La généralisation, souhaitée par les banques de détail, des cartes bancaires NFC autorisant les paiements sans contact s’est accompagnée de craintes sur la sécurité de cette technologie, qui permet notamment de payer sans entrer de code secret. Ces critiques ont-elle eu un impact sur les usagers ? Sont-ils nombreux à résister au NFC ? Et quelles alternatives leur proposent leurs banques ? Nous leur avons posé la question.

Fin mars 2015, selon les chiffres de l’observatoire du NFC et du sans contact, 54% des cartes bancaires en France (soit 34,7 millions) étaient équipées d’une puce NFC (1) permettant de payer sans contact. Le chiffre a été multiplié par dix en trois ans et demi : fin 2011, seuls 3,4 millions de cartes l’étaient. Un essor impressionnant, qui est avant tout le fait des banques. On peut d’ailleurs comprendre leur empressement : le paiement sans contact, utilisé principalement pour les achats de faible montant, promet de faire reculer l’usage des espèces, dont le traitement coûte cher, tout en permettant de facturer aux commerçants des commissions sur des paiements qui y échappaient jusqu’ici. Une véritable aubaine.

Lire aussi : Paiement sans contact : comment les banques équipent leurs clients à marche forcée

La généralisation du NFC sur les cartes bancaires s’est toutefois accompagnée de craintes sur la sécurité du dispositif, notamment de la part de spécialistes de la lutte contre le piratage ou d’associations de consommateurs. Le sans contact permet en effet de s’affranchir de l’authentification par code secret pour les paiements de moins de 20 euros, ce qui facilite l’usage de cartes volées. Et les informations échangées entre la puce NFC et le terminal de paiement se font en clair, sans chiffrement. Elles peuvent donc être interceptées et exploitées, même si aucun détournement de ce type n’a encore été relevé.

Le NFC, par ailleurs, ne semble pas soulever l’enthousiasme des Français. Les chiffres d’usage restent faibles : en 2014, 65 millions de transactions NFC environ ont été enregistrées, sur un total de 8,6 milliards de paiement par carte. Selon un sondage publié en janvier dernier, seuls 15% des Français ont déjà utilisé la fonction sans contact de leur carte, et 57% la trouvent « inutile ».

4% des récalcitrants à la Société Générale

Valeur d’usage restant à démontrer, fragilité supposée en matière de sécurité : la route est donc encore longue pour ancrer le paiement sans contact dans le quotidien des Français. Pour autant, manifestent-ils une méfiance, voire un rejet de cette technologie ? Nous avons posé la question aux principales enseignes de banque de détail françaises (2). Et toutes, sans surprise, s’accordent sur la réponse. Le refus du NFC est « très marginal » selon le Crédit Mutuel-CIC, « très rare » selon Boursorama. « Nous sommes face à des proportions infimes », confirme le Crédit Agricole, qui joue la carte de la pédagogie : « Avec le recul, on constate que nos clients ont surtout besoin (…) d’un échange supplémentaire afin de mieux comprendre cette nouvelle fonctionnalité. Ces échanges permettent en général de lever les craintes. »

La Société Générale, elle, accepte de fournir quelques chiffres. 3,5% des clients équipés ont demandé la désactivation de la fonction paiement sans contact, et 0,5% la substitution par une carte non NFC. Le cas est donc rare, mais justifie néanmoins que la banque rouge et noire conserve au catalogue, « à titre défensif », une carte bancaire dépourvue de puce NFC. Une option « proposée gratuitement ».

La désactivation à distance quasi-généralisée

Comme la Société Générale, toutes les enseignes ont-elles une alternative à proposer aux anti-NFC ? La réponse est oui, et montre que la question de la sécurité de cette technologie reste sensible. Sur les six autres banques ayant accepté de répondre à nos questions, la plus vertueuse en la matière est la Banque Postale, qui ne distribue de cartes NFC qu’aux clients en faisant la demande. Comme la Société Générale, le Crédit Agricole explique de son côté fournir aux clients qui le souhaitent des cartes classiques. Boursorama Banque, enfin, désactive par défaut la fonction paiement sans contact : à charge pour le client de l’activer s’il le souhaite.

Toute les enseignes (à l’exception du Crédit Agricole, qui y travaille) proposent par ailleurs la désactivation à distance du service. Le scénario est dans ce cas assez simple. Le client commence par demander la désactivation de la fonction (en agence, par téléphone ou dans son espace bancaire en ligne, selon les cas). La manipulation, ensuite, est informatique, comme le décrit le Crédit Mutuel-CIC : « Lors de la prochaine transaction avec demande d’autorisation (retrait GAB ou paiement de proximité) effectuée par la carte, un script (..) déclenché par notre serveur d’autorisation verrouille l’application paiement sans contact dans la puce de la carte ».

La carte, alors, ne permet plus de régler le moindre achat sans composer de code secret. La puce NFC, par contre, reste active et peut toujours potentiellement communiquer certaines informations (nom du porteur, numéro de la carte, date d’expiration) à un pirate bien équipé. Pour autant, aucune enseigne ne propose de détruire physiquement cette puce. « On ne la grille pas car on donne au client la possibilité de changer d’avis » explique ainsi le Crédit Mutuel-CIC. « Si vous détruisez la puce, la carte ne marchera plus du tout », prévient même la Société Générale.

Les banques discrètes sur les étuis anti-NFC

La seule alternative, dans ce cas, est l’utilisation de protège-cartes conçus spécifiquement pour « couper » toute possibilité de communication entre la puce et un récepteur. Pour faire face à un éventuel mouvement massif de rejet du NFC par les usagers, les banques ont d’ailleurs été encouragées, par la Banque de France et le groupement des cartes bancaires (3), à faire provision de ce type d’étuis. « Nous avons un stock minimum, utilisé au démarrage de l’offre tant que nous n’avions pas la possibilité de désactiver à distance la fonctionnalité », confirme la Société Générale. Mais elle ne souhaite pas « déployer ce type de dispositif ». « Nous ne proposons pas ce type d’étui », explique de son côté LCL (4), « dans la mesure où leur efficacité reste limitée puisque la carte est utilisée hors de l’étui pour les paiement chez les commerçants (…) ». Boursorama a, elle, obtenu une dispense du GIE CB, « dans la mesure où nos cartes NFC ne sont pas activées par défaut (…) et où nous disposons de la fonctionnalité de désactivation du NFC unitaire (client) ou globale [pour toutes les cartes distribuées par la banque, NDLR]. »

Bilan : pour se procurer ce type d’étuis, il ne faut pas compter sur les banques. Certains petits malins l’ont d’ailleurs bien compris : il suffit de taper « étui anti NFC » dans un moteur de recherche pour trouver une multitude de gadgets de ce type à la vente.

(1) Les cartes dites NFC (pour Near Field Communication, communication en champ proche) sont équipées d’une puce RFID permettant l’échange d’informations sans contact avec un terminal de paiement.

(2) Sur les 13 banques sollicitées, 7 nous ont répondu. Le Crédit Mutuel Arkéa n’a pas souhaité le faire. BNP Paribas, BPCE, Axa Banque, Fortuneo et Bforbank n’ont pas donné suite, ou n’ont pu répondre dans les délais.

(3) Le GIE Cartes bancaires, groupement d’intérêt économique détenu par les banques, organise et supervise le réseau d’acceptation des cartes bancaires agréées CB.

(4) LCL distribue depuis février 2015 un modèle de carte NFC, destiné aux étudiants, mais indique qu’elle prévoit de « continuer le déploiement de cette fonctionnalité sur l’ensemble des cartes bancaires LCL ».

Des cartes NFC chez ING Direct en 2016

La banque en ligne ING Direct est une des dernières enseignes de détail à ne pas proposer de cartes NFC à ses clients. Etonnant pour une banque qui communique sur la modernité et la facilité d’usage de ses services bancaires. La banque orange va toutefois prochainement rentrer dans le rang. Selon la communication de la banque, le projet « est bien avancé » et devrait se concrétiser début 2016. A cette date, la « puce NFC sera disponible sur les nouvelles cartes ou en renouvellement », à l’image de ce qui se fait dans la grande majorité des banques.

ING Direct explique également que le paiement sans contact est une demande des clients, et qu’elle est d’autant plus pertinente « que de plus en plus de marchands sont équipés » de terminaux de paiement compatibles. Pour ING Direct, l’arrivée du NFC est aussi « un premier pas vers le paiement mobile, auquel [la banque croit] beaucoup ».