Modifié

Les cartes de paiement sans contact ne sont pas sans risque

Hackers, comment ils violent notre intimite. [RTS - Laurent Bleuze]
Réseaux Wifi : gare aux pirates! / A bon entendeur / 38 min. / le 18 novembre 2014
Au-delà de leur côté pratique, les cartes de paiement sans contact posent des problèmes de sécurité et peuvent être piratées à l'aide d'une application gratuite, révèle mardi "A bon entendeur".

Alors que de plus en plus de cartes de crédit sans contact circulent en Suisse, les experts en sécurité informatique tirent la sonnette d'alarme. Une simple application téléchargeable gratuitement sur internet permet de capter, via un smartphone compatible MSC, les informations confidentielles contenues sur une carte bancaire équipée de la technologie NFC (near field communication), révèle mardi "A bon entendeur" (ABE).

"En posant le téléphone sur la carte, on obtient des informations de la personne. On a la civilité, le numéro de carte, la date d'expiration, donc les deux informations qui servent à payer", explique à l'émission de la RTS Nicolas Chauveau, étudiant au laboratoire de cryptologie et de virologie opérationnelle de l'ESIA, en France.

S'ils saluent l'aspect pratique que représentent les paiements sans contact, les experts en sécurité informatique notent qu'il "est un peu surprenant que ces informations soient diffusées en clair".

"Tout dépend de ce qui fuit"

"Le risque est très fortement limité selon ce qui fuit", souligne de son côté Dominique Vidal, expert en sécurité informatique et fondateur de SecuLabs à Montricher (VD). "Tout dépend des émetteurs de cartes de crédit. Dans la plupart des cas, seuls le numéro de cartes de crédit et la date d'expiration sont mis. D'autre part, les paiements par NFC sont limités à 40 francs".

L'absence du CCV (les trois chiffres inscrits au dos de la carte) dans les données que peut se procurer le pirate ne l'empêche toutefois pas d'effectuer des paiements frauduleux.

"En Europe et en Suisse, les paiements sur internet sont relativement bien protégés. L'usage des dispositifs 3D Secure pour valider l'opération est très répandu. Ailleurs, à commencer par les Etats-Unis, les exigences de sécurité sont bien moindres", explique encore Dominique Vidal, interrogé par RTSinfo.

Distance limitée

"Dans un train, par exemple, il est possible de recueillir des dizaines de numéros de carte", observe le patron de SecuLabs. "Outre le piratage des cartes de paiement, cela permet aussi de faire du profilage avec les données potentiellement confidentielles obtenues", ajoute-t-il.

Pour bien fonctionner, la carte de crédit visée doit toutefois se trouver de quelques millimètres à 4 centimètres de l'appareil qui peut la décrypter. L'argument de la proximité est d'ailleurs le premier avancé par les éditeurs de cartes qui affirment tous que "cette technologie est aussi sûre que les autres".

Certains hackers rappellent toutefois dans l'émission ABE que de petites antennes permettent de lire des cartes jusqu'à un mètre de distance.

Alain Orange/Juliette Galeazzi

Publié Modifié

Trois façons de limiter les risques

Il existe trois façons d'éviter les risques de piratages inhérents à la technologie NFC. Le plus facile est de transporter sa carte de paiement dans une enveloppe métallique qui bloque les ondes électromagnétiques. L'autre choix fait par certains experts est de perforer la carte pour couper l'antenne. Il faut toutefois savoir que de tels actes peuvent endommager la carte et que cela sera de la responsabilité du client.

Enfin, certains émetteurs de cartes de crédit laissent la possibilité de demander une carte sans technologie NFC. Les formulaires sont toutefois difficiles à trouver - voire absents - des sites internet. Il faut le plus souvent expressément en faire la demande aux fournisseurs de moyens de paiement.