La nuit est sombre, chaude et étouffante lorsque Bob passe les portes de la discothèque. Une musique rythmée, une partenaire de danse sexy, un corps-à-corps sensuel, une nuit qui se prolonge jusqu’au petit matin. Tout allait très bien, jusqu’à ce qu’il reçoive son relevé de compte quelques semaines plus tard : ce dernier indiquant que trois prélèvements mystérieux de 19,99 euros avaient été effectués sur son compte bancaire cette nuit-là. Étrange, puisqu’il avait payé toutes ses consommations en espèces. Il a dû se produire quelque chose d’inhabituel.
Sans les mains, ou plutôt, sans contact
Ce scénario cauchemardesque tourne autour du portefeuille de Bob ou, plus précisément, autour de la carte bancaire qu’il contient. En effet, sa carte bancaire est configurée pour autoriser les paiements sans contact. Payer n’a jamais été aussi simple : il suffit de tenir la carte à environ un centimètre du lecteur, sans avoir besoin d’entrer ce fichu code PIN. Les paiements étant limités à 20 euros, que pourrait-il bien arriver ? Dans le cas de Bob, quelque chose est arrivé. La question est de savoir si ce scénario est purement imaginaire, ou si cela pourrait vous arriver… dans une discothèque, le métro ou tout autre lieu bondé.
Coup d’œil sur la technologie NFC
Un peu de rétrospective : NFC ou Near Field Communication signifie en français « communication en champ proche ». Il s’agit d’un système qui permet l’échange de petits volumes d’informations entre deux appareils à la fréquence de 13,56 MHz. Lorsqu’un dispositif peut envoyer ou recevoir des informations, par exemple, le système Google Pay ou le lecteur de carte NFC à la caisse de votre supermarché, on dit qu’il est actif. Si le dispositif est semblable à votre carte bancaire compatible NFC et qu’il sert uniquement à transmettre des informations limitées relatives à votre compte, alors il est passif.
Les trois ingrédients principaux du sombre scénario de Bob existent bel et bien : les cartes NFC, les lecteurs NFC bon marché et des distances de transmission qui vont crescendo.
- Carte compatible NFC : la carte bancaire de Bob a été configurée pour autoriser les paiements sans contact, comme c’est probablement le cas de la vôtre. Ce type de carte est de plus en plus courant. Selon la Banque fédérale d’Allemagne, la plupart des cartes de paiement des fournisseurs internationaux ont une fonction de paiement sans contact et la majorité des nouvelles girocards (cartes de débit allemandes) devraient être dotées de cette fonction d’ici la fin de l’année 2019.
- Lecteur NFC : un lecteur est beaucoup plus petit que la caisse enregistreuse typique. Les derniers modèles sont à peu près de la taille d’un smartphone. À vrai dire, avec quelques modifications et logiciels supplémentaires, votre téléphone peut servir de lecteur de carte NFC.
- Distances de transmission : officiellement, le NFC Forum affirme que les deux appareils doivent être à quatre centimètres l’un de l’autre, ou moins, pour échanger des informations. Des chercheurs prétendent pouvoir étendre la portée de cette communication à 80 cm. Il en faut moins que ça pour danser le tango.
Les danseurs ne sont pas les seuls à tomber la chemise
Le monde de la sécurité est rempli de menaces qui ne deviennent pas forcément réalité. À première vue, la fraude aux cartes NFC en fait partie. Sur Internet, de nombreux articles décrivent la technologie NFC comme le prochain grand vecteur de fraude. Cette vague de criminalité tardant à arriver, le magazine britannique The Register décrit la lecture de cartes NFC comme « facile et dénuée de sens ».
Toutefois, des choses louches se trament. Selon l’organisme britannique de lutte contre la fraude financière Financial Fraud Action UK, l’année 2016 a connu une augmentation à la fois au niveau de la fraude et des dépenses par cartes sans contact. Près de 7 millions de livres sterling ont été prélevés frauduleusement en 2016, comparés à 2,8 millions l’année précédente, tandis que les dépenses sont passées de 7,75 milliards de livres sterling en 2015 à 25,2 milliards l’année suivante. Un coup d’œil rapide à ces chiffres indique que le ratio fraude/dépenses est virtuellement inchangé, mais qu’il se trame tout de même quelque chose de louche.
La dernière danse n’est pas pour tout de suite
Deux principales raisons expliquent pourquoi les crimes sans contact ne se sont pas encore matérialisés :
- Des options marchandes limitées : un fraudeur doit créer une société fictive pour pouvoir transformer ses données de carte NFC illicites en argent provenant de la banque. Cela représente un gros risque.
- Un enrichissement limité : les paiements sans contact étant plafonnés à 20 ou 30 euros, les gains résultant de chaque transaction sont bien faibles si l’on tient compte du risque encouru.
Mais restez sur vos gardes
Si l’une de ces deux conditions venait à changer, une vague de fraude pourrait alors voir le jour. Des pirates informatiques pourraient trouver un moyen de collecter des paiements NFC depuis la banque aussi facilement que pour les SMS d’arnaque surtaxés. Ou alors, les banquiers pourraient décider que la limite de 20 euros est bien trop restrictive et faire passer le plafond de paiement à 150 euros. Si l’un de ces deux changements se réalise, envisagez de conserver votre portefeuille dans une cage de Faraday ou de l’envelopper dans du papier alu !