Jean-Marie Bigard et Jean-Louis Barrault pour lutter contre les légendes urbaines du paiement sans contact

FutureMag #12 Paiement sans contact

FutureMag #12 Paiement sans contact

"J’ai entendu à la radio c’matin : "On a une chance sur dix millions de se faire mordre par une chauve-souris enragée".

C’est le début du fameux sketch de Jean-Marie Bigard expliquant le cheminement de la peur de son personnage de se faire mordre par une chauve souris malgré toutes les "raisons raisonnables et raisonnantes" (1) de l’improbabilité de ce fait.

Bon mais admettons !

Cette chance sur dix millions de se faire mordre par une chauve souris, c’est une probabilité du même ordre que de se faire voler quelques informations de sa carte bancaire sans contact à distance. Et pourtant, cette même peur est propagée régulièrement par les médias, information régulièrement ressassée (une autre expression pour copier/coller) par des blogueurs ou des médias plus ou moins informés et en mal d’audience. C’est plus surprenant lorsque que cette approche vient d’Arte, de son normalement excellent magazine FutureMag co-réalisé le non-moins excellent Usbek et Rica de Jérome Ruskin, magazine que nous avons déjà présenté dans ce blog.

Dans le numéro 12 du samedi 26 Avril 2014, le troisième reportage est consacré au NFC (video en bas de ce billet). Il est globalement bien réalisé ; l’auteur de ce blog est aperçu 2 minutes (extrait de 3 heures de tournage) expliquant le principe du paiement et de la technologie sans contact – antenne et puce incluses. Ensuite, Gil Noirot, Expert en sécurité informatique,  effectue une démonstration de la lecture à "distance" d’informations d’une carte sans contact et le reportage remet en cause la sécurité des cartes bancaires sans contact. Une recherche rapide sur Internet montre que Gil Noirot est une relation de Renaud Lifchitz, à travers BT Global Services, le premier à avoir présenté cette possibilité de lire certaines informations de la carte sans contact dès 2012, et source unique de tous les articles sur le sujet depuis. Gil Noirot utilise également le même logiciel que Renaud Lifchitz dans sa présentation.

Cette lecture des données de la carte se traduit dans le commentaire "off" par "avec très peu de connaissances informatiques, tout le monde peut pirater une carte" .. dans le métro ou sur une place publique avec "une clé USB". Le reportage ne dit pas à quoi il faut connecter cette clé USB, probablement à un ordinateur, qu’il reste à approcher à moins de 2 cm de la carte sans contact du portefeuille dans la veste ou dans le sac de la victime. Détail sur lequel nous reviendrons.

Plus grave, "En quelques secondes, toutes les informations de la carte apparaissent à l’écran." Erreur majeure du commentaire, car ni le code CVV2 derrière la carte, ni le code personnel à 4 chiffres de la carte, les éléments clés de la sécurité, ne sont accessibles par cette méthode. Quand au nom du porteur, suite à des travaux entre la CNIL et le groupement Cartes Bancaires, il n’est plus accessible sur les cartes de dernière génération. On n’a connu Arte plus informé.

Il est effectivement possible de lire certaines informations d’une carte bancaire sans contact avec des logiciels sur un PC muni d’un lecteur NFC ou sur un mobile NFC, mais ceci dans des conditions très particulières – en labo on dans un bureau, carte collée sur le lecteur NFC, comme le montre le reportage ; des informations, rappelons le, accessibles à l’œil nu, en ce qui concerne le Nom, la Date d’expiration et le N° de la carte.

Bon, mais admettons (et l’on peut répéter cette même expression derrière chacun des arguments suivants, tout comme dans le sketch de Jean-Marie Bigard).

  • La technologie sans contact utilisée pour la communication entre la carte et le terminal de paiement électronique est volontairement très courte – 2 à 3 cm justement pour rendre très difficile une interception (contrairement à d’autres technologies comme le Bluetooth ou le Wifi).
  • Une carte de paiement est toujours rangée dans un portefeuille ou un porte-cartes, avec d’autres cartes, puis dans une poche de veste ou dans un sac à main, avec d’autres objets. L’épaisseur des portefeuilles ou des portes cartes, plus la veste, le manteau ou le sac rendent la lecture quasi-impossible.
  • Le voleur doit savoir exactement où se trouve la carte (quelle poche, emplacement dans le sac), la toucher quasi physiquement avec un mobile ou un lecteur NFC connecté à un ordinateur sans bouger, comme dans le reportage où la carte est même posée / en contact avec le lecteur, des conditions difficiles à obtenir dans la vraie vie pour un gain incertain.
  • Les informations de la carte présentées dans le reportage comme accessibles peuvent être vues bien plus facilement à l’œil nu sur la carte à chaque utilisation de cette dernière (nom, n°, date d’expiration) dans un magasin, un restaurant ou un distributeur.
  • Les informations lues ne peuvent en aucun cas permettre d’effectuer une copie de la carte
  • En cas de fraude par carte avec ou sans contact, le remboursement est assuré au consommateur par les banques et c’est la loi.
  • Il y a des façons beaucoup plus faciles de voler une carte et ses informations, y compris dans le métro, que ce soit physiquement, la bonne vieille méthode expliquée par Jean-Louis Barrault dans les Enfants du Paradis (2) ou à travers un achat en ligne sur des sites peu scrupuleux qui vont récupérer les informations de votre carte – la fraude sur Internet étant bien plus élevée que la fraude sur paiement par carte bancaire (avec ou sans contact) chez les commerçants.

Avec pourtant plus de 22 millions de cartes bancaires sans contact en France,  2 millions de transactions juste sur le mois de Février 2014, aucune "fraude majeure" (terme officiel) liée à la carte sans contact n’a été signalée  comme l’a confirmé récemment le service de la surveillance des moyens de paiement scripturaux à la Banque de France à la conférence PayForum. Et pourtant, malgré tous ces arguments, cette légende urbaine revient encore et encore en France.

La partie suivante du reportage montre bien que les anglais sont bien plus pragmatiques que nous et comme souvent vont de l’avant sur le paiement sans contact sans peur irrationnelle.

Cher lecteur du blog et spectateur de l’émission, si vraiment vous avez peur de vous faire pirater les informations de votre carte après ce reportage, vous devriez de suite non seulement arrêter d’acheter sur Internet mais n’allez plus dans le métro ou dans la rue avec votre portefeuille ou un sac à main car les risques en ligne ou physique sont infiniment supérieurs à tout attaque électronique.

Une fois de plus, sachons raison garder.

Pour les  industriels, il faut bien sûr continuer à améliorer la sécurité des moyens de paiement comme la carte bancaire (déjà le moyen de paiement le plus sûr) en coopération avec les instances compétentes, la CNIL, les experts de la sécurité et les hackers et toujours expliquer sans relâche, et en particulier auprès des médias pas toujours suffisamment informés, et avec patience, les services apportés par les nouvelles technologies comme dans les domaines du paiement et des services mobiles sans contact, ainsi que leur conséquences, avec clarté et sans paranoïa excessive.

En attendant, je continue à utiliser mes cartes sans contact (paiement, transport, accès, …) ainsi que leurs versions sur mobile NFC comme montré dans le reportage sans aucune appréhension, tout en profitant des gains de temps que cela procure, pas plus que je ne crains la rencontre d’une chauve souris enragée. Une simple question de bon sens.

A suivre.

Pierre Métivier

Note – Article réalisé à titre personnel et qui n’engage que moi et non mon employeur, le Forum des services mobiles sans contact.

(1 et 2) Contreparties "culturelles" dédiées à mes amis d’Arte, probablement choqués par l’allusion à Jean-Marie Bigard :-)

Le reportage sur le NFC d’ARTE

Pour le plaisir

About these ads

3 réponses à Jean-Marie Bigard et Jean-Louis Barrault pour lutter contre les légendes urbaines du paiement sans contact

  1. brihx dit :

    Bonjour,
    Pour moi la technologie NFC sur les CB c’est comme si l’on m’imposait d’utiliser Monéo (ici plus besoin de recharge).

    Les banques veulent la fin de la monnaie et suivre tous nos achats (adieu vie privée).

    Avec les cartes à puce (+code) nous avons les cartes bancaires les plus sûr au monde, pourquoi vouloir rendre attirante pour les voleurs nos CB avec ces technologies moins sûr ?
    Juste pour gagner quelques secondes en caisse ?

    Le paiement NFC est-il bloqué en cas de vol ?

    Brihx

  2. Ledubitatif dit :

    Pour moi le nfc n est pas la peur de se faire piquer les donner mais ce qj il y a ds le porte monnaie electronique tout ca pour gagner 30s chez le boulanger…

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 263 autres abonnés

%d bloggers like this: