A la suite de ce reportage, on pourrait craindre le pire. On nous recommande même d’emballer nos cartes de crédit (cartes bleues) dans du papier aluminium. Dès lors, j’ai décidé de reproduire l’expérience effectuée par le président du parti pirate dans le reportage. Le parti pirate n’a aucun siège en politique suisse, autant dire un parti insignifiant.

Tout d’abord, il suffit de télécharger l’application sur le play store. Il s’agit de l’application « Lecteur de carte bancaire NFC » de Julien MILLAU. Il faut ensuite activer « NFC » sur votre smartphone, ainsi qu’Android Beam (juste en dessous de NFC).

Je possède une MasterCard commandée auprès de PostFinance (La Poste), l’un des plus importants établissements bancaires de Suisse. J’ai reproduit l’expérience et ma MasterCard n’a pas été détectée par l’application.

J’ai ensuite reproduit l’expérience avec la Visa de mes parents aussi commandée auprès de PostFinance. Cette fois, le numéro de carte de crédit ainsi que la date d’échéance sont détectés. Les transactions sont nuls et les logs ne donnent aucune information intéressante. Par contre, le code cvc (le code à 3 chiffres au dos de la carte de crédit) n’est pas détecté. Est-ce grave docteur ?

1) Il faut être très proche de la carte pour la détecter. Avec le porte-monnaie dans la poche arrière du jeans, il faut mettre la main aux fesses pour détecter la carte. Une telle expérience ne peut pas passer inaperçue. L’expérience de l’EPFL est difficilement réalisable en réalité. De plus, sans code PIN, le montant est limité à 40 CHF (38 EUR).

2) Il existe la norme 3D secure (Verified By Visa, MasterCard SecureCode) pour les achats en ligne. Pour valider un paiement, il faut :

– la numéro de la carte de crédit

– sa date d’expiration

– le code cvc

– le mot de passe 3D secure

En Suisse, cette norme est appliquée chez tous les marchands en ligne. Dans ce cas, le voleur ne connait ni le code CVC, ni le mot de passe 3D secure.

3) Le voleur doit connaître le code CVC pour valider un paiement. Ce code n’est pas donné avec cette application.

4) Admettons qu’il soit possible de payer avec uniquement le numéro de carte de crédit et la date d’expiration (j’en doute). Ce type de sites serait sous surveillance de Visa et MasterCard. Un paiement suspect aurait de très fortes chances d’être repéré par les systèmes de sécurité et bloqué.

Au final, il faut beaucoup de circonstances défavorables pour effectuer un paiement sans votre consentement. Le risque zéro n’existe pas et une analyse de risque est effectuée avec une matrice qui comporte un axe probabilité et un axe impact. L’axe probabilité est faible, disons 2 sur 4. L’axe impact est aussi très faible, 1 sur 4. En effet, la pire chose (axe impact) qu’il puisse se produire est une faible ou moyenne somme débitée à votre insu. Toutefois, il faudra contester le paiement qui vous sera très probablement remboursé. Le produit des deux axes nous place dans un zone de risque considérée comme limitée (couleur verte sur la matrice). Ainsi, aucune précaution particulière ne doit être prise. Emballer sa carte de crédit dans une feuille d’aluminium est un geste superflu selon l’analyse de risque.

Exemple de matrice de gestion des risques

 

Matrice de gestion de risque