, sécuriser coûte trop cher Pourquoi les banques n'ont-elles pas mis en place de protocole de communication chiffré, à l'instar de la RATP? Un expert qui collabore sur le dossier avec plusieurs banques avance une explication: «Chiner entraîne des coûts supplémentaires Boursorama banque, Axa banque : tous ces établissements intègrent d'office l'option NFC lors du renouvellement de la carte! Des explications, plus ou moins en évidence (par lettre préalable, plaquette publicitaire, note à la fin dit relevé' de compte mensuel...) informent le client du chan- importants. Il faut changer tout le stock de cartes. On gement. Mais rien sur les risques, ni sur le fait que l'absence de contestation vaut accord pour modification de son contrat avec la banque. Consultez peut compter 10 à 20 par carte. Et il faut renouveler la totalité du parc de distributeurs automatiques de billets; la facture représente des millions d'euros. » Les établissements auraient ainsi pesé le pour et le contre et décidé d'assumer le risque. D'autant que le nouveau dispositif est plutôt porteur pour les conditions générales de votre convention de compte : un nouveau paragraphe s'y est glissé. Mais combien l'ont repéré ? Or, c'est ensuite que les choses peuvent devenir plus compliquées, MARS 2015 Page 3/4 Reproduction interdite (Usage strictement interne) Date Article: 01.03.2015 Journal: QUE CHOISIR il ALERTER CARTE DE PAIEMENT SANS CONTACT EN PRATIQUE Comment se défendre? La carte est vulnérable au moment L DELHOUniE/FOMLIA d u paiement. VOUS N'AVEZ PAS ENCORE DE CARTE NFC Immo votre carte bancaire actuelle n'est pas dotée de la technologie «sans contact», mais elle va être renouvelée dans quelques mois. Vous recevrez un courrier plusieurs semaines avant l'envoi de la nouvelle carte. Celui-ci devrait vous comme le montrent de nombreux témoignages que nous avons recueillis. Ainsi, Frédéric G., client de la Caisse d'épargne Nord-Pas-de-Calais, obtient une réponse sans ambiguïté au guichet lorsqu'il demande à échanger la carte NFC qu'il vient de recevoir contre une carte classique: «Impossible!» Le jeune homme insiste : «J'aifini par menacer de quitter la banque... et là, le conseiller est revenu sur sa première affirmation. Il m'a proposé d'interroger la direction. » Une semaine plus tard, Frédéric recevaitune nouvelle carte sans l'option NFC. Une habitante de Verneuil (Yvelines) a ef- mation est donnée que le changement est possible ! comptes et trouvé une autre banque. «En cas de fraude, on indemnise...» Pour rassurer leurs clients, les établissements bancaires avancent des arguments, largement inspirés par le GIE carte bancaire, qui réunit l'ensemble des banques. Ces dernières rétorquent ainsi que les clients n'ont, quoi qu'il arrive, pas de souci à se faire : «En cas de paiement frauduleux, si le client est de bonne foi, l'agence recrédite immédiatement le compte », explique un résponsable. «Les transactions effectuées avec la fonction sans contact, donc sans code confidentiel, ne supportent pas de franchise. Les sommes indûment débitées sont donc intégralement bancaire. Recontactez-le quelques jours après l'envoi pour vous assurer qu'il a reçu le message... et l'a bien compris. Efficace, sauf au moment de payer: il faut retirer l'étui. Un pirate installé près de la caisse pourrait siphonner les données à cet instant; > la troisième solution a fait le tour d'Internet. Les experts nous ont confirmé son efficacité (mais pas sa légitimité juridique). Il faut repérer, à l'aide d'une lampe torche, la mina- antenne circulaire qui sort de la puce et longe le pourtour de la carte. Il suffit de l'endommager en la grattant avec un cutter sur un point éloigné de la puce. La carte n'émettra plus mais permettra toujours le paiement classique... Les banques, qui sont propriétaires des cartes, pourraient contester la détérioration en justice. I 1 .1 VOTRE CARTE A ÉTÉ PIRATÉE imam Hélas, vous ne le saurez que si vos données ont été utilisées frauduleusement. Car, en soi, le piratage des données ne laisse pas ver». Quant à Philippe N., Axa banque a sobrement répondu par courrier à la même demande «Désormais, il (le paiement sans contact, ndlr) est tection. » Le consommateur a aussitôt fermé ses existe trois solutions: la plus sûre, et inattaquable sur le plan juridique, consiste à renvoyer sa carte par recommandé avec accusé de réception et à réclamer une carte simple sans option; la seconde est de se munir d'un étui spécial. Il agit comme une cage de Faraday et bloque le passage des ondes. réclamation obtient finalement une réponse diffét'ente : le conseiller explique qu'il va se renseigner auprès du siège... Dans la journée, confir- mis en place automatiquement sur toutes les cartes bancaires. Il n'est pas possible de supprimer la fonction... Toutefois, nous pouvons vous proposer un étui de pro- manifestez votre désaccord par écrit (courrier ou mail) à votre conseiller - Il qu'accéder à sa demande est «impossible», puis sa plique-t-il, «la re-fabrication de la carte a été demandée car vous nous avez imposé une carte Bleue avec un paiement sans contact et sans possibilité de le désacti- La Banque postale réclame l'accord de ses clients avant de fabriquer une carte NFC. LCL (Crédit lyonnais), n'a pas encore décidé de commercialiser l'option. Si vous ne la souhaitez pas, VOUS VENEZ DE RECEVOIR UNE CARTE NFC "ma fectué la même visite auprès de son agence du Crédit agricole, après avoir reçu un courrier de renouvellement de sa carte annonçant l'intégration de l'option NFC. On lui rétorque d'abord Plus ennuyeux, M. et Mme F. ont constaté qué l'agence de la Caisse d'épargne de Blagnac (37) leur avait facturé 18 pour « re-fabrication de CBI» (carte bancaire internationale). Le couple exige le remboursement de cette somme car, ex- informer qu'elle comporte l'option NFC. Pour l'instant, seule de trace. Dès que vous découvrez des opérations douteuses (pour cela, il faut vérifier régulièrement ses comptes), contestez-les par écrit (mail ou lettre) i! auprès de votre conseiller bancaire. La banque doit alors vous recréditer les sommes immédiatement. 6 remboursées», tient à préciser le GIE carte bancaire. Le problème, c'est que certains cas récents montrent que le remboursement ne se révèle pas toujours aussi simple. La demande traîne parfois en longueur. Surtout, certains établissements ont récemment refusé de recréditer des débits les liés, selon les clients, à des achats frauduleux effectués sur Internet. Les banques ont uea cherchent à ?gammen main les ts lea trtedident estimé que ces derniers n'avaient pas démontré leur bonne foi. La loi fait pourtant clairement pe- ser la charge de cette preuve sur la banque. Le Crédit mutuel Nord de France, en particulier, s'illustre étrangement sur ce terrain. MARS 2015 534 QUE CHOISIR 53 Page 4/4