Avec la généralisation des puces NFC, plus besoin d’introduire sa carte de crédit ou de débit dans le terminal de caisse, puis de saisir un code PIN. Il suffit de la maintenir brièvement devant la zone de lecture de l’appareil pour que la transaction soit réglée. Seule contrainte: un montant d’achat plafonné à 40 fr.
Où est le codage?
Ce système, signalé sur les cartes par un petit logo représentant des ondes, est pratique, mais comporte des risques pour l’utilisateur. «Il y a une faille de sécurité: la transmission des données n’est pas codée», souligne ainsi Udo Hagemann, criminologue et expert en sécurité. Les escrocs peuvent ainsi capter les signaux, même lorsque la carte se trouve dans une poche ou un portemonnaie (lire encadré).
Nous avons donc demandé au spécialiste de réaliser un test en lui remettant 50 cartes de crédit, de débit et d’e-banking. Les résultats sont édifiants: à l’aide d’un récepteur – de la taille d’une calculatrice de poche – relié à un petit laptop, il est parvenu à extirper des données de toutes les cartes! Or, cet équipement ne coûte qu’une centaine de francs. Dans le détail, voici ce qui a été constaté.
⇨ Aucune carte ne disposait d’une transmission cryptée.
⇨ Il n’a fallu, à chaque fois, qu’une poignée de secondes à Udo Hagemann pour collecter les données.
⇨ Le récepteur fonctionnait à une distance maximale de 5 cm. C’est peu mais suffisant pour un escroc qui agit dans une foule, un bus ou sur un escalier roulant. Selon le spécialiste, des bandes professionnelles utilisent des appareils plus performants, efficaces jusqu’à 20 cm.
⇨ Notre expert a pu connaître le numéro et la date de fin de validité des cartes de crédit. Le nom du propriétaire n’était pas lisible. Mais cela ne constitue pas un véritable problème pour les voleurs qui peuvent ainsi faire leurs emplettes sur certains sites comme Amazon. La multinationale américaine, ainsi que de nombreuses boutiques web, ne vérifient pas que le nom donné correspond bien au numéro de la carte de crédit.
⇨ Avec les cartes de crédit de Migros, de Coop, des CFF, de Cornercard, de Viseca et de la Banque Cantonale de Saint-Gall, Udo Hagemann a pu prendre connaissance des achats précédents et des retraits d’espèces.
⇨ Les EC et les e-banking ont également transmis d’autres données, comme le numéro de série de la carte et la date de la dernière utilisation. Ces dernières ne sont toutefois d’aucune utilité pour faire des achats.
Visa facile à pirater
La plupart des banques rétorquent que l’utilisateur doit aussi fournir le code de sécurité à trois chiffres inscrit au dos de la carte lorsqu’il effectue un achat sur internet. Or, les escrocs professionnels contournent facilement cet obstacle en utilisant des programmes qui testent toutes les combinaisons jusqu’à trouver la bonne.
Une étude de l’Université de Newcastle (GB) montre que le risque concerne plus particulièrement les Visa. Car celles-ci ne possèdent pas de système de blocage lorsqu’un internaute introduit à plusieurs reprises un code de sécurité erroné. Les chercheurs ont pu ainsi utiliser avec succès, sur plus de 600 sites, un logiciel, qui a essayé toutes les combinaisons de dates d’échéance et de codes de sécurité jusqu’à trouver, en quelques secondes, les bons résultats. Cette méthode ne fonctionne toutefois pas avec la MasterCard.
Les émetteurs de cartes de crédit rejettent la faute sur les commerçants. Nadine Geissbühler, de Viseca, une des principales sociétés émettrices en Suisse (Raiffeisen, banques cantonales, etc.) relève aussi que, «lorsqu’un fraudeur achète sur Amazon avec une carte volée, la victime ne doit rien payer si elle a respecté son devoir de diligence». Mais le client doit d’abord annoncer un vol. Pour cela, vérifiez minutieusement vos factures de carte de crédit. Il est prudent, d’ailleurs, de renoncer au système de recouvrement direct (LSV) qui débite votre compte sitôt l’achat effectué. Avec une facture en fin de mois, vous aurez toujours l’option de ne payer que les montants justifiés.
Darko Cetojevic / Christian Birmele / seb
Conseils
Comment se protéger
La méthode la plus simple et la moins coûteuse
Obtenir une carte sans puce NFC, pour autant que votre banque offre cette possibilité (lire aussi page 31). La plupart des établissements, notamment les banques cantonales, Raiffeisen et UBS, acceptent que la demande soit faite par téléphone.
Autre possibilité
Acheter un petit étui de protection, un porte-cartes ou un portemonnaie spéciaux qui bloquent les ondes émises, empêchant ainsi la lecture des données.
