Les puces RFID (pour identification par fréquence radio) ne datent pas d’aujourd’hui. Depuis plus de 20 ans, elles équipent notamment les télécommandes permettant de verrouiller et déverrouiller les voitures à distance avec un code antivol. Plus récemment, elles ont été intégrées aux cartes de crédit bancaires. Grâce à elles, plus besoin de dégainer son stylo ou de composer un code pour faire un paiement.
A l’heure actuelle, plus de 700000 cartes de crédit avec puce RFID circulent déjà en Suisse. Les plus diffusées sont celles de MasterCard qui sont identifiables grâce au logo «PayPass». Chez Visa, ce système, appelé «PayWave», n’est pas encore très répandu. Quant à la déclinaison «ExpressPay» d’American Express, elle n’a pas encore débarqué en Suisse.
Montant plafonné, transactions illimitées
Les commerces qui acceptent ce mode de paiement sont encore rares. On compte environ 1000 points de vente du groupe Valora (K Kiosk, Avec, etc.) et les fast-foods McDonald’s. Dans ces enseignes, plus besoin d’insérer sa carte de crédit dans un lecteur: il suffit de l’approcher d’une borne spécifique pour que le montant soit automatiquement débité. A condition, bien sûr, qu’elle contienne une puce RFID.
Cette nouvelle fonctionnalité ne permet néanmoins pas de régler des sommes supérieures à 40 fr. Dans les autres devises, ce plafond est fixé à 25 euros ou 25 dollars. En revanche, le nombre de transactions est illimité: «Le but est d’inciter nos clients à payer davantage de petits montants avec leur carte de crédit», concède Christine Gebhard, porte-parole de l’émetteur de cartes Viseca.
Le hic, c’est que cette technologie ouvre la porte à de nouvelles fraudes. Dans tous les cas, la sécurité semble régresser, étant donné que la puce RFID – de surcroît non désactivable – autorise des opérations sans signature ni code PIN. On pourrait donc imaginer qu’un lecteur mobile ou habilement placé extorque en toute discrétion de l’argent aux détenteurs d’une telle carte à chaque fois qu’ils passent devant lui.
Scénario irréaliste
«Un tel scénario est vraiment irréaliste, tente de rassurer Christine Gebhard, rappelant que la distance entre la carte et le lecteur ne peut excéder 4 cm. En outre, chaque exploitant doit disposer d’un terminal sur le compte d’une banque d’affaires.» Ce qui devrait permettre, à son avis, d’identifier très facilement les auteurs et de prévenir toute irrégularité. Et, en cas de vol, le montant maximal de 40 fr. paraît peu attractif pour les escrocs. Cependant, le nombre illimité de transactions peut multiplier ce montant à l’infini...
Enfin, selon Heinz Mathis, spécialiste RFID à la Haute Ecole technique de Rapperswil, il est impossible de lire illégalement les données d’une puce par fréquence radio pour les réutiliser par la suite: «Cela ne fonctionne que si la piste magnétique a été copiée physiquement.» Mais pour Albert Steck, de la Banque Migros, mieux vaut rester prudent: «On ne peut jamais totalement exclure les abus...»
Alex Hammerli / Yves-Noël Grin
Conseils élémentaires
- Conservez votre carte en prenant les mêmes précautions que pour l’argent, notamment en contrôlant régulièrement qu’elle est toujours en votre possession!
- Vérifiez le ticket après chaque paiement.
- Bloquez immédiatement la carte en cas de perte ou de vol.
- Vérifiez minutieusement les preuves de paiement et le décompte mensuel de votre carte. Les anomalies doivent être signalées dans un délai de 30 jours et par écrit.
- Déposez une plainte et informez la banque émettrice de la perte ou du vol de votre carte par écrit. Glissez dans le courrier une copie de la plainte déposée.
Si le titulaire n’a pas violé son obligation d’agir avec soin et diligence, l’émetteur de cartes Viseca prend tous les dommages à sa charge. Toutefois, en cas d’abus, le client doit s’acquitter d’une franchise qui se monte, par exemple, à 100 fr. à UBS. Comme pour les cartes de crédit classiques, le détenteur doit donc partiellement assumer les risques d’abus.