La séquence dure seulement quarante secondes, mais elle a de quoi effrayer tous les utilisateurs de cartes bancaires sans contact. Un homme équipé d'un terminal de paiement électronique saisit le montant à débiter (5 livres turques, soit 0,71 euros) sur l'appareil avant de le placer le long du sac d'une jeune femme. Quelques secondes plus tard, le ticket de débit produit par la machine confirme la validité de l'opération... sans que sa victime n'ait autorisé le paiement ou en soit informée.

« Un homme en Turquie [...] nous [apporte] la démonstration qu’il suffit d’être à côté d’une victime avec un lecteur de carte bancaire pour lui voler son argent en utilisant le paiement sans contact. Faites attention à ne pas vous faire voler de l’argent à cause de paiement sans contact ! », avertit la légende de cette vidéo publiée par le site Oh mon dieu !, spécialisé dans les contenus à fort potentiel viral.

Or, si la vidéo démontre un vol techniquement possible, elle présente un cas de figure jamais observé en France, où les cartes bancaires sans contact, qui permettent d'effectuer un règlement sans saisir son code, connaissent un essort important - au point d'avoir franchi, en 2017, le cap du milliard de paiements sur une année.

FAKE OFF

Avant d'être relayée sur MSN France et sur le portail d'Orange, la vidéo a été reprise par différents internautes turcs. Un cheminement logique puisqu'elle aurait été tournée en Turquie, selon la description fournie par l'utilisateur qui l'a mise en ligne, le 28 juillet 2018, sur le site de partage de vidéos LiveLeak - où elle a été visionnée plus de 282.000 fois.

Contacté par 20 Minutes, l'internaute qui a mis en ligne la vidéo sur LiveLeak n'a pas donné suite à nos sollicitations. Le fait que la devise utilisée par le terminal soit en livres turques semble toutefois confirmer la localisation indiquée, même si son authenticité interroge : elle évoque plutôt une mise en scène organisée entre la jeune femme victime du vol - assez peu méfiante - et le gérant de l'établissement.

Pour Cartes Bancaires CB, le groupement d'intérêt économique qui gère le système de cartes bancaires dans l'Hexagone, la supercherie est une évidence : « C'est une mise en scène basée sur la réalité. La personne utilise un véritable terminal de commerçant mais la porteuse est complice puisqu'il ne suffit pas d'approcher le terminal du sac pour pouvoir effectuer le débit : il faut savoir où est exactement la carte, qu'elle soit parallèle au terminal... »

« C'est une peur peu réaliste »

« Ici, c'est facile puisque la carte bleue est bien positionnée et située dans la poche extérieure du sac, mais en situation réelle, c'est bien plus compliqué, il faudrait connaître l'emplacement exact, bien placer le terminal... Cette situation est un peu ridicule, elle fait peur mais c'est une peur illégitime car peu réaliste », poursuit Cartes Bancaires CB. Ce que confirme l'Observatoire de la sécurité des moyens de paiement dans son dernier rapport annuel : « En 2017, la fraude sur les paiements sans contact résulte seulement du vol ou de la perte de la carte. » Nadia El Mrabet, spécialiste en cryptologie et enseignante-chercheuse à l'école des Mines de Saint-Etienne, précise : « En pratique, [ce type de vol] est jouable, mais ça doit vraiment se faire à quelques centimètres de la carte, sur une très courte distance, de quelques centimètres. »

Si ce type de vol à l'aide d'un terminal de paiement électronique peut donc bien avoir lieu dans des conditions très précises, l'auteur du vol se retrouverait quoi qu'il arrive dans l'impossibilité de cacher son identité. « Pour toucher la somme débitée, l'utilisateur doit forcément disposer d'un compte auprès d'une banque pour en être crédité donc il est identifié - et vite rattrapé par la police s'il multiplie les opérations de débit non autorisées. En une heure, c'est réglé et la personne qui réclame les remboursements est sûre de les obtenir », précise le groupement spécialisé.

Des plafonds de paiement en guise de garde-fous

Une autre méthode peut toutefois être déployée, sans recours à un terminal de paiement. « On peut aussi avoir le cas des attaques par relais, aussi connues sous le nom « d'homme au milieu » : on fait croire à la carte qu'elle communique avec le bon terminal de paiement alors qu'on se place en fait entre la carte et un autre terminal [via un smartphone équipé de lecteur NFC] » explique Nadia El Mrabet.

Pour pallier ce type de dérives potentielles, les cartes sans contact restent régies par deux garde-fous : un plafond unitaire qui limite les paiements à 30 euros (au lieu de 20 depuis le 1er octobre) et un plafond cumulé, variable selon les banques, mais qui oblige à saisir de nouveau son code après un cumul de dépenses sans contact - en moyenne de 80 euros.

>> Vous souhaitez que l’équipe de la rubrique Fake off vérifie une info ? Envoyez un mail à l’adresse [email protected].

20 Minutes est partenaire de Facebook pour lutter contre la désinformation. Grâce à ce dispositif, les utilisateurs du réseau social peuvent signaler une information qui leur paraît fausse.