Les paiements sans contact sont-ils réellement sécurisés ?
Les paiements sans contact sont de plus en plus répandus et certainement pratiques, que ce soit en utilisant des cartes de crédit ou de débit, ou des smartphones. Ils permettent aux gens de payer des biens et des services sans remettre leur carte aux caissiers et souvent sans entrer leur code PIN.
Mais y a-t-il des risques de sécurité associés ? Pouvez-vous réellement faire confiance aux paiements sans contact ?
Comment fonctionnent les paiements sans contact ?
Il existe deux principaux types de paiements sans contact. Le premier concerne la technologie intégrée dans votre carte de crédit ou de débit, et l'autre concerne l'utilisation d'un smartphone avec une application de portefeuille mobile.
La plupart impliquent l'identification par radiofréquence (RFID) et la communication en champ proche (NFC), qui concernent des signaux radio à courte portée et à faible énergie. Voici comment chacun fonctionne.
- Paiements sans contact par carte : chaque carte de crédit ou de débit dotée de la technologie sans contact possède une « clé » unique qui génère un code pour identifier chaque transaction. L'émetteur de la carte vérifie la validité avant d'approuver une transaction. Une carte sans contact a une puce qui doit se trouver à environ 1,5 pouce d'un lecteur. Les clients le tiennent près ou le touchent pour terminer la transaction et n'ont pas besoin de saisir de code PIN.
- Paiements sans contact par téléphone : ceux- ci exigent que les gens activent un paramètre NFC dans leurs smartphones avant de tenter un paiement. Après cela, ils peuvent agiter l'appareil près d'un lecteur, ce qui donne le même résultat que d'appuyer sur une carte. Cependant, les clients doivent d'abord entrer un mot de passe sur leur téléphone pour effectuer un paiement sécurisé.
- Paiements sans contact basés sur des applications : certaines entreprises proposent des services de paiement mobile dans lesquels une personne stocke toutes les informations de sa carte physique dans une application, puis sélectionne le mode de paiement souhaité avant de vérifier sur un site Web. La saisie d'un mot de passe s'applique ici aussi, mais ce n'est peut-être pas le cas si une entreprise reconnaît l'appareil d'un client.
Partout dans le monde, les gens aiment de plus en plus la possibilité de passer au sans contact lors du paiement. Une étude menée par Visa a révélé que la société avait traité 1 milliard de transactions de ce type qui nécessitaient auparavant la saisie d'un code PIN. La recherche a également indiqué que 80 pour cent des transactions en magasin avec les commerçants européens se font par des moyens sans contact.
Quels sont les risques possibles liés au paiement sans contact ?
Les paiements sans contact sont comme pratiquement tout le reste de la vie en ce sens qu'ils ne sont pas des options sans risque. Cependant, certaines menaces identifiées sont principalement théoriques, tandis que d'autres posent des problèmes de sécurité étayés par des preuves réelles.
Paiements non autorisés
Une crainte est que les pirates puissent dissimuler des lecteurs sans contact, puis passer à côté d'une personne pour réaliser la transaction. Un scénario connexe se produit lorsqu'un client laisse passer un paiement sans le savoir en s'approchant trop près du lecteur de carte d'un magasin. Cependant, ceux-ci sont tous deux hautement improbables en raison de la façon dont les cartes doivent se trouver à moins de 2 pouces d'un lecteur.
Un pirate informatique doit être extrêmement proche d'une personne ciblée et savoir où cette personne garde une carte, puis rapprocher suffisamment le lecteur de ce point pour qu'une transaction ait lieu. C'est beaucoup de choses qui se passent précisément de la manière dont un criminel a besoin.
Selon MasterCard , même s'ils réussissent, les informations transmises ne comprennent que le numéro de carte et la date d'expiration, il s'agit donc d'un crime unique. L'absence de nom de titulaire de carte empêche un criminel de faire des achats en ligne frauduleux.
La deuxième possibilité pour une personne de payer quelque chose en marchant près d'un lecteur de carte est encore plus farfelue. Après tout, les commerçants ne gardent pas leurs lecteurs à plusieurs endroits dans un magasin. La plupart les ont près de la caisse, derrière le comptoir. Ils sont présentés à un acheteur au moment de la transaction.
Les personnes encore préoccupées par ces petits risques pourraient se rassurer en achetant un portefeuille anti-RFID . Il protège les cartes des ondes radio qui font fonctionner les paiements sans contact.
Paiements sans contact importants sans l'autorisation d'un titulaire de carte
Peut-être avez-vous fait un voyage en voiture avec un ami qui a décidé de s'arrêter dans un dépanneur. Vous aviez soif d'un café, mais au lieu de sortir de l'argent de votre portefeuille, vous avez donné votre carte de débit à votre copain et lui avez demandé de payer pour la boisson. C'est une chose à faible risque à faire avec une personne de confiance, bien que la meilleure pratique de paiement sécurisé soit de garder la carte en votre possession, même pour les petits achats.
Cependant, la plupart des émetteurs de cartes appliquent une deuxième garantie en limitant les montants des paiements sans contact. Les transactions maximales varient mais sont généralement inférieures à 50 $. C'est une excellente stratégie de sécurité, mais les chercheurs ont découvert qu'elle n'était pas infaillible.
Ils ont expérimenté cinq cartes Visa distribuées par des banques britanniques et ont découvert que les pirates pouvaient contourner les limites des cartes avec chacune d'entre elles. Ces failles de sécurité ont même permis à des transactions non autorisées de se produire en dehors du Royaume-Uni.
Les criminels pourraient manipuler les signaux passant entre une carte et un lecteur en utilisant un gadget qui intercepte la communication. Il demande au lecteur d'ignorer toute limite de transaction imposée par l'émetteur.
Les chercheurs ont également découvert que ce hack s'appliquait aux portefeuilles de smartphones. Fait intéressant, un criminel pourrait effectuer une transaction sans déverrouiller un téléphone, mais ne pourrait facturer que jusqu'à la limite indiquée dans de tels cas. Ces exemples soulignent l'importance de vérifier régulièrement et attentivement vos relevés de transactions, à la recherche de frais étranges.
Données mal gérées
Les statistiques ont montré que 75 % des ventes de commerce électronique de 2020 ont eu lieu sur des appareils mobiles. L'amour des consommateurs pour la technologie a poussé les dirigeants d'entreprise à explorer comment ils pourraient aider les gens à effectuer traditionnellement des transactions en personne à partir de leur téléphone. C'est pourquoi l'enregistrement d'événements sans contact et les nécessités d'arrivée ou de départ à l'hôtel peuvent désormais souvent se faire via des applications.
Ces activités sans contact sont généralement sans danger. Cependant, étant donné qu'ils transmettent des données électroniques, tout se résume à savoir si le fournisseur de services ou son partenaire technologique suit les procédures appropriées lors de la collecte et du stockage des informations des clients.
Envisagez de rechercher les protocoles de sécurité des données d'une entreprise avant d'utiliser son service sans contact pour la première fois. Cette information vous aidera à déterminer la fiabilité de l'organisation.
Appareils, mots de passe et cartes compromis
Tous les paiements sans contact nécessitent la carte d'une personne ou une application de portefeuille pour smartphone compatible et un mot de passe. Le vol de l'un d'entre eux pourrait vous exposer à un risque de fraude au paiement sans contact.
Prenons l'exemple où vous utilisez une carte sans contact dans un point de vente très fréquenté, tel qu'un centre commercial ou une station-service. Au lieu de le glisser dans votre poche arrière après utilisation, vous le laissez tomber sans le savoir sur le sol. À partir de ce moment, une personne malhonnête pourrait venir l'utiliser en se faisant passer pour vous, au moins en faisant une petite transaction.
Quelque chose de similaire peut se produire avec un téléphone perdu ou volé, bien que l'utilisateur non autorisé ait également généralement besoin de votre mot de passe pour effectuer une transaction. Choisissez toujours des mots de passe uniques et difficiles à deviner pour tous vos appareils. Cela augmente les chances qu'un criminel n'aille pas très loin s'il a votre téléphone et essaie d'effectuer un paiement sans contact.
Désactivez également toutes les fonctionnalités qui permettent aux gens de payer avec des contrôles d'authentification minimum. Bien que le service One Touch de PayPal permette de se connecter et de payer sans saisir de mot de passe, vous pouvez le désactiver en accédant aux paramètres de sécurité du site.
Vous pouvez réduire les risques sans contact
La réduction des risques d'activités particulières est un élément important d'une vie quotidienne sûre.
Lorsque les gens conduisent des voitures, préparent des repas et se livrent à des passe-temps, ils savent que toutes ces façons de passer du temps comportent des dangers potentiels. Cependant, des mesures proactives réduisent les menaces, qu'il s'agisse de porter une ceinture de sécurité, d'attacher un casque de vélo ou d'enfiler un gant de cuisine avant de manipuler des contenants d'aliments chauds.
Adoptez une approche similaire lorsque vous décidez d'utiliser des méthodes sans contact. Les fournisseurs de cartes intègrent des mesures de sécurité dans les mécanismes de paiement, et vous pouvez considérer ces options comme généralement sûres. Cependant, les actions sous votre contrôle minimisent également les risques de problèmes de sécurité.