Encouragées par le GIE Cartes Bancaires (CB), qui gère le réseau interbancaire de paiement par carte en France, les banques de détail équipent massivement leurs clients de cartes NFC permettant de payer sans contact et sans code secret. Une technologie qui a l’avantage d’étendre potentiellement le paiement par carte - et les importants revenus qu’il génère - aux achats de petit montant, mais dont la sûreté continue de faire débat. Les banques ont-elles prévu un système de désactivation de cette fonction ? Et si oui, comment procèdent-elles ? Nous leur avons posé la question.

Un chiffre résume le volontarisme des banques françaises en matière de paiement sans contact : entre fin 2011 et fin 2013, le nombre de cartes bancaires équipées de puces NFC a été multiplié par 7, pour atteindre près de 23 millions (38% du parc) en juin dernier. Résultat : un nombre non négligeable de Français ont accès, sans l’avoir toujours demandé, à un service dont la praticité est indéniable, mais dont la sûreté fait débat. Avec un matériel approprié, un hacker peut en effet intercepter, via la puce NFC, les numéros et les dates de validité des cartes présentes dans un rayon de 15 mètres autour de lui. Une brèche qui a amené la Commission nationale Informatique et Libertés (Cnil) à s’intéresser à la question.

Lire à ce propos : La sécurité des cartes NFC reste à améliorer (Cnil)

Les enseignes, sur cette question de la sécurité, sont peu bavardes. Sur les neuf enseignes distribuant des cartes bancaires NFC qui ont bien voulu répondre à nos sollicitations, cinq (La Banque Postale, Axa Banque, le Crédit du Nord, le CIC et Boursorama Banque) ont préféré éluder la question. Les autres (la Société Générale, le Crédit Coopératif, BNP Paribas et le Crédit Agricole) ont affiché leur confiance, reprenant sur ce sujet l’argumentaire fourni par le GIE Cartes Bancaires.

Désactivation à distance

Confiantes dans la sécurité du dispositif, les banques ont néanmoins toutes prévu de permettre à leurs clients les plus réticents de renoncer à cette fonction de paiement sans contact. La Banque Postale fait figure d’exemple en la matière : contrairement à la grande majorité des enseignes, elle n’équipe pas par défaut ses nouvelles cartes de puces NFC, mais propose le paiement sans contact comme une option gratuite.

D’autres enseignes proposent un désactivation à distance de la fonction : c’est le cas par exemple de la Société Générale et de sa filiale de banque en ligne, Boursorama Banque. Chez cette dernière, le paiement sans contact est présent sur les cartes qu’elles distribuent, mais il est désactivé par défaut. « [Les clients] peuvent activer le service ou le désactiver gratuitement en temps réel, en quelques clics, même depuis leur mobile » nous a expliqué son service de presse. Une fois la demande reçue par la banque, « la fonctionnalité est désactivée à distance, au moment où la carte fait un appel au serveur d’autorisation (retrait DAB notamment) », détaille de son côté la Société Générale.

Refabrication ou étui ?

Problème : cette méthode permet de suspendre le service « paiement sans contact », mais elle ne désactive pas physiquement la puce NFC présente dans la carte. Celle-ci continue donc potentiellement d’émettre des informations, qui peuvent toujours être interceptées par une personne mal intentionnée. Une autre solution, plus radicale, consiste donc à demander à sa banque la refabrication d’une carte sans puce NFC. C’est la solution adoptée par BNP Paribas - qui ne facture pas le service dans ce cas de figure -, le CIC, le Crédit Coopératif ou le Crédit Agricole (1).

Entre la désactivation logicielle et la désactivation physique, il existe enfin une solution médiane, plus contraignante : l’étui de carte « anti-NFC », qui empêche le piratage des données contenues dans la puce - sauf évidemment quand on sort sa carte pour payer. Selon un article publié en juin dernier par le site 01net.com, la Banque de France aurait d’ailleurs demandé aux établissements de stocker ce type d’étui, à hauteur de 10% du nombre de cartes NFC en circulation. Une précaution que seule Soon, la banque mobile d’Axa Banque, a évoqué dans ses réponses, expliquant fournir ces étuis « sur simple demande ».

Lire ou relire la première partie de notre enquête : Paiement sans contact : comment les banques équipent leurs clients à marche forcée

(1) Cette dernière enseigne nous a toutefois expliqué travailler sur « une désactivation technique sans changement de carte ».