Un député s’alarme des risques de sécurité pour le paiement sans contact, alors que cette pratique et les envois instantanés d’argent d’un compte bancaire par mobile se démocratisent.

Confidentiel il y a encore quelques années, le paiement sans contact est aujourd’hui en phase de démocratisation. Celui ou celle qui l’a déjà testé a pu constater à quel point ce système est simple d’emploi et permet de passer plus rapidement en caisse, si les achats impliquent des petits montants. Le dispositif est aujourd’hui répandu dans les restaurants, les boutiques ou la grande distribution.

Crainte pour la sécurité

Payer sans contact

Le principe est simple : il suffit d’approcher sa carte bancaire (ou son smartphone) de la borne de paiement et d’attendre la validation sonore pour valider l’achat. C’est tout. Pas besoin d’insérer la carte dans le lecteur, de taper son code PIN et d’attendre la validation de la banque.

Sauf que la technologie sur laquelle le paiement sans contact repose — à savoir la communication en champ proche (NFC, pour Near Field Communication) — n’est pas infaillible. C’est justement ce qui inquiète le député Bernard Perrut, élu du Rhône et membre des Républicains. Il a adressé une question écrite en ce sens à Cédric O, le secrétaire d’État en charge du numérique.

« Plusieurs expériences ont mis en lumière les failles de sécurité des technologies de communication sans contact », prévient le parlementaire. En 2018 par exemple, le magazine 60 millions de consommateurs relevait que la simple opposition bancaire ne suffit pas à empêcher des paiements sans contact, dans la mesure où ce service ne requiert pas d’autorisation de la banque pour fonctionner.

« Plusieurs expériences ont mis en lumière les failles des technologies de communication sans contact »

L’élu souligne la « relative facilité à intercepter les données échangées », si un assaillant se trouve par exemple à proximité de la transaction. Aussi souhaite-t-il savoir ce que le gouvernement prévoit de faire pour accompagner la généralisation du paiement sans contact, notamment par mobile, tout en garantissant la protection des données des particuliers.

Pour payer, il suffit de poser le smartphone sur la borne de paiement NFC.  // Source : Numerama

Pour payer, il suffit de poser le smartphone sur la borne de paiement NFC.

Source : Numerama

En effet, le député souhaite avoir un état des lieux de la sécurité des paiements et des données alors que les banques, note-t-il, ont annoncé la généralisation d’ici l’été d’un « service permettant à leurs clients particuliers d’envoyer instantanément de l’argent d’un compte bancaire à un autre, via un téléphone mobile en saisissant simplement le numéro de téléphone mobile d’un bénéficiaire ».

Cette possibilité de procéder à des transferts d’argent entre particuliers constitue de fait un autre risque de sécurité, qui s’ajoute à celle évoquée avec le NFC et le paiement sans contact. Publiée au Journal officiel le 23 avril, la question écrite n’a pas encore reçu de réponse. Quelques éléments peuvent néanmoins être notés, qui permettent de limiter les risques.

Mesures de sécurité

En dehors de l’abandon de l’utilisation du NFC et du paiement mobile instantanée, qui est la voie la plus sûre, mais aussi la plus radicale, la loi prévoit des dispositions pour protéger le client en cas d’utilisation abusive. Le code monétaire et financier, à travers son article 133-18 prévoit un remboursement complet et immédiat par la banque, dès signalement, si la carte bancaire est employée frauduleusement.

Concernant le sans contact, il existe des plafonds pour éviter l’usage d’une carte qui aurait été volée pour faire de gros achats (le plafond est à 30 euros par achat depuis 2017) ou une série de petits achats (qui atteignent en cumulé entre 50 et 100 euros, selon les banques). Pour des sommes plus importantes, dans un cas comme dans l’autre, il faudra valider le paiement avec le code confidentiel.

Des sécurités au niveau des transactions sont aussi prévues pour acheminer les transactions et éviter qu’elles ne soient vues ou modifiées — cela, au moyen du chiffrement pendant le transfert. Une disposition qui est forcément requise dans le cas où l’on envoie instantanément de l’argent d’un compte bancaire à un autre, via un smartphone, en renseignant juste le numéro de téléphone.

Il convient enfin de noter que la fraude aux paiements sans contact est extrêmement faible en France. C’est ce que note l’Observatoire de la sécurité des moyens de paiement dans son rapport annuel de 2017. Signalé par Éric Freyssinet, chef de la Mission Numérique à la gendarmerie, il montre que le taux de fraude est à 0,020 %. Les paiements à distance se situent à 0,161 %.

(mise à jour avec des précisions sur le taux de fraude en France)

Source : Numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.