Accueil | Dossiers | Payer sans contact… mais pas sans soucis?

Payer sans contact… mais pas sans soucis?


La technologie dite NFC (Near Field Communication) commence à faire son chemin au Luxembourg. (Illustration : AFP)

Posez, c’est payé: le paiement sans contact débarque au Luxembourg. S’il se limite à des achats de 25 euros, il pose néanmoins de vraies questions de sécurité, auxquelles répond le ministre Pierre Gramegna.

Le paiement sans contact, une révolution? Technologiquement, non : en 1997 déjà, Hong Kong inaugurait ce mode de paiement. Mais son déploiement au Luxembourg, où les cartes de crédit classiques sont reines, en est incontestablement une. Reste la question, centrale, de la sécurité.

Le 3 février dernier, les banques luxembourgeoises annonçaient leur décision d’émettre des cartes de paiement sans contact équipées de la technologie NFC (transmission par ondes courtes), en remplacement des cartes de crédit en circulation arrivées à échéance.

Concrètement, avec cette technologie, il suffit à l’utilisateur de passer sa carte bancaire à moins de 10 cm d’un terminal de paiement compatible pour qu’elle soit débitée, jusqu’à 25 euros (lire par ailleurs).

Problème : «De nombreux experts dénoncent le fait que cette technologie de communication se fasse sans aucun protocole de cryptage, de sorte qu’il est possible de récolter des données des cartes bancaires NFC à l’insu de leur propriétaire à l’aide d’un lecteur NFC ou d’une application mobile à une distance pouvant aller jusqu’à 10 cm», s’inquiète la députée Cécile Hemmen (LSAP) dans une question parlementaire.

Une inquiétude qui tourne autour d’un mot : sécurité. Quid, en effet, des voleurs à la tire virtuels? Quid de la protection des données personnelles? Quid, aussi, de la possibilité de refuser cette nouvelle forme de paiement?

Aucune donnée «sensible»

Hier, le ministre des Finances, Pierre Gramegna, a répondu à la députée. Et il se veut rassurant. À commencer par la question des données personnelles : «On peut affirmer que l’introduction de la fonctionnalité sans contact sur les cartes de paiement n’a en principe aucun impact sur le traitement des données personnelles déjà effectué par les banques dans le cadre des cartes de paiement traditionnelles.» En clair, les banques luxembourgeoises ont opté pour un système qui interdit la transmission par NFC de données cruciales, comme l’historique de transactions ou le nom du porteur. Les informations transmises se limitent à la langue de préférence du porteur, le numéro de la carte ou encore sa date d’expiration.

Quand bien même des fraudeurs intercepteraient ces données transmises par NFC, «ces données ne permettraient pas ipso facto de réaliser une transaction». Car à chaque transaction, la carte et le terminal effectuent des vérifications et transmettent un code crypté unique. Ce code expire aussitôt, donc impossible de s’en servir pour une prochaine transaction. Et comme le nom du porteur et le cryptogramme de sécurité ne sont pas transmis, impossible de réaliser une fraude sur internet en interceptant les données NFC. Première bonne nouvelle, donc!

Gare à la fauche

Le risque de fraude est, seconde bonne nouvelle, limité. Pour fonctionner, le paiement sans contact doit être activé une première fois sur un terminal point de vente (TPV), avec la saisie du code PIN. Ainsi, en cas de vol de la carte avant son activation, impossible de faire des transactions sans contact.

Par contre, une fois que le paiement sans contact est activé, gare à la fauche! Car le voleur pourra alors se servir du paiement sans contact, du moins tant que le propriétaire n’aura pas fait opposition, et à chaque fois pour un montant maximum de 25 euros (au-delà, il faut saisir le code PIN). D’autres limites, comme un plafond journalier, peuvent également être mises en place par les banques. À vrai dire, le voleur aurait plus intérêt à se servir des coordonnées affichées sur la carte pour effectuer sur internet des achats bien plus onéreux! Même s’il prend alors le risque de laisser une trace (adresse de livraison, adresse IP, etc.), ce qui est plus difficile avec le paiement sans contact. De toute façon, en cas de fraude, le paiement sans contact offre les mêmes garanties que pour une carte classique, rassurent les banques.

Contrôles surprises

Revenons aux avantages du paiement sans contact : lors d’un paiement, la carte ne quitte pas la main du porteur. Bref, aucun risque de vol des coordonnées de la carte, contrairement au mode classique où l’on confie parfois la carte au commerçant (même si ce n’est pas recommandé).

Une autre garantie devrait décourager les fraudes : des contrôles de sécurité supplémentaires sont réalisés aléatoirement! Par exemple, l’exigence de saisie du code PIN pour une transaction au hasard, même si le montant est inférieur à 25 euros.

En conclusion, le ministre rappelle que les banques luxembourgeoises réadaptent régulièrement leurs mesures de sécurité en fonction des besoins. Il en sera donc de même pour les mesures liées au paiement sans contact.

Une technologie qui fait son chemin

Au Luxembourg, la carte sans contact va se généraliser dans les mois à venir. La technologie dite NFC (Near Field Communication) commence à faire son chemin au Luxembourg.

En février dernier, Visa Europe a annoncé l’arrivée au Grand-Duché de la carte sans contact tout en précisant qu’environ 60 % des commerçants disposaient déjà de terminaux dotés de cette technologie. Visa Europe espère même équiper d’ici la fin de l’année plus de 80 % des commerces du pays. Alors que ce type de paiement est déjà très populaire dans certains pays comme le Royaume-Uni et les pays de l’Est, le Luxembourg a mis un peu de temps avant de se lancer dans la technologie NFC.

Il faut savoir qu’au Luxembourg, ce sont les institutions bancaires qui décident ou non d’adopter ce genre de technologie et non un éditeur de carte comme Visa. Imposer sans obliger Les banques luxembourgeoises n’ont ainsi pas dérogé au concept très local dit «du bon père de famille», voulant prendre le temps de la réflexion avant d’imposer un nouveau système de paiement à ses clients. Depuis un peu moins de deux mois, de nombreuses banques de la Place ont commencé à fournir des cartes de crédit déjà dotées de la technologie NFC (sur demande ou par le biais des renouvellements de carte), dont BGL BNP Paribas. «Depuis le lancement en février 2016, toutes les nouvelles cartes de crédit sont équipées de cette fonctionnalité. BGL BNP Paribas avait déjà cette fonctionnalité sur les cartes haut de gamme de type Mastercard World émises depuis l’été 2014. Cette fonctionnalité est gratuite et n’engendre aucun surcoût pour nos clients», explique Valérie Michels, en charge des relations avec la presse de la banque siégeant sur le plateau du Kirchberg.

Une pratique qui tend à se généraliser dans l’ensemble des banques de détail du pays. D’ici quelques mois, la plupart des résidents luxembourgeois seront dotés d’une carte sans contact. Pour autant, il est possible de faire sans. Que ce soit la BIL ou la BGL, les banques ont affirmé qu’une fois la carte reçue, «le client peut demander la désactivation gratuite de la technologie NFC». Voilà qui rassurera les clients peu rassurés par les nouvelles technologies. Le coût d’un paiement par carte est souvent supporté par le commerçant qui loue ou achète le terminal de paiement électronique (TPE) ainsi que le service de maintenance du boîtier. Dans le cas des boîtiers de paiement acceptant la technologie NFC, Six Payment Services, la société qui exploite près de 13 000 terminaux de paiement au Luxembourg, a assuré effectuer gratuitement le remplacement des terminaux inadaptés.

Étuis anti-NFC : utile ou gadget ?

Pour limiter le risque de vol, par exemple par un voleur qui vous frôlerait avec un terminal NFC portatif, on trouve des étuis spéciaux (photo), censés bloquer les transmissions sans fil. Mais le ministre des Finances, Pierre Gramegna, voit des inconvénients à cet étui : «Son utilisation impacterait deux points forts du paiement sans contact, à savoir la facilité et la rapidité, alors que l’intérêt d’un tél étui semble limité.» Notamment parce que le paiement sans contact est ultrasécurisé, mais aussi parce que «la lecture ou l’interception des données échangées nécessite que le fraudeur potentiel s’approche de quelques centimètres de la carte, ce qui s’avère difficilement réalisable en pratique». En effet…

Romain Van Dyck

2 plusieurs commentaires

  1. Même que le commerçant supportée quelques frais des coûts, mais, la service de carte de visa appeler ‘NFC’, le paiement électroniques, sans commentaires c’est un saut immense.
    Pour un pays sous tutelle de Royaume de la Belgique…ou est une province de Belgique, la technologie elle trouve bien son chemins qui joue un rôle primordiale, bonne pratique et beaucoup de succès.

  2. En France voisine ce système de paiement sans contact est jugé à risque pour la protection des données et la CNIL équivalente à la CNPD a demandé aux banques d’obtenir l’accord écrit de l’utilisateur avant la délivrance de ce type de carte et de permettre la fourniture d’un moyen de paiement sans cette technologie en cas de refus du client. J’ai demandé une clarification a la CNPD il y a dix jours car la technologie Near Field Communication (NFC) va à l’encontre de tout ce qui est fait pour protéger les données personnelle. Silence radio de leur coté…très rassurant.
    Je rappelle que le fait de désactiver la fonction ‘’contactless’’ ne protège pas contre le piratage de votre nr de carte car il n’existe pas de cryptage. Je rappelle aussi que le code à 3 chiffres au dos de votre carte prend en moyenne 15min à cracker pour un pirate un tant soit peu doué. Obtenir votre nom et adresse n’est pas très compliqué non plus.
    Bref cette  »avancée majeure » dans le domaine de la securité equivaut à chaques utilisateur à se promener avec son nr. de carte de crédit gravé sur le front et constitue une regression par rapport au moyens de paiement actuels deja bien piratables.
    La seul protection: REFUSER cette technologie inutile que les banques tentent de nous imposer à marche forcée. J’ai déjà écrit à ma banque et attend leur réponse avant de réaffirmer mes droits à refuser qu’on m’impose une gestion risquée de mes moyen de paiement en tant que consommateur et client.