Le point sur l’alerte des supposés dangers des cartes bleues sans contact

Un post facebook qui alerte sur les supposés dangers des cartes bleues sans contact qui permettent de payer des petits montants sans taper son code secret, a été partagé près de 30.000 fois en deux jours sur Facebook et celui ci-dessus pratiquement  86.000 partages, ce qui valait bien un article à ce sujet.

Le message affirme que des voleurs se promènent dans les transports en commun avec un appareil à carte bleue et l’utilisent pour faire fonctionner les cartes bleues sans contact.


QU’EN EST-IL ?

Cette photo n’a pas été prise en France ou en Belgique mais en Russie au début du mois de février 2016. C’est Oleg Gorobets, un manager de la société de sécurité informatique Kaspersky, qui l’a partagée sur les réseaux sociaux.

Oleg Gorobets avait alors dit « qu’il avait été possible à son équipe de faire des retraits d’argent sur les comptes des usagers du métro grâce à cette astuce », mais il faut savoir que la photo de Kaspersky ne met pas en scène de vrais voleurs.

De nombreux articles de presse ont publié l’histoire, suscitant une controverse sur la sécurité des cartes de paiement sans contact en Russie et donc, par ricochet, l’information est arrivée jusque chez nous.


Ce système de vol peut-il arriver chez nous ?

Oui, certainement si votre carte bleue n’est pas protégée, tout en signalant que ce système de vol n’est pas à la portée de tous puisque réalisé par des experts en informatique. Pour vraiment exploiter les failles des cartes sans contact, les fraudeurs auront besoin de techniques plus sophistiquées que celle mise en scène par Kaspersky, car cette méthode se heurte à un problème technique, expliquait récemment le banquier russe Pavel Sukach au TJournal.

Les montants concernés sont relativement faibles du fait des plafonds instaurés sur les transactions par CB sans contact (généralement autour de 20 euros par achat et 100 euros de paiements consécutifs sans entrer de code).

Comme on peut le voir le risque ZERO n’existe pas.

La plupart des cartes bancaires sont équipées par défaut aujourd’hui d’une puce RFID/NFC qui permet d’effectuer des paiements sans avoir à saisir son code PIN mais simplement en l’approchant du terminal de paiement comme le présente la vidéo ci-dessous. La sécurité repose sur la caractéristique du RFID et en particulier de la portée de ces ondes limitées (théoriquement) à quelques centimètres.

IL Y A T-IL UN MOYEN DE SE PROTÉGER ?

Solution n°1 : L’étui et porte cartes de protection

En créant une cage de Faraday, ces étuis bloquent les ondes et empêchent que des “butineurs” volent à  votre insu des données de votre carte NFC. Appelés “RFID blockers”. Ces étuis de protection RFID se trouvent actuellement sur beaucoup de sites marchands  comme par exemple ici sur Amazon (protection carte bancaire).

Certains établissements bancaires le fournissent gratuitement, d’autres non, il suffit de se renseigner.

Solution 2. L’option “2 cartes NFC”

Une autre méthode consiste à  avoir 2 cartes NFC à  proximité immédiate l’une de l’autre. L’objectif  est de provoquer des perturbations qui empêchent un lecteur de pouvoir se connecter : Les réponses simultanées des 2 cartes deviennent  incompréhensibles et inexploitables pour un  voleur de données

Solution 3. Les habits  antivols

C’est le dernier truc : des vêtements qui bloquent les ondes et peut-être que bientôt tous nos habits seront hermétiques aux ondes comme le souhaite cette collaboration entre sécurité et textile :

Ce jean protège votre carte bancaire des pirates informatiques VIDÉO – L’éditeur de logiciels s’associe à une marque de vêtements pour produire un pantalon et une veste qui empêchent le vol d’informations grâce à la technologie sans contact. Les pirates informatiques rêvent de vous faire les poches. C’est la menace agitée par Symantec, l’éditeur des logiciels antivirus Norton, et par Betabrand, une marque de vêtement de San Francisco.

Toujours est-il que même si le test a été réalisé par des informaticiens de pointe avec une technique très sophistiquée et non par de réels voleurs en Russie, si des moyens de protections sont proposées chez nous, c’est qu’un risque potentiel existe.

Ce scénario de fraude existe-t-il néanmoins pour de vrai en France où plus de 30 millions de cartes équipées circulaient fin 2014 ?

D’après un article de 2017, de Echos.fr : Seul le paiement sans contact affiche un taux de fraude relativement stable (0,020 %) au niveau national, conséquence d’un développement récent de cette technologie dans l’Hexagone. Avec des transactions qui ont triplé en 2016, « c’est la première année avec un taux d’utilisation significatif du paiement sans contact « , explique François Villeroy de Galhau. « Il n’y a cependant pas de remise en cause de la technologie sous-jacente « , souligne-t-il, rappelant que la fraude résulte toujours d’un vol ou d’une perte de la carte bancaire, précisant que « Le léger recul de la fraude sur la carte, ainsi que la stabilité observée sur celle des autres instruments de paiement, témoignent des efforts entrepris par les acteurs du marché des paiements en termes de sécurisation des transactions », assure l’Observatoire qui salue le déploiement continu de la solution d’authentification renforcée 3D Secure

z-1


Sources : buzzfeed.comledecodeur.chamazon.frobservatoire.banque-france.fr     lesechos.fr