Cet article date de plus de cinq ans.

Nouveau monde. Une faille dans les paiements sans contact Visa permettrait de voler des milliers d'euros

Nouveau monde Jérôme Colombain Le samedi à 17h50, 20h20 et 22h22, le dimanche à 17h52, 20h55 et 22h52

Des chercheurs suisses ont mis au jour une vulnérabilité dans le système de paiement des cartes bancaires Visa, qui permettrait de dépasser la limite de paiement des 50 euros sans code.

franceinfo, Jérôme Colombain

Radio France

Publié le 02/09/2020 15:54

Temps de lecture : 2min

Affiche du paiement sans contact à l'entrée d'une boutique. Photo d'illustration. (MAXPPP)

À cause de l’épidémie Covid-19, le paiement sans contact par carte bancaire connaît un succès grandissant. Toutefois, des chercheurs suisses ont découvert une manière de contourner les sécurités mises en place.

En France, on peut payer sans contact avec une carte bancaire, sans code secret, jusqu’à 50 euros. Cette limitation a été fixée pour limiter les risques de fraude. Or, ces chercheurs suisses, de l'École polytechnique fédérale de Zurich, ont montré qu’il était possible de tromper les terminaux de paiement et de dépenser des montants bien supérieurs avec une carte bancaire, sans utiliser de code.

Deux smartphones et une application

Si les paiements sans contact sont limités à 50 euros avec une carte, en revanche, il n’y a pas de limitation lorsque l'on paye avec un smartphone ou une montre connectée. En effet, la sécurité est garantie par l’authentification au niveau du téléphone (code secret, empreinte digitale, reconnaissance faciale).

Pour réaliser leur petite "arnaque", dans un but pédagogique, les chercheurs ont utilisé deux smartphones et une application développée spécialement sous Android. Le procédé consiste à placer un premier smartphone en contact avec une carte bancaire qui pourrait être volée (par exemple, dans une poche) et, d'un autre côté, ils utilisent le deuxième smartphone pour payer sur un terminal de paiement (par exemple chez un commerçant). Les deux téléphones communiquent entre eux et la carte bancaire est débitée en faisant sauter les sécurités de la carte, ce qui permet de dépenser potentiellement plusieurs milliers d’euros, sans code secret (procédé expliqué ici).

Visa averti

Il s'agit donc d'une faiblesse dans le protocole de paiement Visa. Mais, pas de panique, il est peu probable que cela menace véritablement les finances des Français, vu la relative complexité technique du processus. Les chercheurs suisses affirment avoir informé le consortium Visa-Mastercad. Une mise à jour devrait être déployée sur les terminaux de paiement, même si cela risque de prendre du temps.

À noter que, selon ces chercheurs, les cartes de paiement Mastercard ne sont pas concernées par ce problème. Tout cela plaide, en fin de compte, en faveur du paiement sans contact par téléphone mobile, qui est plus sécurisé que par carte bancaire.