Overblog
Editer la page Suivre ce blog Administration + Créer mon blog
L'UFC Que Choisir 43

L'UFC Que Choisir 43

Blog de l'Association UFC QUE CHOISIR DE HAUTE LOIRE

Publié par UFC QUE CHOISIR de Haute Loire

Un nouveau dispositif permet de payer sans insérer sa carte bancaire dans le terminal du commerçant et sans taper son code. Or, il présente d’importantes failles sécuritaires. Pourtant, la plupart des banques cherchent à l’imposer à leurs clients !

C’est en catimini, ou presque, que le paiement sans contact (ou NFC, pour Near Field Communication) est en train de débarquer sur nos cartes bancaires ! Il permet de payer immédiatement en approchant juste sa carte à 3 ou 4 cm d’un terminal. Et cela pour des sommes ne dépassant pas 20 €.

L’objectif est finalement très voisin de celui de l’ancien porte-monnaie électronique Moneo que les banques n’étaient pas parvenues à imposer. Celui-ci permettait de régler par carte les petites dépenses de la vie courante, afin de remplacer la petite monnaie. Une différence : aujourd’hui, le « sans contact » permet, en ne tapant pas son code, de gagner un peu de temps.

Un seul réseau bancaire (sur la dizaine que nous avons étudiée) sollicite l’accord de ses clients : La Banque postale.

LCL (Crédit lyonnais) est, quant à lui, en position d’attente. Ses cartes bancaires ne sont pas dotées du système. Le réseau préfère observer prudemment l’accueil par le public de ce mode de paiement.

Toutes les autres banques intègrent l’option par défaut, lors du renouvellement de la carte. Au consommateur de réclamer expressément une carte sans dispositif NFC s’il n’en veut pas ! Une demande qui relève parfois (notamment dans certaines Caisses d’épargne) du parcours du combattant…

Le pompon est décroché par Axa Banque, qui oppose une fin de non-recevoir à toutes les demandes de carte sans NFC. Et pour cause : selon les conseillers en ligne, la banque ne fabriquerait plus que des cartes pourvues de ce dispositif.

 

Une carte de métro est mieux protégée !

L’empressement de certaines banques à équiper leurs clients semble d’autant plus excessif que les avantages du « sans contact » ne font pas rêver. Un sondage publié par Le Parisien (21 janvier 2015) montre que 57 % des Français estiment le paiement sans contact « pas utile ».

Certes, la technique permet de gagner quelques dizaines de secondes au moment du paiement et d’alléger ses poches, mais au prix de moyens supplémentaires pour les escrocs d’utiliser frauduleusement nos données bancaires. Avec le dispositif sans contact, tel qu’il est développé aujourd’hui, le risque est double :

- d’une part, en cas de vol de la carte, il devient plus facile d’effectuer des paiements et retraits (le code n’est pas nécessaire) ;

- d’autre part, les pirates peuvent aspirer les données au moment où elles sont émises à distance par la carte. Ce second risque est peut-être le plus problématique. Pour pallier le premier, les établissements bancaires ont établi un plafonnement de dépenses sans contact : 20 € par transaction et de 80 à 100 € par mois ; au-delà, le code bancaire est à nouveau réclamé. Mais les plafonds ne changent rien au risque de se faire subtiliser à distance ses données…

« Au contact d’un récepteur (terminal de paiement, téléphone, etc.), la puce numérique de la carte NFC se met à émettre des ondes qui diffusent les données. Un simple téléphone portable suffit aujourd’hui pour les aspirer. Or, ces données ne sont pas sécurisées par un chiffrement, contrairement, par exemple, aux cartes Navigo du métro parisien. C’est paradoxal : les cartes bancaires qui possèdent le dispositif NFC sont moins protégées qu’une carte permettant de prendre le métro », reproche Nicolas Kershenbaum, consultant sécurité au cabinet de conseils en cybersécurité Lexsi.

Pour les banques, sécuriser coûte trop cher

Pourquoi les banques n’ont-elles pas mis en place de protocole de communication chiffré, à l’instar de la RATP ? Un expert qui collabore sur le dossier avec plusieurs banques avance une explication : « Chiffrer entraîne des coûts supplémentaires importants. Il faut changer tout le stock de cartes. On peut compter 10 à 20 € par carte. Et il faut renouveler la totalité du parc de distributeurs automatiques de billets ; la facture représente des millions d’euros. »

Les établissements auraient ainsi pesé le pour et le contre et décidé d’assumer le risque. D’autant que le nouveau dispositif est plutôt porteur pour elles : chaque transaction par carte devrait générer à terme une commission bancaire, à la charge du commerçant. Le montant est, bien sûr, faible, s’agissant de petits paiements ; mais il porte sur un gigantesque potentiel de transactions. Les petits ruisseaux, c’est bien connu, font les grandes rivières… Intérêt financier ou pas, la majorité des établissements bancaires semblent en tout cas avoir fait le choix du « NFC pour tous ». « Il est possible de changer votre carte avec option sans contact contre une carte classique, mais la procédure sera un peu longue, car elle déroge à la norme. Aujourd’hui, toutes nos cartes sont fabriquées avec le mode NFC », nous explique ainsi un conseiller au guichet d’une agence parisienne de BNP-Paribas.

Crédit agricole, Caisses d’épargne, Banques populaires, BNP Paribas, CIC, Crédit mutuel, Boursorama banque, Axa banque : tous ces établissements intègrent d’office l’option NFC lors du renouvellement de la carte. Des explications, plus ou moins en évidence (par lettre préalable, plaquette publicitaire, note à la fin du relevé de compte mensuel…) informent le client du changement. Mais rien sur les risques, ni sur le fait que l’absence de contestation vaut accord pour modification de son contrat avec la banque. Consultez les conditions générales de votre convention de compte : un nouveau paragraphe s’y est glissé. Mais combien l’ont repéré ? Or, c’est ensuite que les choses peuvent devenir plus compliquées, comme le montrent de nombreux témoignages que nous avons recueillis. Ainsi, Frédéric G., client de la Caisse d’épargne Nord-Pas-de-Calais, obtient une réponse sans ambiguïté au guichet lorsqu’il demande à échanger la carte NFC qu’il vient de recevoir contre une carte classique : « Impossible ! » Le jeune homme insiste : « J’ai fini par menacer de quitter la banque… et là, le conseiller est revenu sur sa première affirmation. Il m’a proposé d’interroger la direction. » Une semaine plus tard, Frédéric recevait une nouvelle carte sans l’option NFC. Une habitante de Verneuil (Yvelines) a effectué la même visite auprès de son agence du Crédit agricole, après avoir reçu un courrier de renouvellement de sa carte annonçant l’intégration de l’option NFC. On lui rétorque d’abord qu’accéder à sa demande est« impossible », puis sa réclamation obtient finalement une réponse différente : le conseiller explique qu’il va se renseigner auprès du siège… Dans la journée, confirmation est donnée que le changement est possible ! Plus ennuyeux, M. et Mme F. ont constaté que l’agence de la Caisse d’épargne de Blagnac (37) leur avait facturé 18 € pour « re-fabrication de CBI » (carte bancaire internationale). Le couple exige le remboursement de cette somme car, explique-t-il, « la re-fabrication de la carte a été demandée car vous nous avez imposé une carte Bleue avec un paiement sans contact et sans possibilité de le désactiver ». Quant à Philippe N., Axa banque a sobrement répondu par courrier à la même demande :« Désormais, il (le paiement sans contact, ndlr) est mis en place automatiquement sur toutes les cartes bancaires. Il n’est pas possible de supprimer la fonction… Toutefois, nous pouvons vous proposer un étui de protection. » Le consommateur a aussitôt fermé ses comptes et trouvé une autre banque.

 

« En cas de fraude, on indemnise… »

Pour rassurer leurs clients, les établissements bancaires avancent des arguments, largement inspirés par le GIE carte bancaire, qui réunit l’ensemble des banques. Ces dernières rétorquent ainsi que les clients n’ont, quoi qu’il arrive, pas de souci à se faire : « En cas de paiement frauduleux, si le client est de bonne foi, l’agence recrédite immédiatement le compte », explique un responsable. « Les transactions effectuées avec la fonction sans contact, donc sans code confidentiel, ne supportent pas de franchise. Les sommes indûment débitées sont donc intégralement remboursées », tient à préciser le GIE carte bancaire.

Le problème, c’est que certains cas récents montrent que le remboursement ne se révèle pas toujours aussi simple. La demande traîne parfois en longueur. Surtout, certains établissements ont récemment refusé de recréditer des débits liés, selon les clients, à des achats frauduleux effectués sur Internet.

Les banques ont estimé que ces derniers n’avaient pas démontré leur bonne foi. La loi fait pourtant clairement peser la charge de cette preuve sur la banque.

Le Crédit mutuel Nord de France, en particulier, s’illustre étrangement sur ce terrain.

Pire même, Hello Bank veut faire payer les risques à ses clients.

Les banques sont en train d’équiper, souvent à leur insu, leurs clients de cartes avec l’option « paiement sans contact ». Hello Bank entend apparemment aussi en profiter pour fourguer une assurance des moyens de paiement.

Étrange réponse écrite de la banque en ligneHello Bank, filiale de BNP Paribas, à l’un de ses clients qui ne souhaitait pas l’option paiement sans contact (NFC pour Near Field Communication) sur sa carte bancaire. Non seulement l’agence répond qu’elle ne propose plus que des cartes avec cette « option », donc que le client n’a pas le choix, mais en plus, elle propose une solution pour le moins osée : la souscription d’une assurance payante BNP Sécurité, au tarif de 26,50 € par an, pour se prémunir des risques !

Vous le voyez, même s’il est logique de ne pas tourner le dos de façon systématique aux nouvelles technologies, il faut néanmoins, rester prudent, vigilant et ne pas se jeter aveuglément sur des outils trop dangereux.

Maurice BEYSSAC d’après 2 articles de "Que Choisir.org"

Hébergé par Overblog