Mais, si pratique que soit ce nouveau mode de transaction, peut-on vraiment lui faire confiance ? Au sein de l’Institut de recherche en informatique et systèmes aléatoires (Irisa)1, à Rennes, le spécialiste de la cryptographie Pierre-Alain Fouque se méfie du paiement sans contact, au point qu’il a demandé à sa banque de désactiver la puce NFC sur sa propre carte bancaire. La raison de son inquiétude ? « Actuellement, aucun contrôle n’est présent » sur ce moyen de paiement, explique le chercheur, et comme « on ne demande rien à l’utilisateur, rien n’empêche le vendeur de faire plusieurs retraits sur la carte ». Car, contrairement à un règlement effectué à partir d’un téléphone portable, pour lequel « on demande confirmation, ce n’est pas le cas avec la carte bancaire ». Évidemment, ce ne serait pas très discret de la part d’un commerçant, dont on aurait vite fait de retrouver la trace au prochain relevé de banque…

Si vous vous promenez dans la rue avec votre carte NFC, un hacker passant près de vous peut intercepter vos données.

Pierre-Alain Fouque reconnaît que « des mesures ont été prises pour éviter que quelqu’un vide votre compte bancaire, en limitant une transaction à 20 euros, et de telle manière qu’on ne puisse pas faire plus de trois ou quatre paiements sans contact par jour ». En revanche, « il n’y a pas de réelles mesures de sécurité à l’intérieur des cartes bancaires pour éviter ce type d’attaque ».

Pire, poursuit Pierre-Alain Fouque « si vous vous promenez dans la rue, avec votre carte NFC dans votre poche ou votre sac, il est tout à fait possible pour un hacker passant près de vous d’intercepter vos données » grâce à un faux lecteur, comme un téléphone portable ou un ordinateur, « pour les envoyer à un complice qui s’en sert au même moment pour régler un achat » ou déverrouiller la portière de votre voiture.

C’est le principe de l’attaque du man in the middle, ou « attaque par relais » : la carte NFC et le terminal de paiement, pensant dialoguer l’un avec l’autre, communiquent en fait avec un troisième intervenant, qui utilise les informations envoyées par la carte pour faire la preuve de son identité auprès du lecteur cible. « Le seul moyen de prévenir une telle attaque est de ne pas avoir assez d’argent sur sa carte bancaire ! », ironise Cristina Onete, chercheuse en post-doctorat à l’Irisa.