ont le , minci

Commentaires

Transcription

ont le , minci
Reproduction interdite (Usage strictement interne)
Journal: QUE CHOISIR
Date Article: 01.03.2015
ALERTER
1
Un nouveau dispositif permet de payer sans insérer sa carte
bancaire dans le terminal du commerçant et sans taper son
code. Or, il présente d'importantes failles sécuritaires. Pourtant,
la plupart des banques cherchent à l'imposer à leurs clients!
CARTE DE PAIEMENT SANS CONTACT
L
!Ra inclue*
ont le minci
,
ELISA OUDIN
Caisses d'épargne) du parcours du combattant...
est en catimini, ou presque, que le paie-
ment sans contact (ou NFC, pour
Near Field Communication) est en
train de débarquer sur nos cartes
bancaires ! Il permet de payer immédiatement en
approchant juste sa carte à 3 ou 4 cm d'un terminal. Et bela pour des sommes ne dépassant pas
20 . L'objectif est finalement très voisin de celui
de l'ancien porte-monnaie électronique Moneo
que les banques n'étaient pas parvenues à impo-
ser. Celui-ci permettait de régler par carte les
petites dépenses de la vie courante, afin de remplacer la petite monnaie. Une différence: aujourd'hui, le « sans contact » permet, en ne tapant
pas son code, de gagner un peu de temps. Un seul
réseau bancaire (sur la dizaine que nous avons
les a
tapes duppolia
du paiement nana
contact ne font pas rtéven
Une carte de métro est mieux protégée!
L'empressement de certaines banques à équiper
leurs clients semble d'autant plus excessif que les
avantages du «sans contact» ne font pas rêver. Un
sondage publié par Le Parisien (21 janvier 2015)
montre que 57% des Français estiment le paiement sans contact « pas utile ». Certes, la technique permet de gagner quelques dizaines de secondes au moment du paiement et d'alléger ses
poches, mais au prix de moyens supplémentaires
pour les escrocs d'utiliser frauduleusement nos
étudiée) sollicite l'accord de
données bancaires. Avec le dispositif sans contact,
ses clients : La Banque postale.
tel qu'il est développé aujourd'hui, le risque est
LCL (Crédit lyonnais) est,
quant à lui, en position d'attente. Ses cartes bancaires ne
sont pas dotées du système.
Le réseau préfère observer prudemment l'accueil
par le public de ce mode de paiement. Toutes les
autres banques intègrent l'option par défaut, lors
du renouvellement de la carte. Au consommateur
de réclamer expressément une carte sans dispo-
sitif NFC s'il n'en veut pas! Une demande qui
relève parfois (notamment dans certaines
50 QUE CHOISIR 534
Le pompon est décroché par Axa Banque, qui
oppose une fin de non-recevoir à toutes les demandes de carte sans NFC. Et pour cause: selon
les conseillers en ligne, la banque ne fabriquerait
plus que des cartes pouvues de ce dispoSitif
double : d'une part, en cas de vol de la carte, il devient plus facile d'effectuer des paiements et re-
traits (le code n'est pas nécessaire); d'autre part,
les pirates peuvent aspirer les données au moment
où elles sont émises à distance par la carte. Ce
second risque est peut-être le plus problématique.
Pour pallier le premier, les établissements bancaires ont établi un plafonnement de dépenses
sans contact: 20 par transaction et de 80 à 100
par mois; au-delà, le code bancaire est à nouveau
réclamé. Mais les plafonds ne changent rien au
MARS 2015
Page 114
Reproduction interdite (Usage strictement interne)
Journal: QUE CHOISIR
Date Article: 01.03.2015
tALERTER
CARTE DE PAIEMENT SANS CONTACT
LA CARTE NFC EN OUELOUES MOTS
;11g't
'-
'PP11
4)
T'et
p Ma carte est-elle NFC?
'aZ
,z.er
p- Est-elle activée?
Si vous avez effectué un premier retrait
ou un premier paiement en magasin,
votre carte est active.
p. Comment s'effectue un paiement?
'
Il suffit d'approcher la carte bancaire
à 3 ou 4 cm du terminal de paiement.
La transaction s'effectue pour des
montants inférieurs à 20 E, plafonnés
de 80 à 100 E par mois.
risque de se faire subtiliser à distance ses données... Au contact d'un récepteur (terminal de
qu'il n'y ait rien entre la carte et l'antenne. Pour l'instant, ce n'est réalisable qu'en laboratoire», souligne le
paiement, téléphone, etc.), la puce numérique de la
carte NFC se met à émettre des ondes qui desent
les données. Un simple téléphone portable suffit au-
capitaine Thomas Souvignet, spécialiste en criminalistique numérique à la gendarmerie nationale.
Avec les cartes NFC les plus anciennes, dont cer-
jourd'hui pour les aspirer. Or, ces données ne sont pas
sécurisées par un chiffrement, contrairement, par
taines sont toujours en circulation, on peut, en
plus du numéro de la carte (16 chiffres) et de la
exemple, aux cartes Navigo du métro parisien. C'est
paradoxal: les cartes bancaires qui possèdent le dispositif NFC sont moins protégées qu'une carte per-
date de validité (4 chiffres) recueillir le nom et le
prénom du client, ainsi que la liste des cinq der-
mettant de prendre le métro », reproche Nicolas
Kershenbaùm, consultant sécurité au cabinet de
conseils en cybersécurité Lexsi.
(Cnil), qui s'en est émue en 2012, oblige désor-
Le piratage devient un jeu d'enfant
Après nous être renseignés auprès d'un expért de la
Gendarmerie nationale, nous avons tenté une opération de piratage. Il nous a suffi de deux secondes
pour afficher sur l'écran de notre téléphone portable
le numéro et la date de validité d'une carte bancaire
NFC. Il a juste fallu installer auparavant sur le
nières opérations bancaires réalisées. La Commission nationale de l'informatique et des libertés
mais les banques à ne plus
rendre accessibles ces informations. Mais le numéro de
carte et la date de validité sont
Les donnée.* pouvant âne
Zruiel sinisent pote
suffisants pour payer sur des un usage tnaudt,,,etvc
sites marchands qui ne réclament pas le cryptogramme à trois chiffres. Ce
dernier numéro est situé au dos de la carte; il n'est
pas accessible aux pirates quelle que soit la géné-
smartphone une application, très aisée à dénicher
sur Internet. Certes, il faut placer le téléphone tout
près de la carte... Mais cela n'a rien d'impossible,
par exemple dans une file d'attente. Les pirates
ration de carte bancaire. En France, le crypto-
pourraient aussi améliorer le dispositif avec du matériel plus sophistiqué permettant d'amplifier le signal, notamment avec une antenne. «Pourlemoment,
sieurs experts, le cryptogramme n'est de toute
façon pas un obstacle insurmontable pour des
nous n'avons pas constaté ce type de fraude. Pour inter-
ch-es, cela représente 999 possibilités. Ce n'est pas colossal. Avec des logiciels de type "Force brute", qui
existent déjà, on peut en venir à bout. Une combinaison
cepter les données NFC à une distance importante,
il faudrait une antenne d'une très forte puissance et
MEDIAFORMEDICAL/ALAMY/ANTHONY BROWN
Pour le savoir, rien de plus simple.
Repérez, sur le recto de votre carte,
le petit pictogramme ci-dessus.
QUE CHOISIR
ti e
Je
t5
gramme est réclamé pour sécuriser tous les paiements à distance (Internet et téléphone); mais pas
forcément dans tous les pays. En outre, selon plu-
pirates expérimentés : « Une combinaison à trois
MARS 2015
534 QUE CHOISIR 51
Page 2/4
Reproduction interdite (Usage strictement interne)
Date Article: 01.03.2015
Journal: QUE CHOISIR
ALERTER
j
CARTE DE PAIEMENT SANS CONTACT
Quelle* banque voua. !aiment le choix?
LIRE LE '17BLEALI
Nous avons posé les
mêmes questions à tous
les établissements:
l'accord express du
Vold, pour chaque
banque, la politique de
mise en place du
Paiement sans contact.
client est-il sollicité?
La renonciation (avec
ou sans frais) ou la
désactivation sont-elles
possibles? Nous
Indiquons ci-dessous
Accord express
du client
Renonciation
sans frais
La Banque postale
OUI
OUI
LCL (Crédit lyonnais)
Cartes non encore équipées NFC
BANQUE
les réponses des
établissements (qui les
engagent donc). Lorsque
plusieurs témoignages
identiques nous ont
Renonciation
avec frais
alertés sur des difficultés
par rapport au discours
affiché. nous avons noté
«Oui, mals. Nous avons
classé les banques de la
vlsà,vis de cette
technologie à la moins
respectueuse.
(1) n. c.: non communiqué. .
Désactivation
immédiate
Commentaires
NON
Accord express des clients demandé.
n. c.
N'a pas souhaité répondre.
Situation d'attente.
HSBC
n. c. ni
n. c.
Société générale
NON
OUI, mais...
Crédit mutuel-Arkea
NON
n. c.
n. c.
OUI
n. c.
Possibilité de désactiver en ligne.
Difficultés pour avoir une carte sans NFC.
n. c.
N'a pas souhaité répondre.
Difficultés pour ôbtenir une nouvelle
BNP Paribas
NON
OUI, mais...
NON, pour
l'Instant
carte sans NFC. La banque envisage la
désactivation sans réfection de la carte.
Crédit agricole
NON
Oui, mais...
NON
Difficultés pour obtenir une nouvelle
Boursorama banque
NON
NON
OUI
Possibilité de désactiver l'option NFC à
oartir de son compte en ligne.
Banques populaires
NON pour les cartes Visa NFC.
Cartes mastercard encore non
OUI, mals...
NON
équipées NFÇ,
Caisses d'épargne
NON
OUI, mais...
Axa banque
NON
NON
,
dee
NON
Difficultés pour obtenir une nouvelle carte
NON
Difficultés pour obtenir une nouvelle carte
NON
Propose un étui de protection.
Thomas Livet, consultant chez Sifaris, société
commerçant. Le montant est, bien sûr, faible,
s'agissant de petits paiements; mais il porte sur
la solution doit passer par le chiffrement du
Seule panade: chittnen
le minée) de la cante
et la date de. validité
numéro de la carte et de la date
de validité. «C'est le seul moyen
à ce jour de sécuriser le système.
Cela compliquerait considérable-
ment la tâche des pirates. Les
LONGUE DURÉE
e RESISTANT A l'EAU
C.,,156 isci11443 A/8 e MO 15693
Pour vous prémunir
contre le piratage,
mettez votre carte
bancaire dans un étui
conçu pour bloquer
les signaux NFC.
52 QUE CHOISIR 534
établissements bancaires semblent en tout cas
avoir fait le choix du « NFC pour tous». «Il est
possible de changer votre carte avec option sans contact
Leur coût a baissé en conséquence. On pourrait, par
exemple, utiliser des méthodes existantes, de type AES
ou 3DES, pour les cartes bancaires.»
agence parisienne de BNP-Paribas.
Crédit agricole, Caisses d'épargne, Banques po-
pulaires, BNP Paribas, CIC, Crédit mutuel,
NTI- PIRATAGE CB NFC
r
un gigantesque potentiel de transactions. Les petits ruisseaux, c'est bien connu, font les grandes
rivières... Intérêt financier ou pas, la majorité des
contre une carte classique, mais la procédure sera un
peu longue, car elle déroge à la norme. Aujourd'hui,
toutes nos cartes sont fabriquées avec le mode NFC»,
nous explique ainsi un conseiller au guichet d'une
technologies de cheement se sont
beaucoup démocratisées depuis l'essor des sites Internet.
-
sans NFC.
elles: chaque transaction par carte devrait générer
à terme une commission bancaire, à la charge du
' lui,
tee
sans NFC.
de 16 chiffres (correspondant au numéro de la carte
bancaire), c'est autrement plus complexe ! », assure
spécialisée dans l'analyse et la gestion des risques
des nouvelles technologies de l'information. Selon
VER 'TABLE PROTECTION
carte sans NFC.
NON
4
.1(,3
plus à l'écoute des clients
Pour les banques, sécuriser coûte trop cher
Pourquoi les banques n'ont-elles pas mis en place
de protocole de communication chiffré, à l'instar
de la RATP? Un expert qui collabore sur le dossier avec plusieurs banques avance une explication: «Chiner entraîne des coûts supplémentaires
Boursorama banque, Axa banque : tous ces établissements intègrent d'office l'option NFC lors
du renouvellement de la carte! Des explications,
plus ou moins en évidence (par lettre préalable,
plaquette publicitaire, note à la fin dit relevé' de
compte mensuel...) informent le client du chan-
importants. Il faut changer tout le stock de cartes. On
gement. Mais rien sur les risques, ni sur le fait que
l'absence de contestation vaut accord pour modification de son contrat avec la banque. Consultez
peut compter 10 à 20 par carte. Et il faut renouveler la totalité du parc de distributeurs automatiques
de billets; la facture représente des millions d'euros. »
Les établissements auraient ainsi pesé le pour et
le contre et décidé d'assumer le risque. D'autant
que le nouveau dispositif est plutôt porteur pour
les conditions générales de votre convention de
compte : un nouveau paragraphe s'y est glissé.
Mais combien l'ont repéré ? Or, c'est ensuite que
les choses peuvent devenir plus compliquées,
MARS 2015
Page 3/4
Reproduction interdite (Usage strictement interne)
Date Article: 01.03.2015
Journal: QUE CHOISIR
il ALERTER
CARTE DE PAIEMENT SANS CONTACT
EN PRATIQUE
Comment se défendre?
La carte
est vulnérable
au moment
L DELHOUniE/FOMLIA
d u paiement.
VOUS N'AVEZ PAS ENCORE DE CARTE NFC
Immo
votre carte bancaire
actuelle n'est pas dotée
de la technologie «sans
contact», mais elle
va être renouvelée dans
quelques mois. Vous
recevrez un courrier
plusieurs semaines
avant l'envoi de
la nouvelle carte.
Celui-ci devrait vous
comme le montrent de nombreux témoignages que
nous avons recueillis. Ainsi, Frédéric G., client
de la Caisse d'épargne Nord-Pas-de-Calais, obtient une réponse sans ambiguïté au guichet lorsqu'il demande à échanger la carte NFC qu'il vient
de recevoir contre une carte classique: «Impossible!» Le jeune homme insiste : «J'aifini par menacer de quitter la banque... et là, le conseiller est
revenu sur sa première affirmation. Il m'a proposé
d'interroger la direction. » Une semaine plus tard,
Frédéric recevaitune nouvelle carte sans l'option
NFC. Une habitante de Verneuil (Yvelines) a ef-
mation est donnée que le changement est possible !
comptes et trouvé une autre banque.
«En cas de fraude, on indemnise...»
Pour rassurer leurs clients, les établissements bancaires avancent des arguments, largement inspirés
par le GIE carte bancaire, qui réunit l'ensemble
des banques. Ces dernières rétorquent ainsi que
les clients n'ont, quoi qu'il arrive, pas de souci à
se faire : «En cas de paiement frauduleux, si le client
est de bonne foi, l'agence recrédite immédiatement le
compte », explique un résponsable. «Les transactions effectuées avec la fonction sans contact, donc sans
code confidentiel, ne supportent pas de franchise. Les
sommes indûment débitées sont donc intégralement
bancaire. Recontactez-le
quelques jours après
l'envoi pour vous
assurer qu'il a reçu
le message...
et l'a bien compris.
Efficace, sauf au moment
de payer: il faut retirer
l'étui. Un pirate installé
près de la caisse pourrait
siphonner les données
à cet instant;
> la troisième solution
a fait le tour d'Internet.
Les experts nous ont
confirmé son efficacité
(mais pas sa légitimité
juridique). Il faut repérer,
à l'aide d'une lampe
torche, la mina- antenne
circulaire qui sort de la
puce et longe le pourtour
de la carte. Il suffit de
l'endommager en la
grattant avec un cutter
sur un point éloigné de
la puce. La carte
n'émettra plus mais
permettra toujours le
paiement classique...
Les banques, qui sont
propriétaires des cartes,
pourraient contester la
détérioration en justice.
I
1
.1
VOTRE CARTE A ÉTÉ PIRATÉE
imam
Hélas, vous ne le saurez
que si vos données
ont été utilisées
frauduleusement. Car,
en soi, le piratage des
données ne laisse pas
ver». Quant à Philippe N., Axa banque a sobrement répondu par courrier à la même demande
«Désormais, il (le paiement sans contact, ndlr) est
tection. » Le consommateur a aussitôt fermé ses
existe trois solutions:
la plus sûre, et
inattaquable sur le plan
juridique, consiste à
renvoyer sa carte par
recommandé avec
accusé de réception
et à réclamer une carte
simple sans option;
la seconde est de se
munir d'un étui spécial.
Il agit comme une cage
de Faraday et bloque
le passage des ondes.
réclamation obtient finalement une réponse diffét'ente : le conseiller explique qu'il va se renseigner auprès du siège... Dans la journée, confir-
mis en place automatiquement sur toutes les cartes bancaires. Il n'est pas possible de supprimer la fonction...
Toutefois, nous pouvons vous proposer un étui de pro-
manifestez votre
désaccord par écrit
(courrier ou mail)
à votre conseiller
-
Il
qu'accéder à sa demande est «impossible», puis sa
plique-t-il, «la re-fabrication de la carte a été demandée car vous nous avez imposé une carte Bleue avec un
paiement sans contact et sans possibilité de le désacti-
La Banque postale
réclame l'accord de ses
clients avant de
fabriquer une carte NFC.
LCL (Crédit lyonnais),
n'a pas encore décidé
de commercialiser
l'option. Si vous ne
la souhaitez pas,
VOUS VENEZ DE RECEVOIR UNE CARTE NFC
"ma
fectué la même visite auprès de son agence du
Crédit agricole, après avoir reçu un courrier de
renouvellement de sa carte annonçant l'intégration de l'option NFC. On lui rétorque d'abord
Plus ennuyeux, M. et Mme F. ont constaté qué
l'agence de la Caisse d'épargne de Blagnac (37)
leur avait facturé 18 pour « re-fabrication de
CBI» (carte bancaire internationale). Le couple
exige le remboursement de cette somme car, ex-
informer qu'elle
comporte l'option NFC.
Pour l'instant, seule
de trace. Dès que vous
découvrez des
opérations douteuses
(pour cela, il faut vérifier
régulièrement ses
comptes), contestez-les
par écrit (mail ou lettre) i!
auprès de votre
conseiller bancaire. La
banque doit alors vous
recréditer les sommes
immédiatement.
6
remboursées», tient à préciser le GIE carte bancaire. Le problème, c'est que certains cas récents
montrent que le remboursement ne se révèle pas
toujours aussi simple. La demande traîne parfois
en longueur. Surtout, certains
établissements ont récemment
refusé de recréditer des débits
les
liés, selon les clients, à des
achats frauduleux effectués
sur Internet. Les banques ont
uea cherchent
à ?gammen main les
ts lea
trtedident
estimé que ces derniers n'avaient pas démontré
leur bonne foi. La loi fait pourtant clairement pe-
ser la charge de cette preuve sur la banque. Le
Crédit mutuel Nord de France, en particulier,
s'illustre étrangement sur ce terrain.
MARS 2015
534 QUE CHOISIR
53
Page 4/4

Documents pareils