Rien de plus simple que de faire un paiement sans contact: il suffit de maintenir brièvement la carte à proximité du terminal pour valider l’opération. Cette sorte de transactions a bondi durant la crise sanitaire. Le relèvement, l’an dernier, de la limite de paiement sans saisir son code PIN – de 40 fr. à 80 fr. – y a probablement contribué.
Cette technologie n’est toutefois pas sans risques. Des experts soulignent régulièrement des failles de sécurité. On trouve désormais des terminaux mobiles bon marché qui permettent facilement d’effectuer des transactions électroniques. Munis d’un lecteur de paiement dans un sac, des escrocs pourraient s’approcher de leurs victimes pour débiter leurs cartes à leur insu.
Lecteur simple à utiliser
Cette arnaque est-elle potentiellement facile à commettre? Pour le savoir, nous nous sommes procuré le terminal de paiement SumUp Air, vendu 39.90 fr. chez Fust. Ce petit appareil accepte les principales cartes bancaires en tous lieux et à tout moment. Pour l’utiliser, il suffit d’ouvrir un compte auprès de la société SumUp, basée à Londres.
Le lecteur est destiné aux commerçants, mais la saisie d’un numéro d’identification est facultative. Un compte de smartphone fait office de compte bancaire. Pas besoin non plus de s’identifier avec une pièce d’identité officielle. On peut facilement connecter un téléphone portable au dispositif par Bluetooth. Reste à saisir le montant à payer dans l’application SumUp et le tour est joué. L’entreprise transfère ensuite l’argent – déduit de frais compris entre 1,5% et 2,5% – sur le compte indiqué dans un délai de un à deux jours.
Technologie peu sûre
Le montant saisi est débité dès qu’on approche une carte du terminal. Notre test démontre que le paiement est déclenché même si la carte se trouve à l’intérieur d’un portefeuille, dans la poche de pantalon d’un individu. Certes, le paiement sans contact n’est normalement possible qu’à une distance de quelques centimètres. Le signal provenant du terminal peut cependant être amplifié à l’aide d’une antenne. La transaction peut être ainsi déclenchée à une distance de cinq centimètres ou plus, indique Nicolas Mayencourt, directeur de l’entreprise de sécurité informatique Dreamlab Technologies.
La technologie NFC (Near Field Communication) utilisée pour les paiements sans contact est peu sûre, estime l’expert. De son côté, SumUp affirme que la sécurité est la priorité absolue. Dès que des transactions suspectes sont détectées, le compte correspondant est bloqué, souligne une porte-parole. Une vérification a lieu automatiquement lors de l’ouverture d’un compte. Notre essai montre toutefois que ce n’est pas toujours le cas.
Risques limités
De leur côté, les établissements financiers ont tendance à minimiser ces risques. Cette sorte de vols «ne peut être couronnée de succès que dans des cas particuliers», estime un porte-parole de SIX Group, le leader des services de traitement pour cartes de débit en Suisse. L’escroquerie sera rapidement découverte, soit grâce à la surveillance des fournisseurs de cartes, soit par le titulaire de la carte, fait-il remarquer.
La surveillance effectuée par les prestataires de cartes n’est cependant pas infaillible. Des transactions abusives peuvent passer inaperçues. De plus, le client risque de ne pas remarquer le prélèvement illégal. Et s’il identifie une transaction douteuse en contrôlant son relevé mensuel, il ne va pas nécessairement intervenir auprès de sa banque vu le faible montant en jeu.
Thomas Lattmann / ab
Les précautions à prendre
Près de 90% des cartes de débit et de crédit en circulation en Suisse sont équipées d’une puce NFC, qui permet de payer sans contact. Pour éviter tout risque de piratage, il suffit de bloquer les signaux en glissant sa carte bancaire dans un étui anti-ondes. On trouve aussi des portefeuilles qui rendent impossible la lecture des cartes. Si on ne souhaite pas utiliser cette technologie, il faut demander à sa banque si une carte sans contact est disponible. Il est déconseillé de détruire soi-même la puce, au risque de rendre la carte inutilisable. En cas de perte de carte, il faut immédiatement la faire bloquer. Tant que le client s’acquitte de son devoir de diligence, l’émetteur est, en principe, tenu d’endosser le risque en cas d’utilisation frauduleuse par un tiers. Il est en outre recommandé de surveiller régulièrement ses comptes bancaires.
