Déploiement en force et publicités en nombre pour vous vanter les mérites du « paiement sans contact » : ce petit symbole 
vous permet de régler les achats de moins de 20€ sans taper votre code, simplement en approchant votre carte du lecteur.
Vous êtes peut-être bien content d’avoir ce nouveau système que vous trouvez « hype » ! Et bien sachez que la sécurité de ce système de paiement sans contact sur votre carte bancaire va peut-être vous faire changer d’avis :
Et oui, car sur ce système, les fabricants de cartes bancaires n’ont pas jugé utile de chiffrer les protocoles ou d’ajouter une quelconque sécurité…
Ce qui signifie que n’importe qui équipé d’un lecteur NFC avec le programme adapté (le code source de ce type de programme est disponible gratuitement sur internet) va pouvoir récupérer presque toutes vos données. Le système paiement sans contact va en effet permettre de récupérer votre numéro de carte bancaire (16 chiffres) et sa date d’expiration. Pas le cryptogramme visuel donc, mais vous verrez plus loin dans l’article que ceci n’est pas bien grave pour quiconque voudrait utiliser vos données de manière frauduleuse.
Dubitatif ? Démonstration de récupération des données d’une carte bancaire équipé du système de paiement sans contact avec un smartphone Android compatible NFC
Le seul matériel nécessaire est le suivant :
– smartphone Android compatible NFC (ici un sony Xperia M).
– une carte bancaire équipée du système de paiement sans contact.
Etape 1 : installer « EMV NFC pay card reader » (application gratuite) depuis le play store
Etape 2 : ouvrir l’application, et approcher la carte bancaire de l’arrière du téléphone.
Et là « l’horreur » : l’application vous affiche sans problème le numéro présent sur la carte et sa date d’expiration. On a de quoi être choqué par aussi peu de sécurité, même pas besoin de connaissance particulière…
Pour les quelques questions qui pourraient être en suspens :
– dans ce cas il faut effectivement que la carte avec paiement sans contact soit toute proche du lecteur « pirate », mais avec des lecteurs adaptés les experts affirment que des données peuvent être récupérées jusqu’à une distance de 5m en temps normal et jusqu’à 10m lorsque vous êtes en train de payer. On peut imaginer que l’escroc n’a pas à travailler durement en pianotant sur son terminal assis sur un banc de centre commercial, ainsi que la quantité de données qu’il va pouvoir récupérer…
– on ne récupère pas le cryptogramme (CVV en anglais, les trois derniers chiffres présents derrière la carte) avec le lecteur NFC : en effet, mais les données transmises par le système de paiement sans contact sont suffisantes pour copier la bande magnétique et dans certains pays, celle-ci suffit pour effectuer un paiement. Autre choix si les escrocs sont en France : il n’y a qu’environ 1000 possibilités pour ce code à 3 chiffres. Il peut donc être trouvé par une attaque par force brute (on cherche tous les codes). En imaginant un groupe d’une cinquantaine d’escrocs, cela ne fait que 20 codes chacun à tester… Même si certains sites vont bloquer la commande après 3 essais, chacun n’aura que 7 sites à visiter au maximum…
Une dernière petite question peut éventuellement venir : comment se font-ils livrer ? Et bien certains ne prennent même pas la peine de se cacher puisqu’il faut déjà que la personne s’en rende compte. Certains peuvent avoir des complicités pour la livraison. Et sinon, la livraison en relais colis avec une fausse carte d’identité leur permet d’être tranquille. En effet, les cartes d’identité sont rarement vérifiées en détails dans les relais…
Désactiver le paiement sans contact sur sa carte bancaire – Désactiver la NFC complètement
Après avoir lu l’article ci-dessus ou d’autres sites, vous avez probablement moins envie du système de paiement sans contact et souhaitez peut-être le désactiver…
D’abord sachez que votre banque va vous dire qu’elle peut le faire, ouf ! Oui mais non en fait, car en effet vous ne pourrez plus payer avec le système de paiement sans contact, mais vos données seront toujours disponibles pour quiconque sera équipé du matériel adéquat.
La solution réelle est une « destruction physique » de la bande NFC. Si vous êtes équipé d’un smartphone NFC, n’hésitez pas à vérifier avant et après si vous avez accès aux données. Pour la désactivation plusieurs possibilités :
– si vous pouvez voir à travers votre carte avec une lampe torche, rendez-vous sur ce site indiquant comment désactiver la NFC en perçant un trou.
– sinon, ou si vous ne voulez par percer, à vos ciseaux : retournez la carte, et faites une toute petite entaille juste au niveau de la ligne au dessus du cadre destiné à la signature. Une entaille de 5mm environ suffit (on arrive juste en dessous du « U » de authorized) :
Le circuit NFC est alors coupé et votre carte bancaire avec paiement sans contact est maintenant une carte bancaire normale et sécurisée. Si vous avez une ancienne carte que vous pouvez couper sur un peu plus long, vous constaterez qu’on observe différentes zones grisées correspondant aux circuits NFC désactivés.
Voilà, n’hésitez pas à demander une carte non équipée du système de paiement sans contact à votre banque, mais sachez que certaines refusent. Choisissez de désactiver ce système pour n’avoir aucun risque de fraude… et partagez l’info pour que ce système ne se développe pas ou soit sécurisé !
1 réflexion au sujet de « Les dangers du paiement sans contact »