Dans l’édition de mars de son mensuel « Que Choisir », l’association de consommateurs UFC-Que Choisir dénonce, exemples à l’appui, le « forcing » des banques pour équiper leurs clients de cartes bancaires sans contact comportant, selon elle, « d'importantes failles sécuritaires ».
La technologie NFC (pour Near Field Communication, communication en champ proche), qui permet de régler des achats de vingt euros maximum sans introduire sa carte bancaire dans le terminal de paiement ni entrer son code, comporte « d’importantes failles sécuritaires », écrit l’UFC-Que Choisir, qui reprend ainsi à son compte une inquiétude récurrente sur ces nouvelles cartes, exprimée notamment par la CNIL (Commission nationale Informatique et Libertés). « D’une part, en cas de vol de la carte, il devient plus facile d’effectuer des paiements et retraits (le code n’est pas nécessaire) », souligne l’association ; « d’autre part, les pirates peuvent aspirer les données au moment où elles sont émises à distance par la carte. »
l’UFC rappelle en effet que les banques ont fait le choix, pour des questions de coût, de ne pas chiffrer les données échangées entre la carte et le terminal : « C’est paradoxal : les cartes bancaires qui possèdent le dispositif NFC sont moins protégées qu’une carte permettant de prendre le métro », explique un consultant sécurité cité dans l’article, faisant référence au Pass Navigo parisien.
Difficile de renoncer au NFC
Mais UFC-Que Choisir ne se contente pas de critiquer les choix technologiques des banques. L’association dénonce également le « forcing » qu’elles effectuent pour équiper leurs clients, le plus souvent sans leur accord formel. Lors des ouvertures de compte ou des renouvellements, la majorité des enseignes fournit ainsi par défaut des cartes bancaires équipées de puces NFC. Seule La Banque Postale sollicite en amont le consentement de ses clients. Et si la plupart d’entre elles acceptent de désactiver la fonction paiement, sur demande et à distance, la puce elle reste active et permet toujours l’interception de données confidentielles.
Lire ou relire à ce sujet : Comment désactiver la fonction NFC de votre carte bancaire ?
Que se passe-t-il, alors, si un client inquiet demande expressément à bénéficier d’une carte non-NFC ? La plupart des enseignes ont prévu ce cas de figure - seules Boursorama Banque et Axa Banque dérogent. Mais, selon UFC-Que Choisir, le renouvellement n’est pas toujours aisé : certains clients ont dû menacer de quitter leur banque pour obtenir gain de cause.
Dans un autre article publié sur son site internet, l’association rapporte également l’étrange attitude d’Hello bank, l’enseigne 100% digitale de BNP Paribas. En réponse à un client qui demandait à bénéficier d’une carte non-NFC, elle lui a expliqué qu’elle n’en fournissait plus. Elle en a profité pour lui proposer de souscrire une assurance moyen de paiements, facturée 26,50 euros par an, afin de se prémunir des risques. Plutôt culotté, d’autant que cette assurance, rappelle UFC-Que Choisir, « se révèle totalement inutile pour les paiements frauduleux par carte bancaire », les banques ayant l’obligation de rembourser leurs clients, à moins d’être en mesure de démontrer leur négligence ou leur malhonnêteté.
