Jean-Philippe Ardouin
Question N° 12423 au Ministère de l'économie
Question soumise le 25 septembre 2018
M. Jean-Philippe Ardouin attire l'attention de M. le ministre de l'économie et des finances sur les risques du paiement sans contact. En France sur les 43,7 millions de cartes en service, 66 % d'entre elles sont désormais équipées du paiement sans contact basé sur la technologie du Near fields communication (NFC). Une transaction est alors possible entre le lecteur et la carte bancaire sans manipulation. Le plafond de cet échange est limité à hauteur de 30 euros, pour les cartes émises après juillet 2017 L'interception directe de l'échange entre le lecteur et la carte bancaire demande une certaine proximité et un matériel assez délicat à se procurer. En revanche la transmission des informations n'est pas protégée par un cryptage. Aujourd'hui les nouveaux téléphones portables disposent tous d'un transmetteur NFC interne. De plus il existe des applications capables de transformer le smartphone en lecteur de carte bancaire. Certes cela ne permet pas de débiter de l'argent directement mais on peut extraire des informations « sensibles » telles que le nom, prénom, le numéro de la carte bancaire et la date de péremption. Il manque cependant le cryptogramme et le code confidentiel. La France se dote d'une certaine sécurité concernant l'achat en ligne, malheureusement d'autre sites hébergés dans d'autre pays demandent seulement certaines informations et ne requièrent pas le cryptogramme pour valider le paiement. Aussi, il lui demande quels sont les moyens mis en œuvre pour lutter contre les risques de piratage des cartes bancaires et si une certaine sensibilisation ne pourrait pas être mise en place par les institutions bancaires pour informer les consommateurs.
Réponse émise le 18 décembre 2018
Il convient de rappeler à titre préalable que le taux de fraude sur les transactions sans contact demeure faible en France. Selon les données collectées par l'observatoire sur sécurité des moyens de paiement (OSMP), instance placée auprès de la Banque de France, sur l'ensemble de l'année 2017, un peu plus de 1,2 milliards de paiements sans contact ont été enregistrés pour un montant total de 12,9 milliards d'euros, soit un montant moyen de 10,2 euros par opération. Malgré ces volumes importants, le taux de fraude sur les transactions sans contact ne représente environ que 0,020 % sur cette période et s'établit à un niveau inférieur au taux de fraude pour les retraits (0,027 %) et très inférieur au taux de fraude pour les paiements par carte à distance (0,161 %). Selon l'OSMP, la fraude aux paiements sans contact a pour origine quasi exclusive le vol ou la perte de la carte ; la technologie sans contact elle-même ne semble donc pas avoir présenté de faille exploitable pour les fraudeurs, de type écoute passive des données de carte lors d'une transaction, ou activation à distance de la carte dans des lieux publics, par exemple. En outre, la mise en place par les émetteurs de carte de plafonds sur le montant maximum d'une transaction unitaire (généralement fixé entre 20 et 30 euros) et sur le cumul des transactions consécutives pouvant être effectuées sans la saisie du code confidentiel (généralement fixé à 100 euros), permet de limiter le préjudice subi en cas de perte ou de vol d'une carte. Le porteur est par ailleurs protégé par la loi en cas de fraude puisqu'il dispose de treize mois pour contester les transactions non autorisées auprès de son prestataire de services de paiement, qui doit alors le rembourser dans les plus brefs délais. Enfin, la CNIL a émis des recommandations à destination des établissements bancaires et du Groupement des Cartes Bancaires afin que ni les nom et prénom du client, ni l'historique des transactions ne soient susceptibles d'être interceptés via l'interface sans contact de la carte. La Banque de France dans son rôle de surveillance des moyens de paiements scripturaux assure un suivi de la mise en œuvre de ces mesures.
Aucun commentaire n'a encore été formulé sur cette question.