Le 25 novembre prochain, l’administration fiscale prélèvera une nouvelle somme sur le compte des contribuables concernés par un rattrapage de l’impôt sur le revenu. Êtes-vous concerné ?
Gare aux paiements sans contact ! Surtout si vous possédez une carte Visa. Une faille de sécurité vient en effet d’être détectée par des chercheurs en cybersécurité de l’École polytechnique fédérale de Zurich. Cette brèche est localisée au niveau du paiement sans contact, pourtant protégée, rappelle le site spécialisé belge Geeko.
Cartes Visa : les différents types de paiements NFC
Le paiement "sans contact" permet d’effectuer des petits paiements sans authentification en apposant simplement sa carte sur un terminal de paiement chez un commerçant. Le plafond, fixé généralement à 30 euros, a été relevé à 50 euros en raison de la crise sanitaire, afin de faciliter l’application des gestes barrières.
La seconde méthode de paiement sans contact, utilisée pour des montants plus importants, s’effectue à l’aide d’un code de sécurité ou des smartphones, avec Apple Pay ou Google Pay, notamment. Il permet de régler vos emplettes via le NFC, mais nécessite une méthode d’authentification : reconnaissance digitale ou faciale via votre mobile.
Selon les experts, c’est malheureusement bel et bien ce système d’authentification permettant de sécuriser les paiements qui semble touché.
Ainsi, une personne malintentionnée peut vider très rapidement votre compte en cas de contact avec votre carte Visa.
Les chercheurs de l’ETH Zurich sont en effet parvenus à réaliser des transferts de sommes d’argent importantes en outrepassant l’authentification. Pour ce faire, deux smartphones ont été utilisés. Le premier simulait le terminal de paiement auprès de la carte Visa volée et l’autre simulait une carte Visa auprès du vrai terminal de paiement, détaille l’étude.
Paiement sans contact : un protocole de paiement modifié
Si l’arnaque nécessite un peu de matériel, cela ne rebute en aucun cas les malfrats. Via un protocole de paiement modifié, les experts sont parvenus à faire croire au terminal de paiement que l’authentification avait bien été réalisée. Les chercheurs ont donc pu transférer à leur guise des sommes importantes, sans limites d’achat et sans devoir s’authentifier. La carte Visa interprétait en effet ses montants comme inférieurs au seuil nécessitant une validation d’achat.
Faille carte Visa : que faire si vous l’avez égarée ?
Pour exploiter cette faille, les malfrats doivent donc impérativement disposer d’une carte Visa. Vous possédez ce type de carte ? En cas de perte ou de vol, ne perdez pas de temps. Faites opposition le plus rapidement possible.
Rassurez-vous toutefois : la brèche de sécurité devrait être corrigée via une simple mise à jour des terminaux de paiement. Le déploiement peut prendre encore un certain temps, mais il n’est pas nécessaire de remplacer votre carte. Veillez simplement à ne pas l’égarer.
Quant aux propriétaires des cartes Mastercard, ils n’ont pas à s’inquiéter. D’après les chercheurs, "le protocole de paiement sans contact de Mastercard protège toutes les transactions à montant élevé".
Visa, qui nous a contacté, tient d'ailleurs à rassurer ses utilisateurs : "Visa traite toutes les menaces liées à la sécurité avec le plus grand sérieux, et nous apprécions les efforts de la part de l’industrie et du milieu universitaire visant à renforcer la sécurité des paiements. Les consommateurs peuvent continuer à utiliser leurs cartes Visa en toute confiance."
Et d'ajouter : "Les évolutions des méthodes de fraude par étapes sont étudiées depuis près d’une décennie. Au cours de cette période, aucune fraude de ce type n'a été signalée. Les études et tests peuvent être intéressants, mais en réalité ce genre de méthodes s’est avéré irréalisable à mettre en place par des fraudeurs dans le monde réel. Les cartes de paiement sans contact sont très sécurisées. Intégrant la même technologie sécurisée que les cartes à puce EMV®, les cartes sans contact sont extrêmement efficaces pour prévenir la contrefaçon, car elles s’appuient sur un code à usage unique qui évite que des données compromises soient réutilisées dans un contexte de fraude."