Le paiement sans contact présente de nombreux avantages. En premier lieu, il est très pratique : il suffit d’approcher sa carte ou son smartphone du TPE et hop, le paiement est effectué et on peut passer à autre chose. Par conséquent, le paiement sans contact par NFC (Near Field Communication) se doit d’être extrêmement sûr. C’est également l’avis de l’Office fédéral de la sécurité des technologies de l’information (BSI). Cependant, les chercheurs des universités de Surrey et de Birmingham sont d’un avis contraire.

Quand la commodité l’emporte sur la sécurité

« Plus, c’est moins », peut-on lire dans le titre d’une nouvelle étude menée par les universités de Surrey et de Birmingham. Les chercheurs en sécurité ont découvert de nombreuses vulnérabilités cachées dans les systèmes de paiement, qui leur ont permis d’effectuer des transactions de grande valeur sans autorisation, comme le rapporte la BBC.

Concrètement, les chercheurs ont fait en sorte que certains terminaux acceptent des cartes de paiement alors que ceux-ci n’acceptaient normalement que les smartphones. Ou encore, ils les ont poussés à effectuer des opérations de paiement qui dépassent une certaine limite pour le paiement sans contact, et ce, sans code PIN ni vérification biométrique. Un cas en particulier aurait même rendu possible d’effectuer un paiement non autorisé d’un montant de 25 000 livres (c’est-à-dire 28 500 euros), et donc de transférer un montant bien supérieur aux limites habituelles de la technologie sans contact.

Les chercheurs en sécurité n’ont pas pointé du doigt des erreurs concrètes commises par les entreprises pour expliquer ces nombreuses failles. Ils ont simplement souligné que des systèmes complexes comme ceux de Visa, Mastercard ou Europay peuvent développer des vulnérabilités lors de l’ajout de nouvelles fonctionnalités sans une coordination efficace entre les fournisseurs. On parle de fonctionnalités comme les possibilités de paiement hors ligne, d’options pour le transport, ou encore de règles spécifiques à chaque région pour la saisie du code PIN lors de transactions de grande valeur.

Une meilleure coopération est nécessaire

« Le secteur a déjà apporté des améliorations prometteuses, mais il reste nécessaire d’améliorer la coordination entre les fournisseurs afin de s’assurer que cette commodité ne donne pas lieu à de nouvelles opportunités de fraude », a déclaré Ioana Boureanu, directrice du Surrey Centre for Cyber Security. Les chercheurs auraient déjà signalé en 2024 toutes les failles trouvées et auraient également aidé à les éliminer.

Un porte-parole de Visa a assuré à la BBC que le paiement sans contact restait l’une des options de paiement les plus sûres pour les clients. Nous recommandons toutefois de veiller davantage pour éviter tout vol ou perte de cartes de paiement et de TPE. Et d’autre part, il est nécessaire de vérifier régulièrement les montants débités afin de bloquer rapidement les cartes en cas de doute. N’hésitez pas à contacter votre banque immédiatement en cas de doute.