La fraude au paiement sans contact

Nous parlions paiement sans contact via la carte bancaire, mais les quelques arguments donnés me gênent, pour ne pas dire plus.

Petit 3 : croyez-vous vraiment que la Banque de France a laissé les banques diffuser ces machins s’il y avait le moindre risque ?

Petit 4 : croyez-vous vraiment que les banques allaient diffuser ce truc s’il y avait le moindre risque, si elles risquaient de payer la peau des fesses pour renouveler 50 millions de cartes, si elles risquaient de passer pour des imbéciles en qui on ne pouvait pas faire confiance,…

Je ne crois pas à l’idée d’un complot de tout le milieu bancaire diffusant consciemment une solution totalement trouée. Je crois que beaucoup d’autres scénarios sont par contre tout à fait possibles :

Les banques sont comme tous les gros groupes. En amont du projet, les risques structurels sont de nature à faire différer le projet ou à le rejeter. Proche de l’aboutissement, et particulièrement si des étapes administratives, commerciales ou si une communication publique ont déjà été faite, la politique du « pas le moindre risque » n’existe plus.

Même chose côté public : Pour que la Banque de France dise « non » au dernier moment au milieu bancaire sur un sujet « nouvelle technologie » qui a une visibilité publique, qui est voulu par les banques, qui a été annoncé au public, qui peut faire une superbe pub moderne au gouvernement, et qui existe déjà à l’étranger… il en faut certainement beaucoup sur la balance.

Donc une fois le projet bien lancé ou sur le point d’aboutir, ça devient une question de balance : Le problème risque-t-il d’être découvert ? Si oui, risque-t-il d’être découvert avant qu’on ait trouvé un palliatif ou que le parc soit renouvelé ? Si oui, quel est la probabilité de ce risque, combien ça peut nous coûter de le combler après coup en communication et dommages, et à l’inverse combien ça coûte de différer le projet ? Sachant que dans le coût de différer on compte aussi le coût pour le département R&D ou l’institution en question d’avoir le mauvais rôle auprès de sa tutelle et d’être responsable de l’échec du gros projet.

Une fois en route (on en est là) des problèmes peuvent encore être découverts (quand ce ne sont pas des risques envisagés plus haut). Là la stratégie habituelle c’est de nier tout en bloc en cachant sous le tapis. Quand ce n’est plus possible il s’agit d’un exercice de communication associé à un « on prend toutes les mesures mais ce n’est pas notre faute ».

Rien de neuf. Dire que les banques ne se permettraient jamais le moindre risque c’est comme dire qu’un constructeur automobile ne continuerait jamais avec un défaut grave dans les voitures sans faire un rappel (ah mais on me dit dans l’oreillette que…).

Et les banques ne sont pas meilleures. J’ai même tendance à croire que leur situation est plus simple : Pour elles c’est un bête calcul de coût et de risque, il n’y a pas de vie humaine en jeu. Elles ne risquent pas non plus leur survie : C’est toutes les banques qui font le même mouvement ensemble, vous ne passerez pas au concurrent et vous ne vous passerez pas d’elles de toutes façons.

Il va me falloir un bien meilleur argument que « ce sont des banques, c’est sérieux, ils ne feraient jamais ça ».

D’autant que par le passé on les a vu nier qu’une fausse carte bancaire puisse fonctionner jusqu’à ce que quelqu’un fasse une démonstration publique (et finisse en prison pour ça), que ma banque a eu un certificat TLS expiré et donnait les indications pour passer outre dans le navigateur, que pas mal de scandales passés ou récents ont montré plus d’une fois leur capacité à prendre des risques importants en franchissant sérieusement la ligne jaune légale et/ou réglementaire.

Ce ne sont pas des grands méchants, mais pas des bisounours non plus. L’argument du « vous croyez vraiment qu’ils prendraient le risque ? » me parait bien fragile.

Pour revenir à nos cartes sans contact, remettons nous dans le contexte : dans deux ou trois ans, on pourra payer en sans contact avec nos smartphone. Le résultat est que le marché des paiements passera dans les mains d’Apple et de Samsung ou Google.
Les banques française (et autres) ont-elles un autre choix que de se lancer sur le marché à marché forcée ?

La question, posée dans le second billet, me semble l’illustration parfaite de la destruction de l’argument lui-même. Non elles n’ont pas le choix, oui elles sont pressées par le temps, non elles n’ont pas vraiment la possibilité en termes de communication d’échouer à sortir le produit.

Bref, tous les éléments sont justement là pour permettre une prise de risque idiote, pour planquer les défauts sous le tapis, et pour prendre des raccourcis.

les banques ne sont pas tarées au pont de prendre des risques inconsidérés. C’est un métier.

Cet argument là, avec l’historique depuis les subprimes en passant par J. Kerviel, il me fait rire un peu jaune. Si j’étais moqueur je dirais que prendre des risques inconsidérés ça semble un peu leur métier, justement.

Petit 1 : effectivement, les données de la carte sont lisibles par un truand à distance mais qu’est-ce que vous voulez qu’ils en fassent ? Il n’a pas le code confidentiel, le cryptogramme visuel et tout ce qui permettrait de vous emmerder.

Je suis étonné qu’on pose cette question désormais. Faire du traçage ? Un état qui voudrait l’identité de gens à une manifestation ? Une entreprise qui contrôlerait les allées et venues ? Une grande surface qui ferait du pistage de clientèle ?

Tout ceci n’est pas de la science-fiction, on a eu brièvement à Londres des poubelles qui collectaient les adresses mac des smartphones passant à portée. Je ne me rappelle plus le nom du film d’anticipation Je me rappelle le film Minority Report où le client était identifié par ses yeux à son entrée dans un magasin. Techniquement seule la CNIL empêche que ça arrive un jour, et la CNIL en ce moment…

Petit 2 : citez moi un cas de fraude depuis que ces machins commencent à se répandre comme des petits pains dans le langage de Jean-François Copé.

L’argument « rien n’existe parce que ce n’est pas (encore) la catastrophe » me parait encore plus faible que les précédents. Ça ne prouve pas non plus l’existence d’un problème grave, c’est juste que ça ne prouve rien du tout.

Un de mes interlocuteurs citait des machins techniques auquel il ne comprend pas grand chose et moi non. Il parlait par exemple « d’un terminal un peu augmenté côté antenne qui pourrait faire des paiements discrets à ton insu ». Sachant que le montant maximum du sans contact est de 20 euros, le fraudeur se ferait chier à faire un terminal spécifique pour pas grand chose en prenant un risque inconsidéré de voir la police lui tomber dessus.

La capacité de faire payer 20 euros à des passants d’une rue touristique fréquentée ? La capacité d’un commerçant à faire faire un second paiement en douce à un touriste qui passe ? Les pickpockets classiques prennent plus de risques de se faire prendre pour un butin pas toujours meilleur.

Si je me rappelle bien, il y a toute une masse de fraude en VPC qui se font justement avec des petits montants parce que la plupart des gens ne les vérifient pas ou ne vont pas jusqu’à les contester, que les commerçants de leur côté ne demandent pas le 3D secure pour ça, et qu’on est donc tranquilles un moment.

20 euros ce n’est rien, 1000 fois 20 euros c’est 20 000 euros et beaucoup sont prêts à prendre des risques pour ça.

Le système des yes card a fini lui aussi par être une entreprise extrêmement risquée. Ça n’a pas empêché des fraudeurs de continuer longtemps à jouer à ça pour juste 50 euros de carburant.

Au final, le paiement frauduleux est-il possible ? As-tu désactivé ta carte ?

C’est la question qui n’a pas été posée, c’est dommage, alors je me cite moi-même.

Au final je ne sais pas si c’est possible. J’ai lu quelqu’un qui disait avoir étudié la question, qui parlait d’une sécurité contre la lecture à distance, et qu’elle serait franchement peu utile. Ça parlait de limites de temps de réponse et d’antennes, essentiellement. Rien de vraiment hi-tech. Je regrette de ne pas retrouver le lien.

Cela dit c’est assez cohérent. Si on peut dialoguer en NFC à distance avec une bonne antenne, qu’il n’y a aucun contact ni aucune validation manuelle, j’ai du mal à voir pourquoi le paiement lui-même serait impossible (mais encore une fois, je n’y connais rien, je suis preneur si vous avez un lien qui explique pourquoi ça l’est). Bref, je ne sais pas, mais ça n’est pas non plus du domaine de la science fiction.

Si j’ai fait désactiver ma carte c’est plutôt pour le basique : Plusieurs commerçants ont passé ma carte sur le sans contact sans me demander mon avis alors que je m’attendais à taper mon code. Un l’a même fait avec un mauvais montant (je l’ai vu sur le ticket, c’était certainement une erreur, mais ça ne m’aide pas à avoir confiance).

Bref, sans même parler de terminaux fraudeurs dans les rues passantes (pas irréaliste même si risqué), ou de commerçants malhonnêtes qui passeraient un paiement de petit montant sur un terminal sans bip derrière le comptoir (je me vois mal le détecter sur mes relevés), je vois très bien les problèmes sur des montants erronés (volontairement ou non, mais potentiellement loin d’être rare). Ça n’existe pas avec la validation du code (ou ça demande un terminal franchement modifié, bien plus qu’une simple antenne).

Je ne vois simplement pas le bénéfice à me passer de la validation manuelle que représente la saisie du code, au contraire. Une simple menace de changer de banque a suffit pour me faire délivrer gratuitement une carte sans le circuit litigieux, et ça me va très bien ainsi.

5 réponses sur “La fraude au paiement sans contact”

  1. En tant que faignasse, j’aime le paiement NFC car il réduit la « friction ».
    Pour l’argument du « Les banques ne mettraient jamais en route un truc risqué non sécurisé », faudrait demander son avis à Serge Humpisch…

  2. Bonjour,
    la taille de l’antenne pour une utilisation à distance freinerait les fraudes de ce type. Par contre, le contact à très courte distance est toujours possible. Avec le montant max de la transaction à 20€, l’obligation de taper son code à partir de 3 paiement NFC semble suffisant. Non, on ne porte pas plainte pour 20€ ou moins, on ne le remarque même pas. J’ai lu un article sur les cartes en devises étrangères ou la limite n’est pas transposable mais il faudrait que je retrouve l’article (une carte étrangère est-elle utilisable sans contact en France ?). Les montants volés sont remboursés si la carte est volé ou perdue…sauf que ce n’est pas forcément le cas avec le sans contact. Et pour finir, BNP PARIBAS rechigne à vous remplacer une carte sans contact (à l’agence on dit que c’est impossible, sur la plateforme tel on dit que cela dépend de l’agence et au final la consigne est : c’est possible mais vous ne bénéficierez plus de certains services : TERCEO – paiement échelonné en 3 fois qui n’a rien à voir avec le sans contact, …). Résultat, j’en suis à ma 2ème carte cuterisée pour couper l’antenne et supprimer le sans contact. Simple, sans douleur, et efficace.
    Je travaille dans le monde de la cryptographie et j’ai travaillé sur sur le cryptage des données des cartes et le sujet m’interesse fortement.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

J'utilise encore les commentaires mais je ne garantis pas qu'ils seront en ligne de façon permanente.

Vous êtes incités à lier et commenter ce billet depuis votre propre espace. Si votre outil gère les Web mentions votre publication sera automatiquement référencée ici au bout d'un moment. À défaut, vous pouvez poser le lien ci-dessous.