TECHNEE

View Original

Comment protéger sa carte bancaire contre la fraude au paiement sans contact ?

05 Juin 2021 - Alexandra - (mise à jour 25 mai 2022)

Facilité de gestion en caisse, accessibilité et commodité sont les avantages du paiement sans contact utilisant la technologie NFC. Sans surprise, le concept se démocratise à l’échelle internationale. La rançon de ce succès est le développement de techniques de fraude malicieuses. En effet le paiement sans contact a ouvert la voie au télé-pickpocketing, une technique de piratage de carte bancaire à distance utilisant le NFC. Plusieurs mesures peuvent vous prévenir de ces tentatives d’escroquerie.

Les situations de fraude au paiement au NFC

Une étude récente de l’Observatoire de la sécurité des moyens de paiement a démontré l’essor du paiement sans contact. Sa vulgarisation a encouragé les fraudes au paiement sans contact qui se manifestent sous plusieurs formes.

L’usage de TPE pour soutirer de l’argent à l’insu du propriétaire

Les fraudeurs s’équipent d’un TPE (un terminal de paiement électronique). Le dispositif possède la faculté de lire les données des cartes bancaires. Puis, l’outil soutire une somme, dont le montant est plafonné à 50 euros. De cette manière s’opère la fraude au paiement sans contact.

L’escroquerie implique parfois plusieurs intervenants (entre 3 à 4 personnes) mais elle peut très bien être menée par une personne seule. Si certains escrocs détournent l’attention de la victime, les autres en profitent pour se rapprocher le plus près possible du sac ou de la poche de la victime. Ils emploient alors un TPE (parfois caché dans un faux bandage) ou un montage de leur fabrication et procède à une transaction parfois sans bruit. La manœuvre est si discrète que les victimes ne s’en rendent pas compte. Les escrocs ciblent les environnements très fréquentés (e.g. transports publics, grands magasins). 

Cette pratique ne requiert pas de grandes connaissances techniques et semble être la plus répandue parmi la petite délinquance. Vous pouvez consulter une vidéo récente fournie en fin d’article qui explique comment il est simple pour un escroc de se constituer un système malveillant. A l’attention de nos lecteurs, il ne s’agit pas d’une vidéo expliquant comment devenir malveillant mais plutôt comment se protéger des gestes malveillants. L’intervenant de la vidéo malgré son look est apparu dans un documentaire de “C à vous” en 2022 sur une initiative de Julien Courbet.

La récupération de données via une clé USB

Les données des cartes de paiement NFC ne sont pas totalement chiffrées. Les fraudeurs exploitent cette faille grâce à des outils tels qu’une clé USB NFC spécifique capable d’interroger une carte bancaire NFC. Situé à quelques centimètres de la carte, le dispositif permet de récupérer le nom du propriétaire, le numéro de carte, la date de validité ainsi que les dernières transactions.

 Face à cette menace, les banques ont tenté de restreindre les données récupérables au numéro de la carte et à la date de validité. Néanmoins, l’initiative n’a pas freiné la pratique.

Les malfaiteurs visent les utilisateurs qui sortent de l’espace européen. Hors de la zone, certains paiements en lignes peuvent être acceptés sans devoir renseigner le nom de l’auteur de la transaction et le code à trois chiffres indiqué au dos de la carte.

Les attaques en Relai (relay attack) et en Pre-Play

La technologie NFC a fait émerger deux techniques de vol à distance : l’attaque relai et l’attaque Pre-Play. La première technique (Relay Attack) consiste à approcher un smartphone à proximité d’une carte afin d’enclencher une transaction de paiement qui sera relayée vers un terminal de paiement via un second smartphone. La technique nécessite une parfaite coordination des deux téléphones.

 La méthode Pre-Play ne demande qu’une seule personne. Cette technique a fait l’objet d’une conférence réalisée par Peter Fillmore en 2015 au SyScan à Singapour. Cette technique a recours à une application Android spécifique qui copie une transaction NFC sur une carte Visa ou MasterCard pour la rejouer (dans un mode de transaction moins sécurisé) sur un terminal de paiement.

Ces deux techniques semblent être davantage des exercices de piratage de haut niveau permettant d’alerter les grands groupes de carte bancaire de la vulnérabilité de leurs dispositifs. Les délinquants capables de mettre en œuvre ces fraudes sont extrêmement rares.

 

Etui de protection contre le télé-pickpocketing

Se protéger contre les paiements frauduleux NFC

La rapidité avec laquelle s’opèrent certaines fraudes les rend difficiles à détecter. Il semble être judicieux de se protéger contre la technique de fraude la plus simple (la fraude au TPE). Voici quelques moyens pour vous protéger contre les fraudes au paiement sans contact.

Utiliser un étui de protection de carte bancaire

La méthode la plus simple est de vous procurer un étui de protection pour carte bancaire NFC. Livré habituellement par lot, il est conçu en aluminium et adopte la forme d’une carte CB. Le dispositif résiste aux tentatives de lectures sauvages de cartes RFID/NFC pour un coût tout à fait modique.

Couvrir votre carte d’un étui de carte bancaire anti-piratage supprime le risque de fraude au TPE. Son principe de fonctionnement s’inspire de la cage de Faraday (une enceinte conçue à l’épreuve des nuisances électromagnétiques et électriques). L’étui empêche la propagation d’ondes et coupe toute forme de communication. La carte située à l’intérieur ne peut opérer la moindre transaction par la technologie NFC.

Désactiver la fonction paiement sans contact

Une autre solution suggère de désactiver le paiement sans contact de votre carte bancaire équipée d’une puce NFC. Vous pouvez activer et désactiver la fonction sur votre espace client en ligne ou directement sur une application mobile bancaire.

 Vous pouvez aussi recourir au paiement mobile via votre smartphone, à condition de recourir à une banque compatible avec les systèmes : Apple Pay, Samsung Pay, Google Pay et Paylib.

Enregistrez votre carte bancaire dans l’application correspondante. Faites des achats en ligne et dans les boutiques physiques sans avoir à saisir votre code secret et vos numéros de carte.

Prendre contact avec la banque en cas de vol et de perte

Une autre technique de protection NFC propose de prendre contact avec la banque à la suite d’un vol et d’une perte de votre carte bancaire. Demandez au préalable un numéro fiable de la banque. Prévenez votre établissement bancaire avant même de faire opposition aux transactions réalisées avec votre carte.

Si votre smartphone embarque une application mobile bancaire, paramétrez là de manière à recevoir une notification après chaque achat. Ainsi, vous restez au fait des transactions effectuées avec votre carte.

Si vous appréhendez l’usage de la technologie NFC, privilégiez une carte bancaire dépourvue de cette fonctionnalité.

Utiliser des brouilleurs de signaux

Une autre solution consiste à utiliser une carte brouilleur de signal. Les outils prennent la forme d’un porte-carte ou d’une simple carte. Le brouilleur de signal mesure 1 mm d’épaisseur. Il se glisse aisément dans votre portefeuille, dans votre poche et à l’intérieur de votre sac.

Sa présence empêche toute forme d’attaques par relais ou par TPE. Le dispositif est conçu à partir d’une puce NFC qui perturbe la récupération des données. Il protège votre carte à la manière d’un étui antifraude. Sa zone de protection peut englober plusieurs cartes disposées à proximité du brouilleur (typiquement dans un portefeuille).

Quelques chiffres sur les paiements frauduleux NFC

Le dernier rapport de l’observatoire des paiements paru en décembre 2020 donne la mesure du phénomène. Bien que le nombre de fraudes par carte bancaire soit en évolution (+7% sur l’année 2020), le taux de fraude reste quant à lui faible. Il est évalué à 1 euro de fraude pour 1560 euros d’opérations par carte bancaire (soit 0.064%).

Vidéo expliquant comment se protéger d’une fraude au paiement sans contact >>> se doter d’un protège carte bancaire