Autres Divers Thématiques

Cartes bancaires sans contact (NFC) : forcing des banques !

A vous d’accepter ou de refuser

UFC-Que Choisir dénonce, exemples à l’appui, le « forcing » des banques pour équiper leurs clients de cartes bancaires sans contact comportant, selon elle, « d’importantes failles sécuritaires ».

La technologie NFC (pour Near Field Communication, communication en champ proche), qui permet de régler des achats de vingt euros maximum sans introduire sa carte bancaire dans le terminal de paiement ni entrer son code, comporte « d’importantes failles sécuritaires », écrit l’UFC-Que Choisir, qui reprend ainsi à son compte une inquiétude récurrente sur ces nouvelles cartes, exprimée notamment par la CNIL (Commission nationale Informatique et Libertés). « D’une part, en cas de vol de la carte, il devient plus facile d’effectuer des paiements et retraits (le code n’est pas nécessaire) », souligne l’association ; « d’autre part, les pirates peuvent aspirer les données au moment où elles sont émises à distance par la carte. »

l’UFC rappelle en effet que les banques ont fait le choix, pour des questions de coût, de ne pas chiffrer les données échangées entre la carte et le terminal

Difficile de renoncer au NFC

Mais UFC-Que Choisir ne se contente pas de critiquer les choix technologiques des banques. L’association dénonce également le « forcing » qu’elles effectuent pour équiper leurs clients, le plus souvent sans leur accord formel. Lors des ouvertures de compte ou des renouvellements, la majorité des enseignes fournit ainsi par défaut des cartes bancaires équipées de puces NFC. Seule La Banque Postale sollicite en amont le consentement de ses clients. Et si la plupart d’entre elles acceptent de désactiver la fonction paiement, sur demande et à distance, la puce elle reste active et permet toujours l’interception de données confidentielles.

Que se passe-t-il, alors, si un client inquiet demande expressément à bénéficier d’une carte non-NFC ? La plupart des enseignes ont prévu ce cas de figure – seules Boursorama Banque et Axa Banque dérogent. Mais, selon UFC-Que Choisir, le renouvellement n’est pas toujours aisé : certains clients ont dû menacer de quitter leur banque pour obtenir gain de cause.

Dans un autre article publié sur son site internet, l’association rapporte également l’étrange attitude d’Hello bank, l’enseigne 100% digitale de BNP Paribas. En réponse à un client qui demandait à bénéficier d’une carte non-NFC, elle lui a expliqué qu’elle n’en fournissait plus. Elle en a profité pour lui proposer de souscrire une assurance moyen de paiements, facturée 26,50 euros par an, afin de se prémunir des risques. Plutôt culotté, d’autant que cette assurance, rappelle UFC-Que Choisir, « se révèle totalement inutile pour les paiements frauduleux par carte bancaire », les banques ayant l’obligation de rembourser leurs clients, à moins d’être en mesure de démontrer leur négligence ou leur malhonnêteté.

cbanque.com : Vincent MIGNOT

Les nouvelles cartes bancaires sont dotées d’une fonction de paiement sans contact. Pesez les avantages et les risques avant d’accepter ou de refuser!

Votre carte bancaire permet-elle le paiement sans contact? Si elle affiche un logo  rappelant le signal WIFI , la réponse est oui! Vous ne le saviez pas? C’est que votre banque vous a équipé d’office de cette fonction lors du renouvellement de votre carte. Elle a pu aussi vous en informer dans une clause des conditions générales d’utilisation de votre carte que peu de personnes lisent.

A quoi ça sert? A régler dans les magasins de petites sommes (maximum 20€ par paiement), juste en passant la carte près d’un lecteur, sans entrer votre code confidentiel.Avantage: un passage plus rapide aux caisses, et une incitation à renoncer au paiement en espèces.

Faut-il s’en méfier? Deux risques sont pointés par l’association 60 millions de consommateurs dans une enquête publiée en mars 2014:

– La possible vulnérabilité de ces cartes au piratage d’informations bancaires à partir des données émises à distance par la puce de la carte (par exemple: le numéro à 16 chiffres).

Précautions par rapport à la sécurité

Ces cartes ont présenté des vulnérabilités. En avril 2012, Renaud Lifchtiz, un ingénieur français, a démontré qu’il était possible de recueillir les données envoyées par la carte via les ondes radio à l’aide d’une clé USB-NFC et d’un logiciel. L’ingénieur a réussi à capter les données envoyées par la carte (identité du porteur de la carte, numéro de la carte, historique des transactions et date d’expiration) en se plaçant à 1,5 m jusqu’à 15 m de celle-ci.La récupération de ces données permettrait à un fraudeur d’effectuer des achats sur Internet, dans la mesure où certains sites étrangers ne requièrent pas le cryptogramme visuel (les trois chiffres au dos de la carte, un élément non détecté).

Jean-Marc Bornet, administrateur du groupement Cartes Bancaires, estime que ces cartes ne présentent aucun risque. « Ces démonstrations ont été réalisées dans des conditions de laboratoire, avec aucun bruit électronique autour. En réalité, les ondes ne sont perceptibles qu’à quelques centimètres ». D’autant que les transactions sur Internet sont protégées par le systèmes d’authentification « 3D Secure » et le cryptogramme, assure-t-il.

– En cas de perte ou vol de la carte, une personne mal attentionnée pourrait multiplier des achats de 20€ en toute facilité, jusqu’à sa mise en opposition. Pas de panique cependant, au-delà d’un certain plafond d’achats cumulés sans contact (par exemple: 80 ou 100€, montant à vérifier auprès de votre banque), il est demandé d’insérer la carte et de composer le code. Mais cela reste un inconvénient du système. Certes, la banque doit rembourser toutes les opérations frauduleuses mais comment prouver qu’elles l’étaient puisque le paiement sans contact n’exige aucune authentification?

Refuser ce service ou le désactiver

Vous ne souhaitez pas le service paiement sans contact? Quels sont vos droits ?

La CNIL (Commission nationale de l’informatique et des libertés) précise que, préalablement au renouvellement de la carte, les banques doivent informer leurs clients que celle-ci disposera de la fonction paiement sans contact. Lisez attentivement les courriers de votre banque ou les conditions générales d’utilisation de la carte.  En tout état de cause, l’essentiel est de savoir que les clients ont le droit de s’opposer à cette fonction.

Les banques sont libres de choisir les moyens divers pour respecter ce droit d’opposition. Certaines proposent de distribuer une nouvelle carte identique aux anciens modèles (sans surcoût). D’autres établissements proposent une désactivation via le site internet de la banque et une prise en compte lors de la prochaine utilisation de la carte dans un distributeur automatique de billets. D’autres encore font le choix de distribuer des cartes dont l’interface sans contact n’est pas active et qui peut être activée à la demande de l’utilisateur.

Interrogez votre banque pour savoir pour quelle solution elle a opté. Si elle ne respecte pas son devoir d’information ou si elle refuse de désactiver cette fonction, vous pouvez vous en plaindre auprès de la CNIL en appelant le 01 53 73 22 22 (du lundi au vendredi de 10h à 12h et de 14h à 16h).  Par courrier: CNIL – Service des plaintes – 8, rue Vivienne – CS 30223- 75083 Paris cedex 02

Un conseil: Si votre carte arrive à échéance bientôt, prenez les devants! Au moins un mois avant son renouvellement, faites un courrier (ou un mail) à votre conseiller bancaire pour lui signifier que vous ne voulez pas de la fonction paiement sans contact.

Les étuis anti-piratage de données

Vous souhaitez garder votre carte avec paiement sans contact mais vous êtes inquiet du risque de piratage? Il existe sur le marché des étuis « anti-NFC » (Near field communication) qui empêchent les fraudeurs de capter les données bancaires. Son principe? Loger la carte dans une sorte de Faraday qui bloque les ondes. En revanche, la protection cesse au moment du paiement, puisqu’il faut sortir sa carte. Sur simple demande, certaines banques fournissent gratuitement un étui protecteur à leurs clients. Interrogez la vôtre! A défaut, il est possible de les acheter dans le commerce. Prix: environ 4€.

notretemps.com :  Anne Marie Le Gall

Articles relatifs

Arômes alimentaires

UFC QC Nouvelle Calédonie

Le « PIN Online », ce nouveau système de validation des paiements

Protecteurs Solaires

UFC QC Nouvelle Calédonie