Un an après le lancement de l’enquête officielle sur les cartes bancaires équipées de la technologie NFC, la Commission nationale informatique et libertés (Cnil) fait le point. Les dernières générations de cartes de paiement sans contact sont plus sûres mais des améliorations restent à apporter.

La Commission nationale informatique et libertés a lancé en mai 2012 une enquête officielle sur les cartes de paiement sans contact, de plus en plus souvent distribuées (1). Après plus d’un an de travail avec les professionnels du secteur bancaire et la Banque de France, la Cnil se félicite de quelques améliorations sur les dernières générations de cartes équipées de la technologie NFC (Near field communication) qui présentent de moins en moins de risques pour la vie privée de leur porteur.

Cette enquête avait été lancée suite aux accusations portées par un ingénieur français, Renaud Lifchitz, que nous avons déjà eu l’occasion d’évoquer sur cBanque, sur la sécurité de ces cartes, et confirmées par des tests effectués l’été dernier par la Cnil.  

Après « un travail avec les industriels du secteur », la Cnil se félicite dans un communiqué d’avoir pu améliorer les cartes NFC émises depuis la fin du mois de septembre 2012 : le nom du porteur n’est plus accessible. D’autres avancées sont à venir : pour les cartes déployées à partir de la fin de cette année, l’accès à l’historique des transactions ne sera plus lisible.

Le NFC désactivé par défaut

L’accessibilité du numéro de carte et de la date d’expiration reste une faille qui préoccupe la Cnil bien qu’ « aucune fraude exploitant cette accessibilité n’ait encore été détectée » précise le communiqué. Toutefois, la commission appelle les banques à travailler sur un « chiffrement des échanges rendant tout accès aux données impossible ».

De la même façon, la Cnil souhaite que le NFC reste une technologie qui soit comprise et acceptée des porteurs de carte. Ils « doivent être clairement informés de la fonctionnalité sans contact et doivent pouvoir la refuser, soit en obtenant une carte ne disposant pas de cette fonctionnalité, soit en obtenant sa désactivation par leur banque ». Mieux encore, à l’image de ce que propose Boursorama Banque depuis quelques jours, la Cnil milite pour que les porteurs de carte puissent activer ou désactiver eux-mêmes l'option paiement sans contact de leurs cartes.

(1) En avril 2013, plus de 10 millions de cartes équipées de la technologie NFC étaient en circulation en France, soit 17,2% du parc national (chiffres publiés sur le site CB).