Depuis plusieurs mois, les citoyens voient leurs cartes de paiement échangées par leurs agences bancaires. Une fonctionnalité moderne l’accompagne : le paiement sans contact. Ainsi, la carte peut être déposée sur un lecteur, sans quitter le portemonnaie, et les données de la carte sont lues sans insertion de code afin d’effectuer l’opération bancaire. Cette nouvelle technologie est présentée comme étant novatrice, efficace et pratique. L’interface parfaite entre vendeur et consommateur.
Cependant, ce moyen de paiement n’est pas sans risque. En effet, le possesseur de la carte n’ayant plus besoin d’intervenir pour une opération en apposant le code de sécurité, il perd le contrôle de sa carte. N’importe qui peut, en effet, s’il dispose d’un lecteur, effectuer des opérations fictives et ainsi voler l’argent des citoyens sans qu’ils ne s’en rendent compte. Le relevé bancaire arrivant tardivement, il sera d’autant plus difficile de justifier l’inexactitude de l’achat frauduleux.
Mais la problématique ne s’arrête pas à l’opération fictive. En effet, de nos jours, n’importe quel propriétaire de téléphone intégrant la technologie NFC (tout appareil tel que le Samsung Galaxy S3 et supérieur ainsi que d’autres modèles) peut télécharger gratuitement une application afin de lire les données de ces cartes. Une simple recherche dans le catalogue des applications de Google : « lecteur de carte bancaire » suffit. Une légère manœuvre permet non seulement d’obtenir le numéro de carte et sa date d’échéance, mais également de lire les derniers achats effectués, ainsi que tout le code d’identification.
Autant dire qu’une personne sans compétences informatiques particulières peut recopier les numéros de carte, créer des comptes sur des magasins virtuels étrangers, entrer des adresses de livraison différentes et ainsi voler le possesseur de la carte.
Outre le fait de dévoiler les informations sur vos derniers achats, le fait de connaître vos noms, prénoms et numéro de carte permet des arnaques encors plus effaces, notamment en utilisant des techniques d’ingénierie sociale (mail frauduleux, phishing, etc…).
En dehors de ces risques de détournements financiers, la facilité d’accès aux cartes de paiement met en danger la sphère privée des citoyens. En effet, tout un chacun pourra très simplement accéder aux données bancaires de son prochain. Un conjoint peu scrupuleux, un ami avec une curiosité mal placée, un membre de la famille ou n’importe qui se trouvant, pendant quelques secondes, à proximité (bus, train, café…) peut copier les données.
Suite à la démonstration concrète de la mise au pilori des données bancaires, une cliente a entrepris des démarches auprès de son émetteur de carte afin de pallier à cette fuite. Elle s’est ainsi vu refuser par Mastercard la demande d’en commander une nouvelle sans l’option « paiement sans contact ». D’après le service clients contacté, le seul moyen de ne pas avoir cette faille dans le service Mastercard aurait été de résilier son compte.
L’introduction forcée du paiement sans contact ouvre la porte à de graves violations de la sphère privée et de la protection des données bancaires.
Suite à ces événements, le Parti Pirate Genevois (PPGe) va solliciter le Préposé fédéral à la protection des données et à la transparence (PDFPDT) d’agir auprès des émetteurs de cartes bancaires afin que le paiement sans contact soit utilisé dans le respect de la protection des données bancaires personnelles. D’autre part, le client devrait pouvoir avoir le choix d’utiliser une carte sans technologie RFID, et le cas où la carte NFC est choisie, d’être au courant des risques liés aux achats et aux données bancaires.
Une dénonciation au nom du PPGe sera également faite auprès de la Fédération romande des consommateurs (FRC).