La carte bancaire avec un paiement sans contact. Les risques potentiels (limités). Les obligations des banques. Une fonctionnalité peu utile ?

Frédéric Hourdeau

News

le 28/05/2015 à 20h50

Tweeter

La Cnil rappelle que les banques doivent informer leurs clients que leur carte bancaire dispose de la fonction paiement sans contact, une option que les clients sont libres de refuser.

Si votre carte bancaire a été renouvelée récemment, vous constaterez un petit logo supplémentaire, le symbole du Wi-Fi.

Cela signifie que la carte est équipée pour le paiement sans contact avec une petite antenne NFC : (« Near Field communication » qui signifie « communication en zone proche ») ; la distance doit être inférieure à 10 cm.

Selon un sondage Odoxa publié le 22 janvier par Syntec Numérique (le syndicat professionnel des entreprises de services numériques), 57 % des Français jugent le paiement sans contact « inutile » et seulement 15 % l’ont déjà essayé.

A noter déjà qu’ils ne sont que 44 % à connaître cette fonction de leur carte bancaire, les banques ayant  d’ailleurs assez peu communiqué sur ce sujet.

Ainsi, elles ont équipé leurs nouvelles cartes de la technologie NFC, sans toujours bien en avertir leurs clients, ce qu’il leur a d’ailleurs vaut  un rappel à l’ordre de la Cnil (Commission nationale de l’informatique et des libertés).

Une opportunité faiblement utilisée :

Selon les chiffres de décembre 2014 publiés par le Groupement des Cartes bancaires, près de la moitié des cartes en circulation en France (45,9 %) permettent le paiement sans contact.

Mais chez les commerçants moins d’un terminal sur cinq (19,7 %) est compatible.

Cela explique aussi, pour partie, pourquoi les Français l’utilisent encore peu.

Cette nouvelle technologie permet de payer des sommes inférieures à 20 €, sans avoir besoin d’insérer sa carte bancaire dans un lecteur ni de taper son code.

Pratique, certes, mais les transactions sont-elles vraiment sécurisées ? Le paiement sans contact présente-t-il un risque de fraude ?

Payer avec sa carte bancaire, sans l’insérer dans un lecteur ni taper son code secret, est-ce vraiment sûr ?

Les données peuvent-elles être interceptées et utilisées frauduleusement à l’insu du titulaire ?

Et que se passe-t-il en cas de vol de la carte ?

« Les informations ne sont pas cryptées et peuvent être récupérées très facilement grâce à un smartphone », souligne Thomas Livet, consultant en sécurité informatique pour la société Sifaris.

Cette faille de sécurité avait été dénoncée dès décembre 2011, par un ingénieur de British Telecom. Mais cela n’a pas empêché le développement du paiement sans contact notamment chez de grands groupes comme Visa.

Il est vrai que l’on peut accéder à certaines informations contenues dans une carte bancaire sans contact via une simple application pour smartphone ou un terminal NFC : le numéro inscrit au recto, la date d’expiration, le nom de la banque.

Mais depuis fin 2013, les données personnelles ne sont plus récupérables. Seul le numéro de carte et sa date d’expiration restent captables. Or, ces données sont déjà accessibles à n’importe qui sur les cartes classiques.  

C’est le cas lorsque l’on paye chez un commerçant : le numéro complet figure sur sa facturette. Une personne malintentionnée peut donc s’en emparer.

Pas plus de risques qu’avec une carte classique ?

Pour un spécialiste de la sécurité : «Ni le cryptogramme visuel à trois chiffres au verso ni le nom du titulaire ne font partie des données récupérables sans contact,  Or elles sont indispensables pour effectuer des achats en ligne, par exemple.

Le risque de fraude avec une carte sans contact n’est donc pas à priori plus élevé qu’avec une carte classique. »

Autres arguments en faveur de la sécurité : « Si on se fait dérober sa carte bancaire sans contact, la limite d’achat est de toute manière bloquée à 20 € par transaction, de plus, il y a un plafond cumulé journalier, généralement autour de 100 €, que l’on ne peut pas dépasser sans fournir le code secret. Et au bout de dix transactions sans contact, on doit pareillement taper son code .Donc c’est aussi sécurisé qu’une carte normale ! »

Perdre sa carte sans contact n’est donc pas, à priori, pire, que d’égarer sa carte bancaire classique et il faudra  pareillement faire opposition rapidement en cas de perte ou de vol.

Les plus prudents peuvent toutefois se procurer un étui ou un portefeuille spécial, qui bloque les ondes vers la carte. !

L’avertissement de la CNIL :

Quoi qu’il en soit, la CNIL vient de rappeler que le client a toujours la possibilité de refuser la carte sans contact.

Depuis la recommandation de la Cnil de juillet 2013, les porteurs de ce type de carte doivent être clairement informés de la fonctionnalité sans contact et doivent pouvoir la refuser.

Le droit d'opposition à la carte sans contact :

Dans un premier temps, le client doit se tourner vers sa banque pour lui demander la désactivation ou la réédition gratuite d'une nouvelle carte dépourvue de la fonctionnalité paiement sans contact.

Les banques sont libres de choisir les moyens à engager pour respecter ce droit d'opposition.

Certaines proposent de distribuer une nouvelle carte identique aux anciens modèles, d'autres incitent à une désactivation via le site internet de la banque.

Si la banque ne respecte pas son devoir d'information ou si elle refuse de désactiver le paiement sans contact, le client peut alors s'adresser au service des plaintes de la Cnil, sur le site internet de la Cnil.