La fraude au paie­ment sans contact

Nous parlions paie­ment sans contact via la carte bancaire, mais les quelques argu­ments donnés me gênent, pour ne pas dire plus.

Petit 3 : croyez-vous vrai­ment que la Banque de France a laissé les banques diffu­ser ces machins s’il y avait le moindre risque ?

Petit 4 : croyez-vous vrai­ment que les banques allaient diffu­ser ce truc s’il y avait le moindre risque, si elles risquaient de payer la peau des fesses pour renou­ve­ler 50 millions de cartes, si elles risquaient de passer pour des imbé­ciles en qui on ne pouvait pas faire confiance,…

Je ne crois pas à l’idée d’un complot de tout le milieu bancaire diffu­sant consciem­ment une solu­tion tota­le­ment trouée. Je crois que beau­coup d’autres scéna­rios sont par contre tout à fait possibles :

Les banques sont comme tous les gros groupes. En amont du projet, les risques struc­tu­rels sont de nature à faire diffé­rer le projet ou à le reje­ter. Proche de l’abou­tis­se­ment, et parti­cu­liè­re­ment si des étapes admi­nis­tra­tives, commer­ciales ou si une commu­ni­ca­tion publique ont déjà été faite, la poli­tique du « pas le moindre risque » n’existe plus.

Même chose côté public : Pour que la Banque de France dise « non » au dernier moment au milieu bancaire sur un sujet « nouvelle tech­no­lo­gie » qui a une visi­bi­lité publique, qui est voulu par les banques, qui a été annoncé au public, qui peut faire une superbe pub moderne au gouver­ne­ment, et qui existe déjà à l’étran­ger… il en faut certai­ne­ment beau­coup sur la balance.

Donc une fois le projet bien lancé ou sur le point d’abou­tir, ça devient une ques­tion de balance : Le problème risque-t-il d’être décou­vert ? Si oui, risque-t-il d’être décou­vert avant qu’on ait trouvé un pallia­tif ou que le parc soit renou­velé ? Si oui, quel est la proba­bi­lité de ce risque, combien ça peut nous coûter de le combler après coup en commu­ni­ca­tion et dommages, et à l’in­verse combien ça coûte de diffé­rer le projet ? Sachant que dans le coût de diffé­rer on compte aussi le coût pour le dépar­te­ment R&D ou l’ins­ti­tu­tion en ques­tion d’avoir le mauvais rôle auprès de sa tutelle et d’être respon­sable de l’échec du gros projet.

Une fois en route (on en est là) des problèmes peuvent encore être décou­verts (quand ce ne sont pas des risques envi­sa­gés plus haut). Là la stra­té­gie habi­tuelle c’est de nier tout en bloc en cachant sous le tapis. Quand ce n’est plus possible il s’agit d’un exer­cice de commu­ni­ca­tion asso­cié à un « on prend toutes les mesures mais ce n’est pas notre faute ».

Rien de neuf. Dire que les banques ne se permet­traient jamais le moindre risque c’est comme dire qu’un construc­teur auto­mo­bile ne conti­nue­rait jamais avec un défaut grave dans les voitures sans faire un rappel (ah mais on me dit dans l’oreillette que…).

Et les banques ne sont pas meilleures. J’ai même tendance à croire que leur situa­tion est plus simple : Pour elles c’est un bête calcul de coût et de risque, il n’y a pas de vie humaine en jeu. Elles ne risquent pas non plus leur survie : C’est toutes les banques qui font le même mouve­ment ensemble, vous ne passe­rez pas au concur­rent et vous ne vous passe­rez pas d’elles de toutes façons.

Il va me falloir un bien meilleur argu­ment que « ce sont des banques, c’est sérieux, ils ne feraient jamais ça ».

D’au­tant que par le passé on les a vu nier qu’une fausse carte bancaire puisse fonc­tion­ner jusqu’à ce que quelqu’un fasse une démons­tra­tion publique (et finisse en prison pour ça), que ma banque a eu un certi­fi­cat TLS expiré et donnait les indi­ca­tions pour passer outre dans le navi­ga­teur, que pas mal de scan­dales passés ou récents ont montré plus d’une fois leur capa­cité à prendre des risques impor­tants en fran­chis­sant sérieu­se­ment la ligne jaune légale et/ou régle­men­taire.

Ce ne sont pas des grands méchants, mais pas des bisou­nours non plus. L’ar­gu­ment du « vous croyez vrai­ment qu’ils pren­draient le risque ? » me parait bien fragile.

Pour reve­nir à nos cartes sans contact, remet­tons nous dans le contexte : dans deux ou trois ans, on pourra payer en sans contact avec nos smart­phone. Le résul­tat est que le marché des paie­ments passera dans les mains d’Apple et de Samsung ou Google.

Les banques française (et autres) ont-elles un autre choix que de se lancer sur le marché à marché forcée ?

La ques­tion, posée dans le second billet, me semble l’illus­tra­tion parfaite de la destruc­tion de l’ar­gu­ment lui-même. Non elles n’ont pas le choix, oui elles sont pres­sées par le temps, non elles n’ont pas vrai­ment la possi­bi­lité en termes de commu­ni­ca­tion d’échouer à sortir le produit.

Bref, tous les éléments sont juste­ment là pour permettre une prise de risque idiote, pour planquer les défauts sous le tapis, et pour prendre des raccour­cis.

les banques ne sont pas tarées au pont de prendre des risques incon­si­dé­rés. C’est un métier.

Cet argu­ment là, avec l’his­to­rique depuis les subprimes en passant par J. Kerviel, il me fait rire un peu jaune. Si j’étais moqueur je dirais que prendre des risques incon­si­dé­rés ça semble un peu leur métier, juste­ment.

Petit 1 : effec­ti­ve­ment, les données de la carte sont lisibles par un truand à distance mais qu’est-ce que vous voulez qu’ils en fassent ? Il n’a pas le code confi­den­tiel, le cryp­to­gramme visuel et tout ce qui permet­trait de vous emmer­der.

Je suis étonné qu’on pose cette ques­tion désor­mais. Faire du traçage ? Un état qui voudrait l’iden­tité de gens à une mani­fes­ta­tion ? Une entre­prise qui contrô­le­rait les allées et venues ? Une grande surface qui ferait du pistage de clien­tèle ?

Tout ceci n’est pas de la science-fiction, on a eu briè­ve­ment à Londres des poubelles qui collec­taient les adresses mac des smart­phones passant à portée. Je ne me rappelle plus le nom du film d’an­ti­ci­pa­tion Je me rappelle le film Mino­rity Report où le client était iden­ti­fié par ses yeux à son entrée dans un maga­sin. Tech­nique­ment seule la CNIL empêche que ça arrive un jour, et la CNIL en ce moment…

Petit 2 : citez moi un cas de fraude depuis que ces machins commencent à se répandre comme des petits pains dans le langage de Jean-François Copé.

L’ar­gu­ment « rien n’existe parce que ce n’est pas (encore) la catas­trophe » me parait encore plus faible que les précé­dents. Ça ne prouve pas non plus l’exis­tence d’un problème grave, c’est juste que ça ne prouve rien du tout.

Un de mes inter­lo­cu­teurs citait des machins tech­niques auquel il ne comprend pas grand chose et moi non. Il parlait par exemple « d’un termi­nal un peu augmenté côté antenne qui pour­rait faire des paie­ments discrets à ton insu ». Sachant que le montant maxi­mum du sans contact est de 20 euros, le frau­deur se ferait chier à faire un termi­nal spéci­fique pour pas grand chose en prenant un risque incon­si­déré de voir la police lui tomber dessus.

La capa­cité de faire payer 20 euros à des passants d’une rue touris­tique fréquen­tée ? La capa­cité d’un commerçant à faire faire un second paie­ment en douce à un touriste qui passe ? Les pick­po­ckets clas­siques prennent plus de risques de se faire prendre pour un butin pas toujours meilleur.

Si je me rappelle bien, il y a toute une masse de fraude en VPC qui se font juste­ment avec des petits montants parce que la plupart des gens ne les véri­fient pas ou ne vont pas jusqu’à les contes­ter, que les commerçants de leur côté ne demandent pas le 3D secure pour ça, et qu’on est donc tranquilles un moment.

20 euros ce n’est rien, 1000 fois 20 euros c’est 20 000 euros et beau­coup sont prêts à prendre des risques pour ça.

Le système des yes card a fini lui aussi par être une entre­prise extrê­me­ment risquée. Ça n’a pas empê­ché des frau­deurs de conti­nuer long­temps à jouer à ça pour juste 50 euros de carbu­rant.

Au final, le paie­ment frau­du­leux est-il possible ? As-tu désac­tivé ta carte ?

C’est la ques­tion qui n’a pas été posée, c’est dommage, alors je me cite moi-même.

Au final je ne sais pas si c’est possible. J’ai lu quelqu’un qui disait avoir étudié la ques­tion, qui parlait d’une sécu­rité contre la lecture à distance, et qu’elle serait fran­che­ment peu utile. Ça parlait de limites de temps de réponse et d’an­tennes, essen­tiel­le­ment. Rien de vrai­ment hi-tech. Je regrette de ne pas retrou­ver le lien.

Cela dit c’est assez cohé­rent. Si on peut dialo­guer en NFC à distance avec une bonne antenne, qu’il n’y a aucun contact ni aucune vali­da­tion manuelle, j’ai du mal à voir pourquoi le paie­ment lui-même serait impos­sible (mais encore une fois, je n’y connais rien, je suis preneur si vous avez un lien qui explique pourquoi ça l’est). Bref, je ne sais pas, mais ça n’est pas non plus du domaine de la science fiction.

Si j’ai fait désac­ti­ver ma carte c’est plutôt pour le basique : Plusieurs commerçants ont passé ma carte sur le sans contact sans me deman­der mon avis alors que je m’at­ten­dais à taper mon code. Un l’a même fait avec un mauvais montant (je l’ai vu sur le ticket, c’était certai­ne­ment une erreur, mais ça ne m’aide pas à avoir confiance).

Bref, sans même parler de termi­naux frau­deurs dans les rues passantes (pas irréa­liste même si risqué), ou de commerçants malhon­nêtes qui passe­raient un paie­ment de petit montant sur un termi­nal sans bip derrière le comp­toir (je me vois mal le détec­ter sur mes rele­vés), je vois très bien les problèmes sur des montants erro­nés (volon­tai­re­ment ou non, mais poten­tiel­le­ment loin d’être rare). Ça n’existe pas avec la vali­da­tion du code (ou ça demande un termi­nal fran­che­ment modi­fié, bien plus qu’une simple antenne).

Je ne vois simple­ment pas le béné­fice à me passer de la vali­da­tion manuelle que repré­sente la saisie du code, au contraire. Une simple menace de chan­ger de banque a suffit pour me faire déli­vrer gratui­te­ment une carte sans le circuit liti­gieux, et ça me va très bien ainsi.