RMC

Paiement sans contact: "Il suffit d'être à côté d'une victime avec un lecteur pour lui voler 30 euros"

Le paiement sans contact devient de plus en plus populaire

Le paiement sans contact devient de plus en plus populaire - STEPHANE DANNA / AFP

Sans contact, mais pas sans risques. Dès octobre, le plafond des paiements sans contact par carte bleue, jusqu'ici limité à 20 euros, va être porté à 30 euros. Aux yeux de Gildas Avoine, professeur de cryptologie à l'INSA Rennes, c'est un garde-fou qui saute. Cette technologie, utilisée par 66% des clients bancaires et acceptée par plus d'un demi-million de commerçants, est victime d'attaques très singulières. Il explique lesquelles pour RMC.fr.

Gildas Avoine est professeur de cryptologie à l'INSA Rennes, une école d'ingénieurs. Il réagit à la hausse du plafond du paiement sans contact, réhaussé de 10 euros en octobre. 

"Ce passage de 20 à 30 euros ne change pas fondamentalement, mais le risque est qu'ensuite l'on passe à 50, puis à 100… Si les banques sont globalement de bons élèves en termes de sécurité, le paiement sans contact n'est pas sans risque. La fraude principale, sur laquelle je travaille à trouver des contre-mesures, c'est l'attaque par relai.

C'est très simple: il suffit d'un téléphone à côté de la carte bleue, placée elle dans la poche d'un manteau ou dans un sac, et un autre à côté d'un terminal de paiement qui communique avec le premier. La carte fait le paiement. Cette attaque fonctionne très bien. Si vous avez un smartphone compatible, vous téléchargez une application. Un téléphone fait lecteur, l'autre fait le paiement.

"Il suffit d'être à côté de la victime"

Cette méthode est plus utile, toutefois, dans le cadre d'un contrôle d'accès. On usurpe avec la même méthode une identité, en reproduisant le signal d'un badge, pour accéder à un lieu, exemple pour rentrer dans les locaux de RMC…

Que ce soit pour un paiement ou un contrôle d'accès, la méthode de communication est la même. Et techniquement, c'est facile. Il suffit d'être à côté de la victime, à quelques centimètres. Imaginez, un collègue qui scanne votre manteau au vestiaire, quelqu'un qui passe un lecteur sur votre veste au théâtre ou au cinéma. Cela n'implique pas le vol de la carte et c'est pour ça que c'est une attaque embêtante. Mais il y avait cette barrière des 20 euros, qui maintenant passe à 30.

"Un lecteur de carte qui récupère les informations"

L'autre attaque possible avec le sans contact, c'est de scanner la carte avec un lecteur pour en récupérer le numéro et la date de validité. La communication doit se faire à quelques centimètres. Mais pour récupérer ce genre d'informations, il y a d'autres méthodes: placer une petite caméra au-dessus d'un distributeur de billet, acheter des listes de cartes sur Internet…

L'autre problème du sans contact, et qui touche plus de gens, c'est que comme il n'y a pas de code PIN, un voleur peut payer avec votre carte, à plusieurs reprises. Le voleur se dit que, de base, il va pouvoir voler ces 30 euros là, c'est le principal risque. Si vous vous faites voler votre portefeuille, ce n'est certes pas beaucoup plus grave que si vous aviez 50 ou 100 euros dedans. Il n'empêche que pour un nombre de personnes, 30 euros ça représente une somme.

"On est pourtant capable de l'éviter"

Le seul moyen de ne pas prendre de risques, c'est de désactiver le sans contact, ce qu'on peut normalement faire depuis l'espace numérique de sa banque. Si les banques aujourd'hui augmentent le plafond à 30 euros, c'est qu'elles ont évalué la fraude que ça peut engendrer, et que ça leur rapporte plus que ça ne leur coûte.

On est pourtant capable avec certains moyens technologiques d'éviter l'attaque par relai. Pas de rendre le risque nul, mais de le réduire très fortement. Mais les banques estiment sans doute que la fraude n'est pas assez importante. Car modifier les cartes a un coût. Et l'innovation fait toujours peur.

La technologie du paiement sans contact est la même partout même si les cartes viennent de fournisseurs différents. En l'état actuel des choses, on ne peut pas dire que telle ou telle banque fournit une carte plus sécurisée qu'une autre."

Propos recueillis par Paul Conge