sos - Les arnaques possibles avec les cartes bancaires WIFI

La CNIL donne l'alerte au sujet des paiements sans contact, nouveau dispositif de paiement permettant le règlement par simple scan de la carte bleue sur le terminal de paiement. La fonction serait en effet sujette à de nombreuses failles de sécurité, exposant l'utilisateur au piratage.


Peu à peu, les banques équipent les cartes bleues de l’option "paiement sans contact". Celle-ci permet à son propriétaire d’effectuer des règlements allant jusqu’à 20 euros par simple présentation du titre situé au-dessus du terminal de paiement. Si elle semble au premier abord aussi pratique qu’anodine, cette innovation s’avère toutefois bien plus dangereuse qu’il n’y paraît.

La Commission Nationale pour l’Informatique et les Libertés (CNIL) met en effet en garde contre les nombreuses failles se sécurité présentées par le dispositif, potentiellement piratable au moyen d’un simple téléphone portable.

Une technique trop peu sécurisée

Se basant sur les recherches de Renaud Lifchitz, ingénieur en sécurité chez British Telecom, qui avait démontré en 2012 que les données échangées entre titre et terminal de paiement pouvaient être interceptées, la Commission en est elle aussi allée de sa propre enquête. Un nécessité accentuée par la démonstration de l’Américaine Kristin Paget, qui avait quant à elle prouvé qu’un petit budget couplé des connaissances idoines permettaient au pirate d’obtenir les données de sa victime quel que soit l’endroit et de procéder immédiatement à un paiement. La technologie utilisée par la fonction, Near Field Communication, permet en effet leur interception dans un rayon de 15 mètres. De plus, la fonction "paiement à distance", en cas de perte ou de vol, permettrait au voleur de multiplier les paiements inférieurs à 20 euros, et ce jusqu’à la mise en opposition.

En résulte une étude alarmante.

La CNIL a en effet confirmé à 60 Millions de Consommateurs un risque de piratage important. Un risque d’autant plus conséquent que 18 millions de cartes équipées – facilement repérables au moyen du logo ci-contre – circulent actuellement en France. Un chiffre démesurément élevé comparé au chétif 10% de commerces équipés.

Les banques rappelées à l’ordre

Face à cette menace, la Commission se voit dans l’obligation de hausser le ton. Et somme les banques utilisant le dispositif d’en ôter les informations "détournables", notamment les noms des titulaires et les dates d’échéance des cartes. Une règlementation qui n’empêchera cependant pas les pirates d’accéder aux 16 chiffres composant le numéro de carte, ainsi qu’à l’historique des transactions. Par ailleurs, bien que l’établissement bancaire doive en théorie rembourser ces versements frauduleux, 60 Millions de Consommateurs interroge cependant sur les moyens pour la victime de prouver leur illégitimité.

Stéphane Petitnicolas, ingénieur à la Cnil, déclare ainsi que la Commission demande "aux banques de respecter la loi informatique et liberté, à savoir d’informer leurs clients de cette fonction, et de ne l’activer qu’avec leur consentement." De nombreux établissements imposent en effet la fonction à leurs clients. D’autres, même, facturent l’éventuelle opération de désactivation. Un procédé décrié par Cnil, qui considère que le choix revient exclusivement au détenteur de la carte.

Cette dernière appelle ainsi tous les consommateurs ne parvenant pas à obtenir la désactivation de ladite fonction à déposer plainte auprès de leurs services. Une démarche qui, elle l' espère, contraindra les banques à respecter la loi.