Les banques font le forcing - l`UFC
Transcription
Les banques font le forcing - l`UFC
ALERTER Un nouveau dispositif permet de payer sans insérer sa carte bancaire dans le terminal du commerçant et sans taper son code. Or, il présente d’importantes failles sécuritaires. Pourtant, la plupart des banques cherchent à l’imposer à leurs clients ! CARTE DE PAIEMENT SANS CONTACT Les banques font le forcing ÉLISA OUDIN C’ est en catimini, ou presque, que le paiement sans contact (ou NFC, pour Near Field Communication) est en train de débarquer sur nos cartes bancaires ! Il permet de payer immédiatement en approchant juste sa carte à 3 ou 4 cm d’un terminal. Et cela pour des sommes ne dépassant pas 20 €. L’objectif est finalement très voisin de celui de l’ancien porte-monnaie électronique Moneo que les banques n’étaient pas parvenues à imposer. Celui-ci permettait de régler par carte les petites dépenses de la vie courante, afin de remplacer la petite monnaie. Une différence : aujourd’hui, le « sans contact » permet, en ne tapant pas son code, de gagner un peu de temps. Un seul réseau bancaire (sur la dizaine que nous avons étudiée) sollicite l’accord de ses clients : La Banque postale. LCL (Crédit lyonnais) est, quant à lui, en position d’attente. Ses cartes bancaires ne sont pas dotées du système. Le réseau préfère observer prudemment l’accueil par le public de ce mode de paiement. Toutes les autres banques intègrent l’option par défaut, lors du renouvellement de la carte. Au consommateur de réclamer expressément une carte sans dispositif NFC s’il n’en veut pas ! Une demande qui relève parfois (notamment dans certaines Les avantages supposés du paiement sans contact ne font pas rêver Caisses d’épargne) du parcours du combattant… Le pompon est décroché par Axa Banque, qui oppose une fin de non-recevoir à toutes les demandes de carte sans NFC. Et pour cause : selon les conseillers en ligne, la banque ne fabriquerait plus que des cartes pouvues de ce dispositif. Une carte de métro est mieux protégée ! L’empressement de certaines banques à équiper leurs clients semble d’autant plus excessif que les avantages du « sans contact » ne font pas rêver. Un sondage publié par Le Parisien (21 janvier 2015) montre que 57 % des Français estiment le paiement sans contact « pas utile ». Certes, la technique permet de gagner quelques dizaines de secondes au moment du paiement et d’alléger ses poches, mais au prix de moyens supplémentaires pour les escrocs d’utiliser frauduleusement nos données bancaires. Avec le dispositif sans contact, tel qu’il est développé aujourd’hui, le risque est double : d’une part, en cas de vol de la carte, il devient plus facile d’effectuer des paiements et retraits (le code n’est pas nécessaire) ; d’autre part, les pirates peuvent aspirer les données au moment où elles sont émises à distance par la carte. Ce second risque est peut-être le plus problématique. Pour pallier le premier, les établissements bancaires ont établi un plafonnement de dépenses sans contact : 20 € par transaction et de 80 à 100 € par mois ; au-delà, le code bancaire est à nouveau réclamé. Mais les plafonds ne changent rien au 50 QUE CHOISIR 534 ◆ MARS 2015 QC534_50_53.indd 50 11/02/15 12:09 ALERTER CARTE DE PAIEMENT SANS CONTACT LA CARTE NFC EN QUELQUES MOTS Ma carte est-elle NFC ? MEDIAFORMEDICAL/ALAMY/ANTHONY BROWN Pour le savoir, rien de plus simple. Repérez, sur le recto de votre carte, le petit pictogramme ci-dessus. DIDIER CRÉTÉ POUR QUE CHOISIR Est-elle activée ? risque de se faire subtiliser à distance ses données… « Au contact d’un récepteur (terminal de paiement, téléphone, etc.), la puce numérique de la carte NFC se met à émettre des ondes qui diffusent les données. Un simple téléphone portable suffit aujourd’hui pour les aspirer. Or, ces données ne sont pas sécurisées par un chiff rement, contrairement, par exemple, aux cartes Navigo du métro parisien. C’est paradoxal : les cartes bancaires qui possèdent le dispositif NFC sont moins protégées qu’une carte permettant de prendre le métro », reproche Nicolas Kershenbaum, consultant sécurité au cabinet de conseils en cybersécurité Lexsi. Le piratage devient un jeu d’enfant Après nous être renseignés auprès d’un expert de la Gendarmerie nationale, nous avons tenté une opération de piratage. Il nous a suffi de deux secondes pour afficher sur l’écran de notre téléphone portable le numéro et la date de validité d’une carte bancaire NFC. Il a juste fallu installer auparavant sur le smartphone une application, très aisée à dénicher sur Internet. Certes, il faut placer le téléphone tout près de la carte… Mais cela n’a rien d’impossible, par exemple dans une file d’attente. Les pirates pourraient aussi améliorer le dispositif avec du matériel plus sophistiqué permettant d’amplifier le signal, notamment avec une antenne. « Pour le moment, nous n’avons pas constaté ce type de fraude. Pour intercepter les données NFC à une distance importante, il faudrait une antenne d’une très forte puissance et Si vous avez effectué un premier retrait ou un premier paiement en magasin, votre carte est active. Comment s’effectue un paiement ? Il suffit d’approcher la carte bancaire à 3 ou 4 cm du terminal de paiement. La transaction s’effectue pour des montants inférieurs à 20 €, plafonnés de 80 à 100 € par mois. qu’il n’y ait rien entre la carte et l’antenne. Pour l’instant, ce n’est réalisable qu’en laboratoire », souligne le capitaine Thomas Souvignet, spécialiste en criminalistique numérique à la gendarmerie nationale. Avec les cartes NFC les plus anciennes, dont certaines sont toujours en circulation, on peut, en plus du numéro de la carte (16 chiffres) et de la date de validité (4 chiffres) recueillir le nom et le prénom du client, ainsi que la liste des cinq dernières opérations bancaires réalisées. La Commission nationale de l’informatique et des libertés (Cnil), qui s’en est émue en 2012, oblige désormais les banques à ne plus rendre accessibles ces informations. Mais le numéro de carte et la date de validité sont suffisants pour payer sur des sites marchands qui ne réclament pas le cryptogramme à trois chiffres. Ce dernier numéro est situé au dos de la carte ; il n’est pas accessible aux pirates quelle que soit la génération de carte bancaire. En France, le cryptogramme est réclamé pour sécuriser tous les paiements à distance (Internet et téléphone) ; mais pas forcément dans tous les pays. En outre, selon plusieurs experts, le cryptogramme n’est de toute façon pas un obstacle insurmontable pour des pirates expérimentés : « Une combinaison à trois chiffres, cela représente 999 possibilités. Ce n’est pas colossal. Avec des logiciels de type “Force brute”, qui existent déjà, on peut en venir à bout. Une combinaison Les données pouvant être subtilisées suffisent pour un usage frauduleux MARS 2015 ◆ 534 QUE CHOISIR QC534_50_53.indd 51 >>> 51 11/02/15 12:09 ALERTER CARTE DE PAIEMENT SANS CONTACT Quelles banques vous laissent le choix ? LIRE LE TABLEAU Voici, pour chaque banque, la politique de mise en place du paiement sans contact. Nous avons posé les mêmes questions à tous les établissements : l’accord express du client est-il sollicité ? La renonciation (avec ou sans frais) ou la désactivation sont-elles possibles ? Nous indiquons ci-dessous Accord express du client Renonciation sans frais La Banque postale OUI LCL (Crédit lyonnais) Cartes non encore équipées NFC BANQUE HSBC n. c. (1) les réponses des établissements (qui les engagent donc). Lorsque plusieurs témoignages identiques nous ont alertés sur des difficultés par rapport au discours affiché, nous avons noté « Oui, mais ». Nous avons classé les banques de la plus à l’écoute des clients vis-à-vis de cette technologie à la moins respectueuse. (1) n. c. : non communiqué. Renonciation avec frais Désactivation immédiate Commentaires OUI - NON Accord express des clients demandé. - - - Situation d’attente. n. c. n. c. n. c. N’a pas souhaité répondre. Possibilité de désactiver en ligne. Difficultés pour avoir une carte sans NFC. Société générale NON OUI, mais... - OUI Crédit mutuel-Arkea NON n. c. n. c. n. c. N’a pas souhaité répondre. BNP Paribas NON OUI, mais... - NON, pour l’instant Difficultés pour obtenir une nouvelle carte sans NFC. La banque envisage la désactivation sans réfection de la carte. Crédit agricole NON OUI, mais... - NON Difficultés pour obtenir une nouvelle carte sans NFC. Boursorama banque NON NON NON OUI Possibilité de désactiver l’option NFC à partir de son compte en ligne. Cartes Mastercard encore non équipées NFC OUI, mais... - NON Difficultés pour obtenir une nouvelle carte sans NFC. Caisses d’épargne NON OUI, mais... - NON Difficultés pour obtenir une nouvelle carte sans NFC. Axa banque NON NON NON NON Propose un étui de protection. Banques populaires NON pour les cartes Visa NFC. de 16 chiffres (correspondant au numéro de la carte bancaire), c’est autrement plus complexe ! », assure Thomas Livet, consultant chez Sifaris, société spécialisée dans l’analyse et la gestion des risques des nouvelles technologies de l’information. Selon lui, la solution doit passer par le chiffrement du numéro de la carte et de la date de validité. « C’est le seul moyen à ce jour de sécuriser le système. Cela compliquerait considérablement la tâche des pirates. Les technologies de chiffrement se sont beaucoup démocratisées depuis l’essor des sites Internet. Leur coût a baissé en conséquence. On pourrait, par exemple, utiliser des méthodes existantes, de type AES ou 3DES, pour les cartes bancaires. » >>> Seule parade : chiffrer le numéro de la carte et la date de validité Pour les banques, sécuriser coûte trop cher Pour vous prémunir contre le piratage, mettez votre carte bancaire dans un étui conçu pour bloquer les signaux NFC. Pourquoi les banques n’ont-elles pas mis en place de protocole de communication chiffré, à l’instar de la RATP ? Un expert qui collabore sur le dossier avec plusieurs banques avance une explication : « Chiff rer entraîne des coûts supplémentaires importants. Il faut changer tout le stock de cartes. On peut compter 10 à 20 € par carte. Et il faut renouveler la totalité du parc de distributeurs automatiques de billets ; la facture représente des millions d’euros. » Les établissements auraient ainsi pesé le pour et le contre et décidé d’assumer le risque. D’autant que le nouveau dispositif est plutôt porteur pour elles : chaque transaction par carte devrait générer à terme une commission bancaire, à la charge du commerçant. Le montant est, bien sûr, faible, s’agissant de petits paiements ; mais il porte sur un gigantesque potentiel de transactions. Les petits ruisseaux, c’est bien connu, font les grandes rivières… Intérêt financier ou pas, la majorité des établissements bancaires semblent en tout cas avoir fait le choix du « NFC pour tous ». « Il est possible de changer votre carte avec option sans contact contre une carte classique, mais la procédure sera un peu longue, car elle déroge à la norme. Aujourd’hui, toutes nos cartes sont fabriquées avec le mode NFC », nous explique ainsi un conseiller au guichet d’une agence parisienne de BNP-Paribas. Crédit agricole, Caisses d’épargne, Banques populaires, BNP Paribas, CIC, Crédit mutuel, Boursorama banque, Axa banque : tous ces établissements intègrent d’office l’option NFC lors du renouvellement de la carte. Des explications, plus ou moins en évidence (par lettre préalable, plaquette publicitaire, note à la fin du relevé de compte mensuel…) informent le client du changement. Mais rien sur les risques, ni sur le fait que l’absence de contestation vaut accord pour modification de son contrat avec la banque. Consultez les conditions générales de votre convention de compte : un nouveau paragraphe s’y est glissé. Mais combien l’ont repéré ? Or, c’est ensuite que les choses peuvent devenir plus compliquées, 52 QUE CHOISIR 534 ◆ MARS 2015 QC534_50_53.indd 52 11/02/15 12:09 ALERTER CARTE DE PAIEMENT SANS CONTACT EN PRATIQUE L. DELHOURME/FOTOLIA La carte est vulnérable au moment du paiement. comme le montrent de nombreux témoignages que nous avons recueillis. Ainsi, Frédéric G., client de la Caisse d’épargne Nord-Pas-de-Calais, obtient une réponse sans ambiguïté au guichet lorsqu’il demande à échanger la carte NFC qu’il vient de recevoir contre une carte classique : « Impossible ! » Le jeune homme insiste : « J’ai fini par menacer de quitter la banque… et là, le conseiller est revenu sur sa première affirmation. Il m’a proposé d’interroger la direction. » Une semaine plus tard, Frédéric recevait une nouvelle carte sans l’option NFC. Une habitante de Verneuil (Yvelines) a effectué la même visite auprès de son agence du Crédit agricole, après avoir reçu un courrier de renouvellement de sa carte annonçant l’intégration de l’option NFC. On lui rétorque d’abord qu’accéder à sa demande est « impossible », puis sa réclamation obtient finalement une réponse différente : le conseiller explique qu’il va se renseigner auprès du siège… Dans la journée, confirmation est donnée que le changement est possible ! Plus ennuyeux, M. et Mme F. ont constaté que l’agence de la Caisse d’épargne de Blagnac (37) leur avait facturé 18 € pour « re-fabrication de CBI » (carte bancaire internationale). Le couple exige le remboursement de cette somme car, explique-t-il, « la re-fabrication de la carte a été demandée car vous nous avez imposé une carte Bleue avec un paiement sans contact et sans possibilité de le désactiver ». Quant à Philippe N., Axa banque a sobrement répondu par courrier à la même demande : « Désormais, il (le paiement sans contact, ndlr) est mis en place automatiquement sur toutes les cartes bancaires. Il n’est pas possible de supprimer la fonction… Toutefois, nous pouvons vous proposer un étui de protection. » Le consommateur a aussitôt fermé ses comptes et trouvé une autre banque. « En cas de fraude, on indemnise… » Pour rassurer leurs clients, les établissements bancaires avancent des arguments, largement inspirés par le GIE carte bancaire, qui réunit l’ensemble des banques. Ces dernières rétorquent ainsi que les clients n’ont, quoi qu’il arrive, pas de souci à se faire : « En cas de paiement frauduleux, si le client est de bonne foi, l’agence recrédite immédiatement le compte », explique un responsable. « Les transactions effectuées avec la fonction sans contact, donc sans code confidentiel, ne supportent pas de franchise. Les sommes indûment débitées sont donc intégralement Comment se défendre ? VOUS N’AVEZ PAS ENCORE DE CARTE NFC Votre carte bancaire actuelle n’est pas dotée de la technologie « sans contact », mais elle va être renouvelée dans quelques mois. Vous recevrez un courrier plusieurs semaines avant l’envoi de la nouvelle carte. Celui-ci devrait vous informer qu’elle comporte l’option NFC. Pour l’instant, seule La Banque postale réclame l’accord de ses clients avant de fabriquer une carte NFC. LCL (Crédit lyonnais), n’a pas encore décidé de commercialiser l’option. Si vous ne la souhaitez pas, manifestez votre désaccord par écrit (courrier ou mail) à votre conseiller bancaire. Recontactez-le quelques jours après l’envoi pour vous assurer qu’il a reçu le message… et l’a bien compris. VOUS VENEZ DE RECEVOIR UNE CARTE NFC Il existe trois solutions : la plus sûre, et inattaquable sur le plan juridique, consiste à renvoyer sa carte par recommandé avec accusé de réception et à réclamer une carte simple sans option ; la seconde est de se munir d’un étui spécial. Il agit comme une cage de Faraday et bloque le passage des ondes. Efficace, sauf au moment de payer : il faut retirer l’étui. Un pirate installé près de la caisse pourrait siphonner les données à cet instant ; la troisième solution a fait le tour d’Internet. Les experts nous ont confirmé son efficacité (mais pas sa légitimité juridique). Il faut repérer, à l’aide d’une lampe torche, la mini-antenne circulaire qui sort de la puce et longe le pourtour de la carte. Il suffit de l’endommager en la grattant avec un cutter sur un point éloigné de la puce. La carte n’émettra plus mais permettra toujours le paiement classique... Les banques, qui sont propriétaires des cartes, pourraient contester la détérioration en justice. VOTRE CARTE A ÉTÉ PIRATÉE Hélas, vous ne le saurez que si vos données ont été utilisées frauduleusement. Car, en soi, le piratage des données ne laisse pas de trace. Dès que vous découvrez des opérations douteuses (pour cela, il faut vérifier régulièrement ses comptes), contestez-les par écrit (mail ou lettre) auprès de votre conseiller bancaire. La banque doit alors vous recréditer les sommes immédiatement. remboursées », tient à préciser le GIE carte bancaire. Le problème, c’est que certains cas récents montrent que le remboursement ne se révèle pas toujours aussi simple. La demande traîne parfois en longueur. Surtout, certains établissements ont récemment refusé de recréditer des débits liés, selon les clients, à des achats frauduleux effectués sur Internet. Les banques ont estimé que ces derniers n’avaient pas démontré leur bonne foi. La loi fait pourtant clairement peser la charge de cette preuve sur la banque. Le Crédit mutuel Nord de France, en particulier, s’illustre étrangement sur ce terrain. ◆ Les banques cherchent à rassurer mais les faits les contredisent MARS 2015 ◆ 534 QUE CHOISIR QC534_50_53.indd 53 53 11/02/15 12:09