Payez avec une touche
Les cartes de crédit et les cartes de débit sont désormais entrées dans une nouvelle ère, en phase avec la rapidité des paiements électroniques et la facilité des paiements en ligne. Si à son apparition, il y a quelques décennies, la carte de crédit était lue avec un lecteur mécanique qui recopiait le numéro à utiliser pour la transaction sur une sorte de papier carbone du reçu, aujourd'hui les cartes de crédit et de débit sont lues exclusivement par voie électronique.
C'est le fameux POS (acronyme de Point Of Sale, c'est-à-dire "point de vente") où nous insérons tous notre carte pour payer des courses, des vêtements ou même juste une bière. L'objectif est de réduire et de décourager l'usage des espèces et de nombreux pays, notamment en Europe du Nord, sont déjà quasiment "cash free" : il est aussi possible d'utiliser les cartes pour monter dans le métro (en fait c'est aussi possible à Rome et Milan) ou payer un café.
Du point de vente où la carte est insérée, nous sommes rapidement passés au point de vente basé sur la technologie RFID ou NFC, qui reconnaît essentiellement un appareil électronique particulier à distance sans besoin de contact physique. C'est la même technologie qui, par exemple, est utilisée pour prévenir les vols dans les magasins en apposant des étiquettes particulières qui sont détectées à la sortie.
L'utilisation de la carte sans contact accélère les opérations de paiement et permet l'utilisation rapide de lecteurs dédiés même dans des situations de fort trafic de personnes, comme dans les gares, les métros, etc. Il suffit de poser (ou "plug" selon un vilain néologisme emprunté à l'anglais) la carte sur le lecteur ou de la toucher pour que le paiement soit débité instantanément. En général moins de 25€ de dépenses, aucun code n'est nécessaire et la charge est instantanée.
Peuvent-ils voler mes données personnelles ?
L'utilisation sans contact a soulevé des questions sur la sécurité d'un paiement aussi rapide qui ne nécessite aucune autorisation. Aussi complices de légendes urbaines, oui il y a une certaine peur sur l'utilisation de ces cartes. Essayons de clarifier. La crainte est que la carte de crédit puisse être lue à distance afin d'utiliser les données pour effectuer des achats, peut-être en ligne, ou pour créer des clones physiques de la carte elle-même.
Il y a quelques années, il y avait des reportages à la télé et dans les journaux, avec une photo, devenue virale, d'un type qui avait un lecteur portable dans un bus pour voler des cartes simplement en passant près de passagers sans méfiance. Cette histoire a été grandement exagérée et agrandie, mais en théorie le danger est là.
Depuis que les cartes de crédit et de débit existent, les personnes malveillantes ont appris à disposer de « skimmers » ou cloneurs, qui, en passant la carte dessus, détectent les données qu'elle contient, permettant de les cloner. Aujourd'hui je PLV portable, petit et discret, à utiliser également avec un téléphone mobile pour demander un paiement. Ils sont utilisés par des consultants et des professionnels qui peuvent voyager beaucoup pour faire payer leurs factures sur place. En théorie, il suffit à un attaquant d'utiliser un POS portable pour lire les cartes de personnes identifiées au hasard dans les transports en commun ou encore pour faire créditer des sommes sur son compte courant à son insu.
Même aujourd'hui, il existe des applications qui, si elles sont utilisées sur des téléphones dotés de la technologie RFID, vous permettent de lire les données de vos propres cartes ou de celles d'autres personnes équipées de la technologie sans contact, mais en réalité, le vol de données n'est pas si immédiat.
Comment se défendre ?
Il existe différentes manières d'éviter les abus et les utilisations frauduleuses de ses moyens de paiement électronique, mais il faut aussi distinguer la vraie alerte des canulars. En général, il existe deux risques; le premier est le débit immédiat des dépenses non effectuées, le second est l'interception des numéros de cartes pour pouvoir les utiliser peut-être sur des sites de e-commerce.
L'utilisation des lecteurs portables est principalement limitée par la proximité de la carte à lire, qui doit s'y trouver à quelques centimètres loin du lecteur : il est donc difficile de lire une carte si elle est conservée dans un sac ou dans une poche intérieure, plus vraisemblablement qu'une lecture peut se faire en gardant le portefeuille dans la poche arrière du pantalon.
Des appareils frauduleux capables de "lire" des cartes à 80 cm ont été créés, mais ils ne sont certainement pas à la portée des petits voleurs. Même si le voleur voulait utiliser un lecteur de point de vente portable couramment sur le marché, en supposant que personne ne le voit, il faut considérer qu'il devrait débiter les cartes volées d'un compte courant et qui serait donc toujours facilement traçable. À moins d'utiliser des comptes courants virtuels, peut-être basés dans des pays étrangers ayant peu de contrôle sur ces procédures, une telle procédure serait risquée pour le voleur.
Il existe également des systèmes de cryptage utilisés par les cartes pour "parler" aux terminaux de point de vente qui les protègent des interceptions effectuées avec des appareils qui ne sont pas régulièrement signalés.
Enfin, il y a les faibles limites de dépenses pour l'utilisation de cartes sans contact sans autorisation, grâce auxquelles il est possible d'éviter les débits frauduleux. Le le système est donc intrinsèquement sûr, selon Kaspersky Lab qui, il y a déjà des années, définissait le risque de vol comme très faible, mais il existe toujours la possibilité de voler certaines informations (mais heureusement pas toutes) des cartes de crédit, comme n'importe qui peut le prouver en utilisant l'une des nombreuses applications pour lire systèmes sans contact.
Cas et méthodes de blindage faciles
Pour ceux qui ne veulent pas vivre dans l'anxiété, cependant, il existe des méthodes simples pour défendre la confidentialité de leurs cartes de crédit. Tout d'abord, des étuis pour cartes de crédit peuvent être achetés (également sur Amazon) pour quelques euros, ils sont capables de protéger la carte contre les interceptions RFID, quelqu'un recommande d'emballer la carte dans du papier d'aluminium, mais il n'y a aucune garantie que cela fonctionnera et il est de toute façon une méthode peu pratique.
Certains vont jusqu'à recommander d'utiliser un foret très fin pour détruire l'antenne RFID de la carte de crédit, mais c'est un méthode résolument paranoïaque ce qui n'entraînera probablement que la destruction de la carte elle-même.
Règles de prudence toujours valables
Dans tous les cas, les règles de prudence à adopter avec toute carte physique s'appliquent aux cartes sans contact pour éviter que le nom et le numéro de carte ne soient facilement copiés et donc réutilisables. Les mêmes règles s'appliquent lors de l'utilisation du téléphone mobile comme moyen de paiement sans contact, même si dans ce cas, il est plus facile désactiver la fonction sur le téléphone mobile et un code PIN préventif est toujours requis avant le paiement.
Nul besoin de matériel sophistiqué si vous disposez de papier, ne serait-ce que pour un court instant : il suffit de recopier toutes les données affichées avec un stylo pour causer des dégâts considérables en achetant en ligne frauduleusement.
Le passage physique de la carte doit donc être limité au maximum, il est donc préférable de "brancher" ou de glisser la carte en personne au point de vente sans le confier à des vendeurs ou des serveurs et il vaut la peine de couvrir une partie du numéro et des codes de contrôle imprimés au dos de la carte avec un morceau de ruban adhésif. Le mieux serait encore d'effacer les codes au dos avec un cutter et de les mémoriser.
Soyez prudent même lorsque vous utilisez personnellement un point de vente : saisissez toujours le code PIN à l'abri des regards indiscrets et éventuellement couvrir d'une main pour éviter les caméras de la pièce où vous vous trouvez. De nombreuses banques ou circuits de cartes bancaires permettent de désactiver la fonction sans contact depuis le web et il convient donc de se renseigner afin d'avoir une sécurité totale en ce sens.
Les fonctions que les banques mettent à disposition pour contrôler leurs transactions électroniques doivent alors être activées : alertes SMS pour chaque dépense et relevés de compte quotidiens sur le téléphone mobile, afin de toujours avoir le contrôle sur les dépenses effectuées et de prévenir rapidement la banque en cas d'utilisation frauduleuse.
