Le paiement sans contact est un nouveau dispositif qui permet de payer sans insérer sa carte bancaire dans le terminal du commerçant et donc sans taper son code.

Or, il faut savoir que ce système présente  d’importantes failles sécuritaires et pourtant, la plupart des banques cherchent à l’imposer à leurs clients !

Le paiement sans contact également appelé paiement NFC dont l’abréviation en anglais est Near Field Communication permet de payer immédiatement en approchant juste sa carte à 3 ou 4 cm d’un terminal pour des sommes ne dépassant pas 20 €.

Comment peut-on savoir si notre carte est avec ou sans contact ?

Pour le savoir, rien de plus simple. Repérez, sur le recto de votre carte, le petit pictogramme composé de 4 petits traits noirs de taille dégradée. Si vous l’avez c’est que vous avez une carte à paiement sans contact.

 Quel est l’objectif ?

L’objectif est  très voisin de celui de l’ancien porte-monnaie électronique Moneo que les banques ne sont pas parvenues à imposer. Celui-ci permettait de régler par carte les petites dépenses de la vie courante, afin de remplacer la petite monnaie. Une différence : aujourd’hui, le « sans contact » permet, en ne tapant pas son code, de gagner un peu de temps.

Est-ce que les banques demandent l’accord de leur client avant d’envoyer la carte bancaire ?

Un seul réseau bancaire (sur la dizaine que nous avons étudiée) sollicite l’accord de ses clients : La Banque postale.

LCL (Crédit lyonnais) est, quant à lui, en position d’attente. Ses cartes bancaires ne sont pas dotées du système. Le réseau préfère observer prudemment l’accueil par le public de ce mode de paiement.

Toutes les autres banques intègrent l’option par défaut, lors du renouvellement de la carte. Au consommateur de réclamer expressément une carte sans dispositif NFC s’il n’en veut pas ! Une demande qui relève parfois (notamment dans certaines Caisses d’épargne) du parcours du combattant… Le pompon est décroché par Axa Banque, qui oppose une fin de non-recevoir à toutes les demandes de carte sans contact. Et pour cause : selon les conseillers en ligne, la banque ne fabriquerait plus que des cartes pourvues de ce dispositif.

Certes, la technique permet de gagner quelques dizaines de secondes au moment du paiement et d’alléger ses poches, mais au prix de moyens supplémentaires pour les escrocs d’utiliser frauduleusement nos données bancaires. Avec le dispositif sans contact, tel qu’il est développé aujourd’hui, le risque est double : d’une part, en cas de vol de la carte, il devient plus facile d’effectuer des paiements et retraits (le code n’est pas nécessaire) ; d’autre part, les pirates peuvent aspirer les données au moment où elles sont émises à distance par la carte. Ce second risque est peut-être le plus problématique. Pour pallier le premier, les établissements bancaires ont établi un plafonnement de dépenses sans contact: 20 € par transaction et de 80 à 100 € par mois ; au-delà, le code bancaire est à nouveau réclamé. Mais les plafonds ne changent rien au risque de se faire subtiliser à distance ses données…

Le piratage devient un jeu d’enfant

Après s’être renseignée auprès d’un expert de la Gendarmerie nationale, la fédération d’UFC-Que Choisir a tenté une opération de piratage. Il  lui a suffi de deux secondes pour afficher sur l’écran du téléphone portable le numéro et la date de validité d’une carte bancaire NFC. Il a juste fallu installer auparavant sur le Smartphone une application, très aisée à dénicher sur Internet. Certes, il faut placer le téléphone tout près de la carte… Mais cela n’a rien d’impossible, par exemple dans une file d’attente.

Avec les cartes NFC les plus anciennes, dont certaines sont toujours en circulation, on peut, en plus du numéro de la carte (16 chiffres) et de la date de validité (4 chiffres) recueillir le nom et le prénom du client, ainsi que la liste des cinq dernières opérations bancaires réalisées.

En pratique : Comment se défendre ?

Si vous n’avez pas encore de carte NFC

Votre carte bancaire actuelle n’est pas dotée de la technologie « sans contact », mais elle va être renouvelée dans quelques mois. Vous recevrez un courrier plusieurs semaines avant l’envoi de la nouvelle carte. Celui-ci devrait vous informer qu’elle comporte l’option NFC. Si vous ne la souhaitez pas, manifestez votre désaccord par écrit (courrier ou mail) à votre conseiller bancaire. Recontactez-le quelques jours après l’envoi pour vous assurer qu’il a reçu le message… et l’a bien compris.

Si vous venez de recevoir une carte NFC

Il existe deux solutions :

• la plus sûre, et inattaquable sur le plan juridique, consiste à renvoyer sa carte par recommandé avec accusé de réception et à réclamer une carte simple sans option ;
• la seconde est de se munir d’un étui spécial. Il agit comme une cage de Faraday et bloque le passage des ondes. Efficace, sauf au moment de payer : il faut retirer l’étui. Un pirate installé près de la caisse pourrait siphonner les données à cet instant …

Si votre carte a été piratée

Hélas, vous ne le saurez que si vos données ont été utilisées frauduleusement. Car, en soi, le piratage des données ne laisse pas de trace. Dès que vous découvrez des opérations douteuses (pour cela, il faut vérifier régulièrement ses comptes), contestez-les par écrit (mail ou lettre) auprès de votre conseiller bancaire. La banque doit alors vous créditer les sommes immédiatement.

Lire aussi l’enquête de l’UFC-Que Choisir : Carte de paiement sans contact, les banques font le forcing sur quechoisir.org

Pascale Besnard, responsable enquêtes UFC-Que Choisir de la Sarthe – 2 avril 2015