Les banques font le forcing - l`UFC

ALERTER
Un nouveau dispositif permet de payer sans insérer sa carte
bancaire dans le terminal du commerçant et sans taper son
code. Or, il présente d’importantes failles sécuritaires. Pourtant,
la plupart des banques cherchent à l’imposer à leurs clients !
CARTE DE PAIEMENT SANS CONTACT
Les banques
font le forcing
ÉLISA OUDIN
C’
est en catimini, ou presque, que le paiement sans contact (ou NFC, pour
Near Field Communication) est en
train de débarquer sur nos cartes
bancaires ! Il permet de payer immédiatement en
approchant juste sa carte à 3 ou 4 cm d’un terminal. Et cela pour des sommes ne dépassant pas
20 €. L’objectif est finalement très voisin de celui
de l’ancien porte-monnaie électronique Moneo
que les banques n’étaient pas parvenues à imposer. Celui-ci permettait de régler par carte les
petites dépenses de la vie courante, afin de remplacer la petite monnaie. Une différence : aujourd’hui, le « sans contact » permet, en ne tapant
pas son code, de gagner un peu de temps. Un seul
réseau bancaire (sur la dizaine que nous avons
étudiée) sollicite l’accord de
ses clients : La Banque postale.
LCL (Crédit lyonnais) est,
quant à lui, en position d’attente. Ses cartes bancaires ne
sont pas dotées du système.
Le réseau préfère observer prudemment l’accueil
par le public de ce mode de paiement. Toutes les
autres banques intègrent l’option par défaut, lors
du renouvellement de la carte. Au consommateur
de réclamer expressément une carte sans dispositif NFC s’il n’en veut pas ! Une demande qui
relève parfois (notamment dans certaines
Les avantages supposés
du paiement sans
contact ne font pas rêver
Caisses d’épargne) du parcours du combattant…
Le pompon est décroché par Axa Banque, qui
oppose une fin de non-recevoir à toutes les demandes de carte sans NFC. Et pour cause : selon
les conseillers en ligne, la banque ne fabriquerait
plus que des cartes pouvues de ce dispositif.
Une carte de métro est mieux protégée !
L’empressement de certaines banques à équiper
leurs clients semble d’autant plus excessif que les
avantages du « sans contact » ne font pas rêver. Un
sondage publié par Le Parisien (21 janvier 2015)
montre que 57 % des Français estiment le paiement sans contact « pas utile ». Certes, la technique permet de gagner quelques dizaines de secondes au moment du paiement et d’alléger ses
poches, mais au prix de moyens supplémentaires
pour les escrocs d’utiliser frauduleusement nos
données bancaires. Avec le dispositif sans contact,
tel qu’il est développé aujourd’hui, le risque est
double : d’une part, en cas de vol de la carte, il devient plus facile d’effectuer des paiements et retraits (le code n’est pas nécessaire) ; d’autre part,
les pirates peuvent aspirer les données au moment
où elles sont émises à distance par la carte. Ce
second risque est peut-être le plus problématique.
Pour pallier le premier, les établissements bancaires ont établi un plafonnement de dépenses
sans contact : 20 € par transaction et de 80 à 100 €
par mois ; au-delà, le code bancaire est à nouveau
réclamé. Mais les plafonds ne changent rien au
50 QUE CHOISIR 534 ◆ MARS 2015
QC534_50_53.indd 50
11/02/15 12:09
ALERTER
CARTE DE PAIEMENT SANS CONTACT

LA CARTE NFC EN QUELQUES MOTS
Ma carte est-elle NFC ?
MEDIAFORMEDICAL/ALAMY/ANTHONY BROWN
Pour le savoir, rien de plus simple.
Repérez, sur le recto de votre carte,
le petit pictogramme ci-dessus.
DIDIER CRÉTÉ POUR QUE CHOISIR
Est-elle activée ?
risque de se faire subtiliser à distance ses données… « Au contact d’un récepteur (terminal de
paiement, téléphone, etc.), la puce numérique de la
carte NFC se met à émettre des ondes qui diffusent
les données. Un simple téléphone portable suffit aujourd’hui pour les aspirer. Or, ces données ne sont pas
sécurisées par un chiff rement, contrairement, par
exemple, aux cartes Navigo du métro parisien. C’est
paradoxal : les cartes bancaires qui possèdent le dispositif NFC sont moins protégées qu’une carte permettant de prendre le métro », reproche Nicolas
Kershenbaum, consultant sécurité au cabinet de
conseils en cybersécurité Lexsi.
Le piratage devient un jeu d’enfant
Après nous être renseignés auprès d’un expert de la
Gendarmerie nationale, nous avons tenté une opération de piratage. Il nous a suffi de deux secondes
pour afficher sur l’écran de notre téléphone portable
le numéro et la date de validité d’une carte bancaire
NFC. Il a juste fallu installer auparavant sur le
smartphone une application, très aisée à dénicher
sur Internet. Certes, il faut placer le téléphone tout
près de la carte… Mais cela n’a rien d’impossible,
par exemple dans une file d’attente. Les pirates
pourraient aussi améliorer le dispositif avec du matériel plus sophistiqué permettant d’amplifier le signal, notamment avec une antenne. « Pour le moment,
nous n’avons pas constaté ce type de fraude. Pour intercepter les données NFC à une distance importante,
il faudrait une antenne d’une très forte puissance et
Si vous avez effectué un premier retrait
ou un premier paiement en magasin,
votre carte est active.
Comment s’effectue un paiement ?
Il suffit d’approcher la carte bancaire
à 3 ou 4 cm du terminal de paiement.
La transaction s’effectue pour des
montants inférieurs à 20 €, plafonnés
de 80 à 100 € par mois.
qu’il n’y ait rien entre la carte et l’antenne. Pour l’instant, ce n’est réalisable qu’en laboratoire », souligne le
capitaine Thomas Souvignet, spécialiste en criminalistique numérique à la gendarmerie nationale.
Avec les cartes NFC les plus anciennes, dont certaines sont toujours en circulation, on peut, en
plus du numéro de la carte (16 chiffres) et de la
date de validité (4 chiffres) recueillir le nom et le
prénom du client, ainsi que la liste des cinq dernières opérations bancaires réalisées. La Commission nationale de l’informatique et des libertés
(Cnil), qui s’en est émue en 2012, oblige désormais les banques à ne plus
rendre accessibles ces informations. Mais le numéro de
carte et la date de validité sont
suffisants pour payer sur des
sites marchands qui ne réclament pas le cryptogramme à trois chiffres. Ce
dernier numéro est situé au dos de la carte ; il n’est
pas accessible aux pirates quelle que soit la génération de carte bancaire. En France, le cryptogramme est réclamé pour sécuriser tous les paiements à distance (Internet et téléphone) ; mais pas
forcément dans tous les pays. En outre, selon plusieurs experts, le cryptogramme n’est de toute
façon pas un obstacle insurmontable pour des
pirates expérimentés : « Une combinaison à trois
chiffres, cela représente 999 possibilités. Ce n’est pas colossal. Avec des logiciels de type “Force brute”, qui
existent déjà, on peut en venir à bout. Une combinaison
Les données pouvant être
subtilisées suffisent pour
un usage frauduleux
MARS 2015 ◆ 534 QUE CHOISIR
QC534_50_53.indd 51
>>>
51
11/02/15 12:09
ALERTER
CARTE DE PAIEMENT SANS CONTACT
Quelles banques vous laissent le choix ?

LIRE LE TABLEAU
Voici, pour chaque
banque, la politique de
mise en place du
paiement sans contact.
Nous avons posé les
mêmes questions à tous
les établissements :
l’accord express du
client est-il sollicité ?
La renonciation (avec
ou sans frais) ou la
désactivation sont-elles
possibles ? Nous
indiquons ci-dessous
Accord express
du client
Renonciation
sans frais
La Banque postale
OUI
LCL (Crédit lyonnais)
Cartes non encore équipées NFC
BANQUE
HSBC
n. c.
(1)
les réponses des
établissements (qui les
engagent donc). Lorsque
plusieurs témoignages
identiques nous ont
alertés sur des difficultés
par rapport au discours
affiché, nous avons noté
« Oui, mais ». Nous avons
classé les banques de la
plus à l’écoute des clients
vis-à-vis de cette
technologie à la moins
respectueuse.
(1) n. c. : non communiqué.
Renonciation
avec frais
Désactivation
immédiate
Commentaires
OUI
-
NON
Accord express des clients demandé.
-
-
-
Situation d’attente.
n. c.
n. c.
n. c.
N’a pas souhaité répondre.
Possibilité de désactiver en ligne.
Difficultés pour avoir une carte sans NFC.
Société générale
NON
OUI, mais...
-
OUI
Crédit mutuel-Arkea
NON
n. c.
n. c.
n. c.
N’a pas souhaité répondre.
BNP Paribas
NON
OUI, mais...
-
NON, pour
l’instant
Difficultés pour obtenir une nouvelle
carte sans NFC. La banque envisage la
désactivation sans réfection de la carte.
Crédit agricole
NON
OUI, mais...
-
NON
Difficultés pour obtenir une nouvelle
carte sans NFC.
Boursorama banque
NON
NON
NON
OUI
Possibilité de désactiver l’option NFC à
partir de son compte en ligne.
Cartes Mastercard encore non
équipées NFC
OUI, mais...
-
NON
Difficultés pour obtenir une nouvelle carte
sans NFC.
Caisses d’épargne
NON
OUI, mais...
-
NON
Difficultés pour obtenir une nouvelle carte
sans NFC.
Axa banque
NON
NON
NON
NON
Propose un étui de protection.
Banques populaires
NON pour les cartes Visa NFC.
de 16 chiffres (correspondant au numéro de la carte
bancaire), c’est autrement plus complexe ! », assure
Thomas Livet, consultant chez Sifaris, société
spécialisée dans l’analyse et la gestion des risques
des nouvelles technologies de l’information. Selon
lui, la solution doit passer par le chiffrement du
numéro de la carte et de la date
de validité. « C’est le seul moyen
à ce jour de sécuriser le système.
Cela compliquerait considérablement la tâche des pirates. Les
technologies de chiffrement se sont
beaucoup démocratisées depuis l’essor des sites Internet.
Leur coût a baissé en conséquence. On pourrait, par
exemple, utiliser des méthodes existantes, de type AES
ou 3DES, pour les cartes bancaires. »
>>>
Seule parade : chiffrer
le numéro de la carte
et la date de validité
Pour les banques, sécuriser coûte trop cher
Pour vous prémunir
contre le piratage,
mettez votre carte
bancaire dans un étui
conçu pour bloquer
les signaux NFC.
Pourquoi les banques n’ont-elles pas mis en place
de protocole de communication chiffré, à l’instar
de la RATP ? Un expert qui collabore sur le dossier avec plusieurs banques avance une explication : « Chiff rer entraîne des coûts supplémentaires
importants. Il faut changer tout le stock de cartes. On
peut compter 10 à 20 € par carte. Et il faut renouveler la totalité du parc de distributeurs automatiques
de billets ; la facture représente des millions d’euros. »
Les établissements auraient ainsi pesé le pour et
le contre et décidé d’assumer le risque. D’autant
que le nouveau dispositif est plutôt porteur pour
elles : chaque transaction par carte devrait générer
à terme une commission bancaire, à la charge du
commerçant. Le montant est, bien sûr, faible,
s’agissant de petits paiements ; mais il porte sur
un gigantesque potentiel de transactions. Les petits ruisseaux, c’est bien connu, font les grandes
rivières… Intérêt financier ou pas, la majorité des
établissements bancaires semblent en tout cas
avoir fait le choix du « NFC pour tous ». « Il est
possible de changer votre carte avec option sans contact
contre une carte classique, mais la procédure sera un
peu longue, car elle déroge à la norme. Aujourd’hui,
toutes nos cartes sont fabriquées avec le mode NFC »,
nous explique ainsi un conseiller au guichet d’une
agence parisienne de BNP-Paribas.
Crédit agricole, Caisses d’épargne, Banques populaires, BNP Paribas, CIC, Crédit mutuel,
Boursorama banque, Axa banque : tous ces établissements intègrent d’office l’option NFC lors
du renouvellement de la carte. Des explications,
plus ou moins en évidence (par lettre préalable,
plaquette publicitaire, note à la fin du relevé de
compte mensuel…) informent le client du changement. Mais rien sur les risques, ni sur le fait que
l’absence de contestation vaut accord pour modification de son contrat avec la banque. Consultez
les conditions générales de votre convention de
compte : un nouveau paragraphe s’y est glissé.
Mais combien l’ont repéré ? Or, c’est ensuite que
les choses peuvent devenir plus compliquées,
52 QUE CHOISIR 534 ◆ MARS 2015
QC534_50_53.indd 52
11/02/15 12:09
ALERTER
CARTE DE PAIEMENT SANS CONTACT
EN PRATIQUE
L. DELHOURME/FOTOLIA
La carte
est vulnérable
au moment
du paiement.
comme le montrent de nombreux témoignages que
nous avons recueillis. Ainsi, Frédéric G., client
de la Caisse d’épargne Nord-Pas-de-Calais, obtient une réponse sans ambiguïté au guichet lorsqu’il demande à échanger la carte NFC qu’il vient
de recevoir contre une carte classique : « Impossible ! » Le jeune homme insiste : « J’ai fini par menacer de quitter la banque… et là, le conseiller est
revenu sur sa première affirmation. Il m’a proposé
d’interroger la direction. » Une semaine plus tard,
Frédéric recevait une nouvelle carte sans l’option
NFC. Une habitante de Verneuil (Yvelines) a effectué la même visite auprès de son agence du
Crédit agricole, après avoir reçu un courrier de
renouvellement de sa carte annonçant l’intégration de l’option NFC. On lui rétorque d’abord
qu’accéder à sa demande est « impossible », puis sa
réclamation obtient finalement une réponse différente : le conseiller explique qu’il va se renseigner auprès du siège… Dans la journée, confirmation est donnée que le changement est possible !
Plus ennuyeux, M. et Mme F. ont constaté que
l’agence de la Caisse d’épargne de Blagnac (37)
leur avait facturé 18 € pour « re-fabrication de
CBI » (carte bancaire internationale). Le couple
exige le remboursement de cette somme car, explique-t-il, « la re-fabrication de la carte a été demandée car vous nous avez imposé une carte Bleue avec un
paiement sans contact et sans possibilité de le désactiver ». Quant à Philippe N., Axa banque a sobrement répondu par courrier à la même demande :
« Désormais, il (le paiement sans contact, ndlr) est
mis en place automatiquement sur toutes les cartes bancaires. Il n’est pas possible de supprimer la fonction…
Toutefois, nous pouvons vous proposer un étui de protection. » Le consommateur a aussitôt fermé ses
comptes et trouvé une autre banque.
« En cas de fraude, on indemnise… »
Pour rassurer leurs clients, les établissements bancaires avancent des arguments, largement inspirés
par le GIE carte bancaire, qui réunit l’ensemble
des banques. Ces dernières rétorquent ainsi que
les clients n’ont, quoi qu’il arrive, pas de souci à
se faire : « En cas de paiement frauduleux, si le client
est de bonne foi, l’agence recrédite immédiatement le
compte », explique un responsable. « Les transactions effectuées avec la fonction sans contact, donc sans
code confidentiel, ne supportent pas de franchise. Les
sommes indûment débitées sont donc intégralement
Comment se défendre ?
VOUS N’AVEZ PAS ENCORE DE CARTE NFC
Votre carte bancaire
actuelle n’est pas dotée
de la technologie « sans
contact », mais elle
va être renouvelée dans
quelques mois. Vous
recevrez un courrier
plusieurs semaines
avant l’envoi de
la nouvelle carte.
Celui-ci devrait vous
informer qu’elle
comporte l’option NFC.
Pour l’instant, seule
La Banque postale
réclame l’accord de ses
clients avant de
fabriquer une carte NFC.
LCL (Crédit lyonnais),
n’a pas encore décidé
de commercialiser
l’option. Si vous ne
la souhaitez pas,
manifestez votre
désaccord par écrit
(courrier ou mail)
à votre conseiller
bancaire. Recontactez-le
quelques jours après
l’envoi pour vous
assurer qu’il a reçu
le message…
et l’a bien compris.
VOUS VENEZ DE RECEVOIR UNE CARTE NFC
Il existe trois solutions :
 la plus sûre, et
inattaquable sur le plan
juridique, consiste à
renvoyer sa carte par
recommandé avec
accusé de réception
et à réclamer une carte
simple sans option ;
 la seconde est de se
munir d’un étui spécial.
Il agit comme une cage
de Faraday et bloque
le passage des ondes.
Efficace, sauf au moment
de payer : il faut retirer
l’étui. Un pirate installé
près de la caisse pourrait
siphonner les données
à cet instant ;
 la troisième solution
a fait le tour d’Internet.
Les experts nous ont
confirmé son efficacité
(mais pas sa légitimité
juridique). Il faut repérer,
à l’aide d’une lampe
torche, la mini-antenne
circulaire qui sort de la
puce et longe le pourtour
de la carte. Il suffit de
l’endommager en la
grattant avec un cutter
sur un point éloigné de
la puce. La carte
n’émettra plus mais
permettra toujours le
paiement classique...
Les banques, qui sont
propriétaires des cartes,
pourraient contester la
détérioration en justice.
VOTRE CARTE A ÉTÉ PIRATÉE
Hélas, vous ne le saurez
que si vos données
ont été utilisées
frauduleusement. Car,
en soi, le piratage des
données ne laisse pas
de trace. Dès que vous
découvrez des
opérations douteuses
(pour cela, il faut vérifier
régulièrement ses
comptes), contestez-les
par écrit (mail ou lettre)
auprès de votre
conseiller bancaire. La
banque doit alors vous
recréditer les sommes
immédiatement.
remboursées », tient à préciser le GIE carte bancaire. Le problème, c’est que certains cas récents
montrent que le remboursement ne se révèle pas
toujours aussi simple. La demande traîne parfois
en longueur. Surtout, certains
établissements ont récemment
refusé de recréditer des débits
liés, selon les clients, à des
achats frauduleux effectués
sur Internet. Les banques ont
estimé que ces derniers n’avaient pas démontré
leur bonne foi. La loi fait pourtant clairement peser la charge de cette preuve sur la banque. Le
Crédit mutuel Nord de France, en particulier,
s’illustre étrangement sur ce terrain. ◆
Les banques cherchent
à rassurer mais les
faits les contredisent
MARS 2015 ◆ 534 QUE CHOISIR
QC534_50_53.indd 53
53
11/02/15 12:09