Malgré le désintérêt des Français envers le paiement sans contact (78 % des d’entre eux seraient gênés par cette idée, selon un sondage Statista de 2014), les cartes bancaires NFC continuent à se propager dans le territoire. Elles constitueraient aujourd’hui près de 40 % des cartes bancaires en circulation en France (et 80 % dans les murs de notre bureau). Comment est-ce possible ? C’est simple : sans demander l’avis de personne, les banques refourguent ces nouvelles cartes à chaque renouvellement. Parmi le gros tiers de Français équipés d’une carte bancaire NFC, beaucoup donc n’en sont même pas conscients, et ne savent probablement pas non plus que leurs données bancaires peuvent être récupérées avec une simple appli Android.
Cela fait quelques années que le problème de sécurité des cartes bancaires NFC est connu (2012), malheureusement, il n’a pas forcément été corrigé depuis. Grâce à l’application Lecteur de carte Bancaire disponible sur le Google Play Store il nous a été ainsi possible de récupérer les informations de plusieurs cartes Caisse d’Épargne en quelques instants (les cartes CIC et Crédit Agricole ont résisté à notre test). Faut-il s’en alarmer pour autant ? Oui et non.
Oui parce que si un smartphone NFC ne permet de lire les cartes bancaires qu’à 1 ou 2cm, d’autres antennes plus puissantes (et facilement accessibles) peuvent étendre cette portée à une dizaine de centimètres. Cela reste court, mais c’est assez pour aspirer les données de la carte à travers un portefeuille et une poche de jean. Avec les données récoltées (numéro de carte, date d’expiration, journal des dernières dépenses et parfois nom du porteur), il sera alors possible d’effectuer des commandes sur Internet sur des sites ne nécessitant pas le cryptogramme visuel (rares, mais ils existent) ou encore de reproduire une fausse carte et payer grâce au seul bandeau magnétique dans les rares endroits où c’est autorisé, les péages par exemple.
Non, car les données ainsi récoltées sont les même que celles qu’un commerçant peut obtenir lorsque vous lui tendez votre carte à puce, moins le cryptogramme et le nom du porteur (tout est marqué sur la carte). Dans certains cas, au moment de la transaction par exemple, la carte sans contact s’avérera plus sécurisée qu’une carte à puce.
Le problème n’est donc pas tant d’ordre sécuritaire que d’ordre éthique. De quel droit des sociétés privées (les banques) peuvent-elles se permettre d’imposer cette nouvelle technologie sans nous demander notre avis ni même nous prévenir ? À la télévision, le groupement de cartes bancaires cherche à nous sensibiliser à la praticité de ces nouvelles cartes, mais on peut légitimement se poser la question : qui est vraiment gagnant dans ce passage au NFC, les vendeurs et consommateurs qui gagnent quelques secondes à chaque transaction, ou les banques qui font ainsi disparaître le cash des portefeuilles ?
