Où en est-on avec le paiement sans contact ? Comment ça marche ? Quels sont les risques ?
Le paiement sans contact est une technologie qui commence à se démocratiser, mais qui est très loin de faire l'unanimité. Fonctionnant à l'aide de la technologie NFC, le sans contact est de plus en plus souvent proposé par nos banques, mais le manque d'informations sur le sujet et les problèmes de sécurité déjà rencontrés peuvent faire peur.
C'est quoi ? Comment ça marche ?
Vous avez peut être déjà vu cette publicité pour le paiement sans contact très prometteuse. En effet, elle fait la promotion de cette technologie particulièrement simple et rapide qui permet de payer ses achats chez les commerçants.
Sur la papier, ça parait sympa !
Aujourd'hui, le paiement sans contact est de plus en plus présent dans notre quotidien. Les banques proposent cette technologie sur les cartes bleues. Des constructeurs de smartphones, des opérateurs de téléphonie mobile et bien d'autres proposent directement le paiement sans contact. En gros, nous risquons d'être envahis prochainement par ce moyen de paiement.
Le principe est simple ! Mais comment ça marche ?
Approchez un moyen de paiement sans contact d'un terminal et le paiement se fait quasiment instantanément. Il n'y a pas de signature à faire, pas de code PIN à taper sur un clavier, bref c'est très rapide. Pour fonctionner, le paiement sans contact utilise la radio-identification, RFID pour les intimes et la technologie Near Field Communication (NFC) qui est aujourd'hui présente dans la majorité de nos smartphones et tablettes.
La Radio Identification ou RFID : Cette technologie d'identification est aujourd'hui utilisée pour beaucoup de choses puisqu'il s'agit d'une espèce de code-barre électronique. On peut retrouver le RFID dans les passeports, les animaux de compagnie (puces d'identification), les vêtements (antivol dans les magasins) et du coup dans nos cartes bleues.
Le NFC : Si la RFID permet l'identification, le NFC permet quand à lui d'échanger des données. Il s'agit d'une technologie de communication sans fil à courte portée (10 cm maximum) et haute fréquence. Une espèce d'extension de la technologie RFID.
L'assemblage de ces deux technologies permet donc à votre moyen de paiement de s'identifier puis de réaliser la transaction sur le Terminal de Paiement Electronique (TPE) du commerçant.
Où en est le paiement sans contact en France ?
Selon l'Observatoire du NFC et du sans-contact, pas moins de 34,7 millions de cartes équipées étaient en circulation en mars 2015 soit 54% des cartes en circulation en France. Ce chiffre ne cesse d'augmenter car les banques équipent par défaut les clients. D'après un sondage Odexa dont les résultats ont été publiés le 22 janvier, 57% des Français jugent le paiement sans contact inutile et seulement 15% ont déjà essayé la technologie.
Du coup, chers lecteurs d'Hitek, merci de répondre à cette mini enquête juste ci-dessous en cochant les différentes affirmations justes.
De très nombreuses enseignes proposent désormais le paiement sans contact comme vous pouvez le voir sur la carte interactive juste ci-dessous. Environ 280 000 points de vente sont équipés, soit 21,5%. On remarque d'ailleurs que beaucoup de grandes enseignes ont adopté la technologie comme : Carrefour, Casino, Flunch, McDonald's, Super U, Leroy Merlin et bien d'autres.
Est-ce qu'il y a des risques ?
Les premiers clients qui ont été équipés de cartes compatibles avec le paiement sans contact couraient véritablement un risque de fraude. Avant septembre 2012, il suffit de s'équiper d'un smartphone Android disposant du NFC, installer une petite application et il était possible d'accéder à un grand nombre d'informations comme le nom du titulaire de la carte, numéros et date de validé ainsi que l'historique de paiement. Depuis, cette "faille" a été remontée aux banques et il semblerait qu'un tiers ne puisse plus accéder à ces informations.
Démonstration du vol de données avec le système de paiement sans contact. Bien entendu, cette démonstration a été faite sur une ancienne génération.
D'après Visa, le paiement sans contact est aussi bien sécurisé qu'une transaction classique. La puce NFC utilise un très haut niveau de cryptage et les données échangées avec le terminal de paiement sont également cryptées. En gros, aujourd'hui, le risque est minime avec cette technologie. Bien entendu, comme toujours, n'importe quel système de sécurité est contournable. Cependant, aucune fraude d'importance n'a été constatée pour le moment.
Comme avec une carte bleue "traditionnelle", le principal risque est d'égarer sa carte ou de se la faire voler. Pour éviter qu'un voleur puisse utiliser le NFC de votre carte bleue à outrance en cas de vol, le paiement sans contact n'est utilisable que pour des montants inférieurs à 20 euros. Autre limite, les banques autorisent des transactions successives jusqu'à 80 euros seulement. Ensuite, votre code secret sera demandé afin de réactiver de nouveau la fonctionnalité.
Le risque 0 n'existe pas ! Quelles sont les solutions ?
Si (à priori) le paiement sans contact n'est pas beaucoup plus risqué qu'un paiement par carte bleue traditionnel, nous ne sommes pas à l'abri d'un vol d'informations même cryptées.
Les banques proposent aux clients de désactiver cette fonctionnalité qui, la plupart du temps, est activée par défaut lorsque votre carte est renouvelée. Pour vérifier si vous avez le service, il suffit de regarder si le logo du paiement sans contact est visible sur votre carte.
Autre solution intéressante si vous souhaitez utiliser le paiement sans contact sans prendre de risque, il existe des petits étuis qui vont vous permettre d'éviter le vol d'informations en neutralisant les communications. On en trouve notamment sur Amazon et c'est pas bien cher, 8 euros les 5.
Pour info les banques ont toutes ces protèges carte, donc vous pouvez allez en demander une en agence au lieu de l'acheter.
Il n'est pas donc pas étonnant que certaines personnes ne connaissent pas cette disponibilité, et en travaillant dans la vente je peux t'assurer que c'est vrai : j'ai de nombreux clients à qui j'ai moi-même dû expliquer ce que c'était que le sans-contact car ils l'ignoraient, il y a même certains commerçants qui n'hésitent p
Donc, il y a même des commerçants qui le font sans prévenir le client, qui se retrouve un peu démuni face à l'acte.
Par contre cette année 2015, j'ai effectivement reçu le courrier en recevant une nouvelle carte bleu, ce qui montre que les banques sont un peu plus préventives là-dessus.
Mais j'ai tout de même une confiance modérée en ce système : c'est pratique mais ça reste dangereux je trouve.
Dans la plupart des supermarchés les terminaux de payement sont équipés mais le caissier te dit toujours d'insérer ta carte et si tu tentes quand même un payement sans contact il te prend pour un cinglé (True Story).
Il n'y a que dans certains bars ou restaurants ou j'ai vu le serveur utiliser ça quand tu lui passe ta carte.
Pour info : le NFC est aussi ce qui est utilisé dans les amiibo, même si on en entend très peu parler c'est une technologie assez présente aujourd'hui et sur laquelle il y a un travail constant pour la sécurité des données (cf IoT).
ça va c'est bon je l'ai précisé entre parenthèses lel
A compter du 2014 et même avant pour certaines banques, les échanges sont dorénavant cryptés et il est presque impossible aujourd'hui de frauder dans ce sens.
Si tu as un téléphone NFC, je te conseil d'essayer en testant avec une appli dispo sur les stores !
De toute manière si votre CB est au fond de votre porte feuille ou de votre porte carte, que vous ne vous amusez pas à la sortir n'importe ou à la laisser traîner il n'y à pas grand risque...
Et puis notre compte bancaire peut tout à fait etre piraté sans qu'on ait une carte sans contact ou pas.
Bref le sans contact c'est super pratique et la plus part des personnes qui trouvent ça peu sécurisé on juste "peur" du changement, peur qu'on bouscule leurs habitudes.
Par exemple, un hôtelier peut, avec tes coordonnées bancaires, te facturer tout un tas de "frais" que tu sera bien en peine de contester. Cf. l'hôtelier anglais qui facturait les avis négatifs sur le net.
Ensuite, s'il est exact que le système informatique d'une banque peut être piraté alors que tu n'as pas de carte du tout, la différence est que c'est LEUR problème. Là au moins, ils ne risquent pas (encore que ?) de te refiler leurs responsabilités.
De toutes façons, tu paieras l'assurance…
Tu sais, ça fait des années qu'on sait récupérer un signal enterré très, très profond sous le bruit en utilisant ses caractéristiques statistiques. C'est juste qu'autrefois, c'était cher.
ça fait gagner du temps, et qu'on se le dise, le seul risque présent réside dans la tête des consommateurs qui ont peur pour pas grand chose.. De tout manière une fois le plafond de 90€ atteint en paiement NFC, il faut impérativement rentrer son code confidentiel pour pouvoir continuer de se servir de sa carte via le NFC.. Mais bon, en bons français que nous sommes, la technologie et l'avenir, ça effraie !
Le risque n'est pas de se faire voler sa carte mais de se faire voler les informations qu'elle contient.
Je peux vous assurer que le vol d'information n'est pas un mythe.
De part mon métier je suis de toute évidence, globalement, pour les avancées technologiques. Je ne critique en rien le RFID mais celui n'a pour l'instant aucune place dans une CB.
Le paiement sans contact n'est pas une avancé qui répond à un besoin utilisateur mais qui créer un besoin utilisateur.
Je passe le détail sur la carte NFC, j'ai fais un commentaire la dessus. Toutes les avancées technologique ne sont pas bonne à prendre et à suivre.
Maintenant chacun fait ce qu'il veut et j'espère que tu ne verra jamais sur ton compte bancaire des débits obscures ...
Votre numéro de carte bleue et votre date de fin de validité circulent en claire, c'est a dire que ces informations ne sont pas chiffrées et sont entièrement lisibles si elles sont récupérées.
Sur la CB, la puce RFID est toujours active.
On peut voire la CB comme un émetteur RFID et le terminal de paiement comme un lecteur RFID.
Donc il suffit de posséder un lecteur RFID pour pouvoir accéder aux informations de votre carte et, évidemment, celles qui nous intéressent sont, le numéro et la date de fin de validité.
Comme c'est dis dans l'article, les ondes sont émises sur des très hautes fréquences et donc la porté max entre le lecteur et l'émetteur doit être très courte. Pour autant une bonne heure de pointe à Paris dans le métro avec un lecteur RFID dans le sac a dos suffit à récupérer quelques numéros de CB.
Alors oui, sur les site de e-commerce français il nous faut encore le petit cryptogramme à 3 chiffres pour valider un paiement mais sachez que ceci n'est pas vrai dans tout les Pays et que beaucoup de sites de e-commerce étranger n'en n'ont pas besoin.
Pour ceux qui se diront "mais non c'est sécurisé etc", je vous invite à faire le test. Achetez un lecteur RFID (une 50aine d€ en moyenne) et suivez un petit tuto pour le faire fonctionner avec votre carte bleu. Je penses que vous serez étonné de voire votre numéro de carte s'afficher.
Bref pour l'instant dans le monde de la CB cette technologie n'apporte rien, ne répond pas à un réel besoin. On peut la qualifier de gadget.
Pour ceux qui souhaite se protéger de ça, 2 choses.
1 demandez à votre banque une carte non NFC
2 Si votre banque vous donne quand même une carte NFC, essayez de repérer la puce à l’intérieure de la CB. Vous pouvez la voir par translucidité en approchant la carte d'une lumière assez forte. Vous allez voire un truc carré (la puce) et une sorte d'escargot (l'antenne). Avec un aiguille, percez la carte au niveau du branchement de l'antenne sur la puce. De ce fait votre émetteur Rfid sera KO et plus de soucis pour vous.
Plus softeux qu'hyperman ou je me trompe ?
La transmission d'énergie et l'activation se fait à 13 MégaHerz et des broutilles. La fréquence exacte est "sacrifiée", personne ne s'en sert pour des télécom. Par exemple, on s'en sert pour souder des feuilles de plastique ensemble, pour faire des ballons de plages ou des trucs comme ça. Ça fait partie de ce qu'on appelle les "ondes courtes", qui permettent, avec une bonne antenne, une poignée de watts et un peu de pot, de discuter le coup avec l'Australie.
La fréquence où l'on papote entre carte (alimentée par l'autre signal) et lecteur se trouve à peu près à 430 MHz. Encore une fréquence "sacrifiée", que n'importe qui peut utiliser sans la moindre autorisation. Ça correspond au début des UHF, pas bien loin des fréquences utilisées pour la télé. Plus question de faire le tour de la terre avec ça vu que ce sont des ondes qui vont "tout droit" (quand la HF joue au ping pong avec l'ionosphère).
Donc, désolé mais "les ondes sont émises sur des très hautes fréquences" peuvent avoir une portée vachement considérable, c'est une question de puissance et d'antenne.
Par contre, le lecteur NFC, tout petit avec des antennes pourries, c'est pas ce qui se fait de mieux pour explorer une carte bancaire qui raconte sa vie. Avec un matos correct,5, peut-être même 10 m de portée,ça doit pouvoir se faire.
Après, c'est une question de choix (et de compétence) technique. Antenne à balayage électronique ou formation de faisceau par le calcul ?
Dans le premier cas, on interroge les cartes l'une après l'autre, dans le second on les interroge simultanément, mais ce n'est pas le même prix.
Ramasser les 20 euros "offerts gratuitement" sur chaque carte (à 1 million de carte par jour, ça vaut le coup, non ?) ou casser le cryptage ? Il y a 20 ans, il fallait plusieurs semaines pour ça. De nos jours ? Je ne sais pas trop, question de puissance de calcul…
Ce qui nous sauve, c'est que les petits gars du grand banditisme sont encore plus demeurés que les banquiers. Sinon, ils seraient banquiers et gagneraient bien plus de fric comme ça !
( https://caisse-epargne.fr/particuliers/…)
je ne sais pas si c'est le cas pour les autres banques, en tout cas, l'étui qu'ils m'ont donné fonctionne bien
Utiliser un bout de plastique ou tout le pognon est en libre service je ne trouve pas ça formateur. Ça n'apprend pas à compter. Ça n'apprend pas "la valeur de l'argent" (même un minot voit bien que certaines pièces sont plus grosses que d'autre).
Par contre, ça apprend à devenir l'esclave décérébré d'un banquier ou d'un troupeau de fonctionnaires.
Pas comme au monopoli ou tu peu le toucher .
Je parlai de se coter argent réel.
Je te cite"Par contre, ça apprend à devenir l'esclave décérébré d'un banquier ou d'un troupeau de fonctionnaires."
tu crois pas que le gamin avec sa première paie qui gère mal (car il visualise pas bien le coter virtuel de son argent) et a une tonne d agio leur est pas plus utile que le gamin qui a appris avec les 20/ 40 euro que tu lui aura donné avec ta carte pour acheter le pain et 2 bonbon ??
De plus perso je préfère avoir une carte que l on me vol et je perd 20 euro (car tu peu pas te faire vider ton compte 20 euro par jour) que passer au distributeur me faire frapper pour me voler 100 euro avant que je valide le montant de 20.
Continuez à faire des articles de ce genre !!!
http://www.zataz.com/piratage-cb-nfc/
Même si on en voit pas l'intérêt, l'argent liquide permet d'avoir une petite sécurité, placer dans un coffre en cas de crise car si cela nous arrive (Comme en Grèce par exemple) vous avez un nombre sur votre compte que vous pensiez être à vous, mais vous ne pourriez pas l'utiliser.
Pour en revenir au puce dans la carte, je trouve çà plutôt mauvais. Un vol de portefeuille par exemple avec votre carte "pucé" NFC, le voleur pourra faire des petits achats tranquilou sur votre dos. Tandis que l'avoir sur son portable, j'avoue j'ai pas encore utiliser mais çà doit être mieux dans un sens car même en cas de vol de téléphone, le voleur ne saura pas si vous avez synchronisé votre compte bancaire avec votre téléphone.
Le NFC est pratique dans certain cas. Mais je pense qu'il y à de grand risque si ce système se démocratise trop.
Pour les banques, il a le défaut d'être gratuit, quand "leur argent à eux" est payant ! Pire encore, il permet de se passer de banque. C'est quel footeux déjà qui proposait à tous de se barrer de leur banque pour un moment ? Au vu du tombereau d'insultes qui s'en est ensuivi, l'espace d'un instant ils ont eu peur. Réellement peur.
Coté politiques, il y a bien entendu le coté "trafic d'influence" habituel (un politicien, une fois lourdé, peut avoir besoin d'un job grassement payé ; dans une banque par exemple). Plus le besoin maladif de tout contrôler, de tout savoir sur chacun de nous. Big brother !
Si ce système avait été mis en place à l'époque, pas un seul résistant n'aurait survécu (sauf ceux de 1946 bien entendu) à l'efficacité des flics et juges "aux ordres"…
Enrouler sa carte du papier d'alu!!! Ca coûte bien moins cher...
Sinon 8€ les 5... l'arnaque!
Avec plusieurs tours, faute de faire contact ça fait condensateur, c'est déjà ça. À 432 MHz ça marche, à 13 MHz beaucoup moins.
Là, le mieux est de prendre un bout de fil rigide d'électricien, de le plier pour en faire un cadre autour de la carte et de mettre le raccorder à lui même pour faire une spire en court-circuit (soudure ou domino). tant que la carte reste dans son "cadre, bien malin qui pourra l'alimenter à distance.
Maintenant, ceinture et bretelles c'est pas déconnant non plus, notamment avec les étuis du commerce (pas certains qu'ils soient tous efficaces, d'ailleurs)
Ca me fait penser à ces "patchs" qu'on colle sur nos smartphones pour réduire les ondes, c'est quand même honteux de commercialiser ça alors que l'inclure dans le téléphone serait le minimum.
Bientôt ils vont nous faire des DLC dans la vraie vie ...