Élisa Oudin
Quels sont réellement les risques ?
Un nouveau signalement, dans la presse, d’arnaques à la carte de paiement sans contact relance la question de la sécurité de ce type de transaction. Faut-il s’inquiéter pour sa carte bancaire et adopter des précautions particulières ?
Selon un article publié dans le Midi Libre le 16 mai 2021 (1), des petits escrocs sont parvenus à débiter des cartes de paiement sans contact dans le tramway de Montpellier. Les fraudeurs opéreraient dans les rames, munis d’un terminal de paiement (TPE) dans un sac, pour déclencher les opérations de paiement. Un agent du réseau de transport cité par Midi Libre témoigne : « Ils se déplacent par trois ou quatre, se collent aux gens et détournent leur attention d'une manière ou d’une autre. » Les sommes débitées sont plafonnées à 50 €, mais auraient été nombreuses selon le journal. Ce type de vol reste rare aujourd’hui, notamment en comparaison des paiements frauduleux sur Internet, même si des précédents ont déjà été signalés. Au mois d’aout 2019, par exemple, la police nationale a mis en garde les touristes à Nice contre un gang opérant sur les plages. Les malfrats, munis d’un TPE, auraient agi en se positionnant près des serviettes de vacanciers pour débiter les cartes.
Des freins à l’explosion de ce type d’arnaque
Depuis la hausse du paiement sans contact, boosté notamment par la crise sanitaire, les plaintes n’auraient cependant pas augmenté. « Ce type de détournement est d’un genre très différent des fraudes commises sur Internet qui sont le fait d’équipes beaucoup plus organisées et expertes en informatique. Le vol par paiement sans contact est plus à la portée de tout le monde », estime François Créhange, directeur produits et solutions chez Vérifone, spécialiste des méthodes de sécurisation des paiements. Mais selon lui, il existe aujourd’hui des freins à une explosion de ce type d’arnaque : les malfrats doivent posséder un compte bancaire au nom d’une société pour encaisser les sommes captées par le terminal de paiement. Avec le risque important d’être repérés. En outre, après 5 paiements sans contact, le code secret de la carte est automatiquement réclamé.
Attaque-relais
On ne peut cependant pas écarter, a priori, qu’une technique de fraude plus efficace (par exemple une attaque-relais, via un complice qui détourne un paiement en train d’être effectué) ne soit un jour mise en œuvre contre le sans contact. « Cette technique implique la présence de deux complices. Chacun est en possession d'un smartphone, muni d'un lecteur NFC (Near Field Communication). Le premier positionne son smartphone à quelques centimètres de la carte sans contact et envoie les données au second dont le téléphone est positionné près d’un terminal de paiement, rappelle Gildas Avoine, professeur en cryptologie à l'Insa Rennes. Il vaut mieux, dans tous les cas, opter pour quelques règles de prudence. Il est notamment conseillé de surveiller régulièrement ses comptes bancaires. »
Si l’on constate des paiements sans contact d’origine inconnue, il faut contacter immédiatement sa banque pour les contester. Celle-ci a l’obligation de rembourser toutes les sommes réalisées sans contact non autorisées par le client. La charge de la preuve d’une éventuelle négligence revient à l’établissement bancaire. Les petits étuis anti-ondes NFC dans lesquels on glisse sa carte sont tous efficaces pour empêcher un paiement. Ils peuvent constituer une protection lorsque l’on n’utilise pas sa carte (dans les transports en commun, les endroits bondés, etc.).