Ce post Facebook qui alerte sur les supposés dangers des cartes bleues sans contact, qui permettent de payer des petits montants sans taper son code secret, a été partagé près de 30.000 fois en deux jours sur Facebook.
Le message affirme que des voleurs se promènent dans les transports en commun avec un appareil à carte bleue et l'utilisent pour faire fonctionner les cartes bleues sans contact des usagers. Et ça fait flipper pas mal de monde.
La photo a également largement circulé sur Twitter où elle a été retweetée des centaines de fois.
Ils sont chauds, ils se baladent avec un boîtier CB sans contact paramétré et le collent aux gens
Attention: cette photo a été prise en Russie au début du mois de février. C'est Oleg Gorobets, un manager de la société de sécurité informatique Kaspersky, qui l'a partagée sur les réseaux sociaux.
Oleg Gorobets avait dit qu'il avait été possible à son équipe de faire des retraits d'argent à des usagers du métro grâce à cette astuce. De nombreux articles de presse ont ensuite repris l'histoire, suscitant une controverse sur la sécurité des cartes de paiement sans contact en Russie et donc, par ricochet, bien au-delà.
La photo de Kaspersky ne met donc pas en scène de vrais voleurs. Ce scénario de fraude existe-t-il néanmoins pour de vrai en France, où plus de 30 millions de cartes équipées circulaient fin 2014?
Un rapport de la Banque de France publié en 2015 donne quelques éléments de réponse. Il s'agit des premières statistiques en France sur les fraudes au paiement sans contact, qui concernent l'année 2014, et elles sont plutôt rassurantes: le taux de fraude n'est que de 0,015%, loin derrière les fraudes sur les paiement à distance (0,248%).
Surtout, «cette fraude a presque exclusivement pour origine le vol ou la perte de la carte, confirmant (...) qu'un risque de fraude liée à la technologie sans contact demeure très limité.»
Par ailleurs, les montants concernés sont relativement faibles, du fait des plafonds instaurés sur les transactions par CB sans contact (généralement autour de 20 euros par achat et 100 euros de paiements consécutifs sans entrer de code).
L'Observatoire rappelle aussi que «le porteur est protégé par la loi en cas de fraude. Il dispose en France de treize mois pour contester les transactions non autorisées auprès de son prestataire de services de paiement, qui doit alors le rembourser dans les plus brefs délais.»
Cela ne veut pas dire que la sécurité du paiement sans contact est sans faille –les observateurs sont souvent divisés sur la question.
Pour vraiment exploiter les failles des cartes sans contact, les fraudeurs auront de toute façon besoin de techniques plus sophistiquées que celle mise en scène par Kaspersky. Car cette méthode se heurte à un problème technique, expliquait récemment le banquier russe Pavel Sukach au TJournal:
«Voler de l'argent avec cette méthode est en fait assez facile. Mais c'est autre chose de transférer ensuite l'argent dérobé. Il faut toujours un compte bancaire, et c'est assez facile à tracer si un grand nombre de personnes ont été volées. En fait, c'est un peu comme voler de l'argent liquide dans la rue et montrer votre carte d'identité à tout le monde.»
Sachez tout de même si vous avez une CB sans contact qu'il existe des étuis qui protègent la carte quand vous ne vous en servez pas (certaines banques les fournissent, d'autres non).
Si vous le désirez, vous pouvez également demander à ne pas activer cette technologie sur votre carte bancaire, ou à utiliser une carte non-équipée.
Et si vous ne savez pas si votre carte est compatible sans contact ou non, voici le pictogramme qui figure sur celles qui sont concernées:
