Quand elle a découvert le logo d’un radar sur sa nouvelle carte de paiement, Anne, a toute de suite contacté sa banque pour en connaître la signification. Apprenant qu'il s'agissait du symbole pour le paiement sans contact, elle a alors demandé à faire désactiver ce service. «Il existe un système de code secret, ce n’est pas pour rien. Je ne voulais pas qu’en cas de perte ou de vol, ma carte soit débitée juste en la passant sur une borne», détaille cette trentenaire. Pourtant, si ce système laisse encore des utilisateurs dubitatifs, il sera généralisé d’ici moins de deux ans.

«Poser, c’est payé»

Actuellement, près de 26 millions de Français en sont équipés, selon les chiffres du Groupement des cartes bancaires publiés en septembre. Lancé en 2008, les banques et les commerçants misent désormais massivement sur ce dispositif, censé rendre les échanges monétaires plus simples. «Poser, c’est payé», affiche d’ailleurs fièrement le Groupement qui comptabilise 233.000 commerces qui l’acceptent.

Grâce à la technologie NFC (communication en champ proche), le client peut payer jusqu’à 20 euros en approchant sa carte ou son smartphone à 3 centimètres du terminal de paiement équipé. Mais ce système n’en reste pas moins sans dangers pour son compte en banque et ses données personnelles. Et ce, même avec une carte rangée précieusement dans sa poche.

«Il est facile de récupérer les données de cartes bancaires proches de nous»

«Avec un lecteur NFC qui coûte trente euros ou un téléphone équipé, il est facile de récupérer les données de cartes bancaires proches de nous, comme dans le métro», affirme à 20 Minutes, Gil Noirot, consultant en sécurité chez BT, à l'occasion de la conférence «NoSuchCon» qui se déroule jusqu'au 21 novembre à Paris. La faille: Une technologie qui n’utilise aucun protocole chiffré, ni aucun système d’authentification.

Mais depuis, les choses ont un peu évolué. La CNIL a publié en juillet 2013 une enquête qui abouti à la suppression de l'accès au nom du porteur, pour les cartes émises à partir de la fin septembre 2012, ainsi qu'à la suppression de l'accès à l'historique des transactions pour les modèles de carte déployées depuis fin 2013. Gil Noirot nuance toutefois cette avancée. «Il est encore possible d’intercepter le numéro de la carte et la date d’expiration. Et grâce à ces données, on peut effectuer des paiements sur Internet», note le consultant en sécurité.

«Aucune fraude spécifique au sans contact n’a été constatée»

De son côté, le Groupement des cartes bancaires qui n’a pas donné suite à nos appels, assure sur son site que «sur les quelque 100 millions de cartes en circulation en Europe depuis plus de 3 ans maintenant, aucune fraude spécifique au sans contact n’a été constatée». Les banques proposent toutefois des recours: Possibilité de désactiver la fonction - parfois en la facturant - ou en mettant à disposition des mini-cages de Faraday pour protéger la carte des intrusions par les ondes. Enfin, en cas de litige, elles remboursent. «Mais faut-il encore prouver le préjudice», déplore Gil Noirot. «Tout ça ne peut être que temporaire», selon lui. Jusqu’à quand?

Anthony Zboralski, ancien hacker des années 90, devenu expert en sécurité informatique, ne croit pas en une amélioration du système, car ce n’est pas «l’objectif premier». «Le plus important pour les banques, c’est de facturer leurs services, comme le paiement sans contact. La sécurité vient après», explique-t-il à 20 Minutes. Pourtant, «les cartes bancaires sont encore de vraies passoires et toutes les banques sont vulnérables», ajoute-t-il. Lui, qui dans le passé, a démontré les failles de la sécurité de nombreuses institutions bancaires et gouvernementales.