Le grand bond vers le paiement sans contact est proche. Un Français sur deux est déjà en possession d'une carte bancaire avec puce NFC, et ils le seront tous d'ici la fin 2016. Mieux : 90 % savent que cela existe. Pourtant, à peine 1 % y aurait recours. Est donc venu le temps de l'évangélisation. Les acteurs du secteur sont venus à Bercy, vendredi, louer les mérites de la carte sans contact... mais sans convaincre sur la protection des données.
Comparé au mobile, la carte bancaire conserve l'avantage du nombre - Crédit : Observatoirenfcsanscontact.
Côté bénéfice, il n'y a rien à comprendre sinon que le paiement NFC fait gagner du temps en caisse. Un temps qui serait divisé par trois comparé au scénario classique, où l'on saisit son code à 4 chiffres. Et sur ce terrain, la sécurité semble là : la transaction est signée par une clé afin que la banque l'authentifie, il faut être être situé à moins de 4 cm de la carte pour déclencher le paiement, et la somme est plafonnée à 20 euros.
Pour ce qui est de la protection des informations, c'est autre chose. En une année, plusieurs reportages, une mise en garde des Cil (Cnil) en novembre 2014 et une autre d'UFC-Que Choisir en février 2015 ont pointé du doigt la facilité édifiante avec laquelle le tout un chacun pouvait dérober le numéro à 16 chiffres d'une carte NFC ainsi que la date d'expiration - avant 2012, l'historique d'achat et le nom du titulaire étaient concernés.
Les industriels minimisent le risque...
Pour Bruno De Laage, président du GIE Carte Bancaire, « il n'est pas possible de capter de données sans se mettre dans une situation invraisemblable », liée à la proximité (10 cm) demandée par la communication en champ proche (NFC). Olivier Piou, PDG de Gemalto, explique que « cela demanderait d'avoir une antenne très puissante sur soi » pour envisager de toucher les cartes NFC de plusieurs personnes dans un lieu public.Le problème est que les industriels présentent cette faiblesse de la technologie NFC comme une « rumeur » qui n'est « pas fondée », réservée à des « experts », demandant un matériel spécifique et des conditions « peu vraisemblables ». En réalité, n'importe qui peut accéder à une application capable de lire les données précitées d'une carte bancaire, depuis son smartphone Android, et via le magasin d'application officiel.
Il y a un an, France 4 menait l'expérience dans le métro parisien, au moyen d'un petit ordinateur glissé dans une sacoche, et ne coûtant qu'une centaine d'euros. En déambulant librement dans les rames, alors que l'affluence des passagers était moyenne, la journaliste avait pu prendre les données de deux cartes. Olivier Piou maintient : « Il y a zéro fraude constatée. Ce qu'on décrit est un fantasme. On avait la même question à l'époque avec le Pass Navigo. » Bruno De Laage abonde : « Il n'y a pas d'augmentation du taux de fraude. »
En excluant les boutiques sans produits sous 20 euros, le taux passe à 50 % - Crédit : Observatoirenfcsanscontact.
Le responsable du GIE CB va même plus loin en affirmant que « jamais on a eu autant de précaution et de sécurité, car on ne génère pas de risque particulier ». Quand on lui demande quelle est la protection contre le vol de son numéro, il répond qu'il s'agit du plafond de 20 euros par achat, qui est de plus remboursé par la banque en cas de fraude, et de façon « illimitée ». En argument-massue, il ajoute : « Vous croyez vraiment que nous nous lancerions dans le sans contact sans sécurité ? Nous ne sommes pas des philanthropes. »
... couvert (en principe) par les banques
Seulement, la garantie sur les 20 euros ne concerne que le paiement sans contact à proprement parler, et pas l'usage frauduleux du code à 16 chiffres qui aurait lieu, lui, sur Internet. S'il est vrai que les banques couvrent la fraude en remboursant également les débits irréguliers réalisés sur Internet, suite au vol du numéro de carte, Bruno De Laage ajoute une barrière : « Sans le code de sécurité CVV au dos, on ne peut rien faire. »Lorsqu'une personne « sniffe » une carte NFC, elle ne récupère pas ce code. Or en France, tous les sites de vente en ligne l'exigent pour finaliser une transaction. Mais à l'étranger, ce n'est pas le cas. Le GIE CB indique que ces sites sont en « nette régression », ce qui signifie qu'il demeure des e-marchands ne demandant encore pas le CVV, permettant bel et bien de passer commande avec le numéro de carte, et la date d'expiration.
Finalement, si fraude il y a, elle concerne surtout la banque, qui se charge de la couvrir - sauf pour Hello Bank, qui impose une assurance à 26,50 euros par an pour se prémunir des risques... A l'avenir, le GIE CB envisage que le paiement par carte sans contact profite des avancées sur le paiement mobile, et utilise par exemple un système de tokens, afin de ne plus contenir de code exploitable. En attendant, les industriels semblent se rassurer derrière l'impossibilité technique de mener une fraude massive avec leur carte NFC.
A lire également :