Le paiement sans contact

Le paiement sans contact

janvier 16, 2018 0 Commentaires

Dans ce post je vais vous relayer un article du site cnetfrance, une équipe de journalistes et blogueurs spécialisés dans le High-tech et internet.

 

Faut-il avoir peur du paiement sans contact et comment limiter les risques de piratage

 

Extrait de l'émission On Est Pas Des Pigeons.

Le paiement sans contact, c’est pratique, pour de plus en plus de Français. Mais c’est aussi risqué. Face aux failles du NFC/RFID, des précautions s’imposent.

Avec une carte sans contact, plus besoin d’entrer de code secret : c’est payé, illico. Grâce au NFC/RFID, technologie sans fil à courte portée (10 cm entre 2 appareils), conçue pour permettre à votre smartphone de fonctionner comme une carte bancaire, ou à votre CB de marcher comme un “pass”.

Car c’est simple et rapide, 41% des français utilisent le paiement sans contact - 40,7 millions portent des cartes NFC, 10 millions utilisent leurs smartphones. Par rapport à 2015, la progression est fulgurante (+17 %, selon l’Observatoire du NFC).

Bien implanté en France, le “contactless” est utilisé à la boulangerie, au supermarché et dans les enseignes de restauration rapide. Selon Future Thinking, 19% des Français règlent chaque mois des achats sans contact avec une CB et 7% avec leur mobile, chez 383 000 commerçants. D’ici 2020, les cartes NFC/RFID devraient représenter 80% des CB en circulation, contre 60% actuellement.

NFC/RFID, technologie piratable


Problème, de taille : le sans contact est facilement piratable. En 2011, Renaud Lifchitz, ingénieur sécurité, mettait à jour "la faille", à savoir que les cartes utilisant le NFC/RFID n’utilisent pas de protocole chiffré. Il avait démontré qu’avec une clé USB NFC/RFID, ou un smartphone, il était possible de capter les ondes… et d’accéder à des données personnelles (nom, historique des transactions). 


La CNIL est saisie de la question, et depuis 2013, les infos personnelles ont disparu des CB sans contact. Du moins de celles du GIE des cartes bancaires (130 établissements de crédit). Car la moitié des cartes NFC/RFID sont émises par des enseignes de la grande distribution. Quant aux CB éditées avant 2013…

L’ère des “digital pickpockets”


Quid des risques de fraude ? Un hacker ne peut plus aspirer vos infos personnelles, mais il peut toujours “pirater” votre carte quand elle est dans votre sac.

Les paiements avec une carte NFC/RFID sont plafonnés à 20 € par achat, et on ne peut effectuer plus de 4 paiements par jour. Pas de risque, si on vous dérobe votre carte. Mais cela ne règle pas le problème du “paiement accidentel” : en 2013, la BBC rapportait le cas de clients de Marks et Spencer ayant payé 2 fois le même article… parce qu’ils avaient voulu utiliser une carte sans NFC/RFID, tout en approchant leur portefeuille, dans lequel se trouvait une 2e carte, sans contact.

Ce plafond ne règle pas non plus le risque de voir des hackers collecter d’autres infos, moins personnelles, mais suffisantes pour faire des achats en ligne (sans limitations) : il suffit “d’aspirer” le numéro de la carte et sa date de validité.

Récemment, un journaliste de SCMag a relaté sa rencontre avec un “frotteur 2.0” : dans le métro, “le type se cognait sur moi”, raconte-t-il. 20 £ lui ont été dérobées sur sa carte NFC/RFID. Du “digital pickpocketing”.

Selon l'Observatoire de la sécurité des cartes de paiement, les fraudes liées au sans contact équivalent à plus de la moitié des fraudes par “skimming” (au distributeur), pratique bien répandue. Sachant que le nombre de cartes NFC/RFID ne fait que croître, les fraudes au sans contact, bien réelles, risquent de devenir courantes.

Prenez vos précautions


Mais rassurez-vous :les banques sont tenues de vous proposer des cartes sans NFC/RFID si vous leur demandez. Vous pouvez aussi désactiver le sans contact à tout moment, sans frais. Si la banque rechigne, vous pouvez toujours faire un trou dans la carte… ou saisir la CNIL. Pour ma part, j'ai demandé une protection à ma banque, il n'en ont pas.

Si vous voulez continuer à utiliser le “contactless”, voici comment limiter les risques. Déjà, sachez que avez moins à craindre si vous utilisez un smartphone (paradoxal) : la fonctionnalité de paiement n’est pas activée en permanence - quand l’écran est éteint, il est impossible d’aspirer votre numéro de carte. Et de plus en plus d’applis de paiement mobile sont protégées par des codes PIN. Evitez toutefois, par précaution, de laisser le NFC/RFID allumé quand vous n’utilisez pas votre appareil.



Si vous avez un iPhone, il vous faudra attendre fin 2016 pour profiter d’Apple Pay, mais sachez que ce système de paiement génère des numéros de carte jetables, qui ne sont utilisables qu’une fois, ce qui vous mettra - théoriquement - à l’abri du piratage.

Concernant les cartes NFC/RFID, la solution est matérielle. Il vous faut vous munir d’un gadget en aluminium, faisant office de cage de Faraday, pour bloquer les infos de la carte. Vous pouvez mettre la main sur des étuis de protection, que votre banque est tenue de vous fournir gratuitement. Une solution un peu contraignante, car il vous faudra sortir l’étui du portefeuille, puis la carte de l’étui : un outil plus pratique, mais payant, peut être l'écran anti NFC/RFID. Du même format qu’une carte, fin comme une feuille, en aluminium, vous pouvez glisser ce “brouilleur” dans la fente où se trouve votre carte, afin de couper le signal de la puce.

Certes, lors du paiement en lui-même, le risque de piratage demeure, mais le risque de fraude sera limité si vous utilisez l’un de ces gadgets, les hackers préférant “sniffer” votre carte quand elle est bien au chaud dans votre sac. Ah oui, il est aussi conseillé de placer votre carte le plus haut possible sur vous lors d’un achat, et de surveiller vos relevés bancaires.
Il faut aussi savoir que ce genre de technologie existe déjà dans les nouveaux passeports, et bientôt les permis de conduite et carte d'identité. 
Source:http://www.cnetfrance.fr/news/paiement-sans-contact-limiter-risques-piratage-39836762.html