La carte de paiement sans contact dans votre poche

[ourouboros]

Bonjour,

En avril dernier, avec son INpactitude habituelle, notre site préféré nous apprenait l'existence d'une béance de la sécurité dans la nouvelle fonction de paiement sans contact des prochaines cartes de paiement. Passablement alerté, je me jurais de ne jamais avoir un tel moyen de paiement dans ma poche.

Je viens de recevoir de ma banque un courrier m'informant que ma carte bleue renouvelée en avril 2012 embarque la fonction de paiement sans contact !

Pourtant c'est une simple carte bleue Visa à débit immédiat. À part un logo Monéo, elle ne porte aucun signe distinctif : pas de petit logo avec des ondes ou un quelconque texte mentionnant la fonction de paiement sans contact.

Comment se passe le renouvellement de vos cartes de paiement ? Avez-vous aussi maintenant une carte de paiement sans contact et sans consentement ?

[Ti Gars du Nord]

humm j'ai changé en avril est j'ai pas eu / lu de courrier à se sujet.

[ourouboros]

Voici quelques détails sur ma CB :

Carte de paiement : Carte Bleue Visa à débit immédiat

Établissement bancaire : Caisse d'Épargne Lorraine Champagne-Ardenne

Renouvelée en : avril 2012

Particularité : aucune mention du paiement sans contact sur la carte, logo monéo au dos.

Courrier “Votre Carte Bleue Visa va évoluer à partir du mois de juin par l'ajout d'une fonction de paiement sans contact” arrivé début juin avec le relever mensuel. Confirmation de la présence de la fonction de paiement sans contact par le conseiller financier et au téléphone par le centre de relation clientèle.

[Gigatoaster]

Voici quelques détails sur ma CB :

Il me manque l'essentiel : ton numéro et sa date d'expiration. D'avance merci!!

[ourouboros]

Il me manque l'essentiel : ton numéro et sa date d'expiration. D'avance merci!!

Pas besoin de te les donner : c'est vraiment facile à récupérer par NFC avec un bon smartphone.

[ourouboros]

humm j'ai changé en avril est j'ai pas eu / lu de courrier à se sujet.

Tu es sûr que ta nouvelle carte n'a pas le paiement sans contact ? La Caisse d'Épargne ne doit pas être la seule banque à distribuer en renouvellement des cartes bleues avec cette nouvelle fonctionnalité en se passant du consentement de son client.

[RaphAstronome]

Il me manque l'essentiel : ton numéro et sa date d'expiration. D'avance merci!!

Tu ne serais pas en train de lui demander des infos un peu trop sensibles ?

Sinon effectivement cette histoire de carte sans contact est bien inquiétant.

[Ti Gars du Nord]

humm j'ai changé en avril est j'ai pas eu / lu de courrier à se sujet.

Tu es sûr que ta nouvelle carte n'a pas le paiement sans contact ? La Caisse d'Épargne ne doit pas être la seule banque à distribuer en renouvellement des cartes bleues avec cette nouvelle fonctionnalité en se passant du consentement de son client.

j'en suis pas sur ^^

[Gigatoaster]

C'est un changement de moyen de paiement ce qui implique de nouvelles conditions d'utilisation non? Et si tu contactes la banque, que dit-elle?

[nemesis93_75]

Je viens de changer de CB (débit immédiat aussi) et je vois que j'ai le logo Moneo... Mais je ne me souviens pas avoir lu quoique ce soit sur un soit disant paiement sans contact...

Enfin de toute façon si on doit faire notre code secret (comme depuis toujours) à moins de créer un logiciel qui cracke ta CB à la volée, je vois pas comment il arriverais à récupérer ce qu'il faut

[Toorist]

La bnp fait ca en automatique aussi, mon petit frère et ma copine on tout les deux reçu des cartes avec NFC, sans avoir de détails sur le fonctionnement et autre, et impossible de récupérer une carte bleue "normale" sans le NFC ...

[ourouboros]

Enfin de toute façon si on doit faire notre code secret (comme depuis toujours) à moins de créer un logiciel qui cracke ta CB à la volée, je vois pas comment il arriverais à récupérer ce qu'il faut

D'après l'article d'avril , les paiements sans contact par Carte Bleue ne nécessitent pas de composer de code PIN. Mais le problème de sécurité ne se trouve pas à ce niveau là.

Le souci est qu'il est accessible en claire grâce à une lecture à distance à l'insu du porteur de la carte toutes les informations nécessaires pour faire une copie de la carte bleue qui serait utilisable sans problème dans des pays qui n'utilise que la bande magnétique pour réaliser les paiements.

[ourouboros]

C'est un changement de moyen de paiement ce qui implique de nouvelles conditions d'utilisation non? Et si tu contactes la banque, que dit-elle?

Les conditions d'utilisation de la carte bleue NFC sont présentes depuis janvier dans la nouvelle convention de compte. Au dos du courrier que m'a envoyé la Caisse d'Épargne figure un “addendum à votre contrat de carte bancaire”. J'ai écrit un courrier pour refuser que ma carte inclue la fonction de paiement sans contact. C'est à cette occasion que j'ai appris que ma carte embarque déjà la fonction NFC !

[Gigatoaster]

As tu pensé à exposer ton cas à la DGCCRF? Cela m'étonne que les assos de consommateurs ne se sont pas penchés sur la question. Dans mon entourage, je n'ai personne avec ce nouveau moyen de paiement.

[ano_634765235136126340]

Je viens de changer de CB (débit immédiat aussi) et je vois que j'ai le logo Moneo... Mais je ne me souviens pas avoir lu quoique ce soit sur un soit disant paiement sans contact...

Enfin de toute façon si on doit faire notre code secret (comme depuis toujours) à moins de créer un logiciel qui cracke ta CB à la volée, je vois pas comment il arriverais à récupérer ce qu'il faut

tu sais qu'il y a certains pays ou nous n'utilisons pas de code? par exemple la suisse.... la majorité des cartes de credit sont en signature et non pas en code...

[nemesis93_75]

Oui j'ai vécu aux états unis, c'est signature là bas aussi.

Mais je parlais pour le cas de la france

[Wildduck]

tu sais qu'il y a certains pays ou nous n'utilisons pas de code? par exemple la suisse.... la majorité des cartes de credit sont en signature et non pas en code...

Ca c'est fini. Depuis un an je crois (p-e un peu moins) c'est en train de passer partout à la carte de crédit avec PIN

[Gigatoaster]

Aux states, oui pour les nouvelles cartes. Mais il y en a des millions en circulation ça va prendre du temps!

[the_Grim_Reaper]

Je viens de changer de CB (débit immédiat aussi) et je vois que j'ai le logo Moneo... Mais je ne me souviens pas avoir lu quoique ce soit sur un soit disant paiement sans contact...

Enfin de toute façon si on doit faire notre code secret (comme depuis toujours) à moins de créer un logiciel qui cracke ta CB à la volée, je vois pas comment il arriverais à récupérer ce qu'il faut

Pour le NFC pas besoin de code il me semble, Visa a sorti un type de carte ou c'est inclu dedans, Prepay je crois, faudrait que je vérifie.MC à fait de même.

Aux states, oui pour les nouvelles cartes. Mais il y en a des millions en circulation ça va prendre du temps!

Bah, 2 ans grand max, c'est la durée de validité des cartes émises par les banques.

De toutes façons, la carte peut demander soit la saisie d'un code, soit signature, soit les deux, soit rien (elles sont belles celle la... et heureusement qu'elles sont rare )

Le choix de fonctionnalité varie d'une banque à lautre et d'un type de client à l'autre.

Après faut bien différencier les cartes de paiment (CB, Visa, MasterCard) en débit immediat ou différé, des cartes de crédit (Amex, Sofinco, Accord, ...) et les cartes qui font les deux (obligation de choix de l'utilisateur, ou choix par défaut de la carte possible).

Pour le NFC en dehors de la carte en elle même et des risque parasites liés au failles du protocole NCF choisi (y'en a 2 suivant les pays/société) faut aussi le soft capable de l'exploiter.

En plus Dans le cas présent il faut connaitre le NFC et les protocoles d'échanges bancaire, en l'occurence EMV et CB2A

[ano_634765235136126340]

tu sais qu'il y a certains pays ou nous n'utilisons pas de code? par exemple la suisse.... la majorité des cartes de credit sont en signature et non pas en code...

Ca c'est fini. Depuis un an je crois (p-e un peu moins) c'est en train de passer partout à la carte de crédit avec PIN

tout dépend de la carte et de la banque.

je viens de recevoir ma Visa renouvellée y'a maximum 3mois et elle est a signature pour les payements et pin pour les retraits.

[Krapace]

Je change clairement de banque si elle ne me laisse pas la possibilité de refuser ce mode de payement.

[digital-jedi]

Bonjour,

Je vous invite à lire la convention du Crédit Mutuel en page 20 du lien ci-dessous (je ne fais pas de pub, c'est juste que j'y suis et que ce topic m'a interpellé) :

https://www.creditmu...part_072012.pdf

Celle-ci décrit l'utilisation de la CB sans contact et son mode de fonctionnement. Notamment avec un téléphone mobile qui nécessite d'activer la fonction de la CB, un forfait mobile adéquat pour la data, bref, ça ne se fait pas tout seul.

Extraits :

Pour les cartes “CB” disposant de la technologie “sans contact”, à des fins sécuritaires, le montant unitaire maximum de chaque opération de paiement en mode

“sans contact” et le montant cumulé maximum des règlements successifs en

mode “sans contact” sont définis selon les limites fixées et notifiées par l’émetteur dans les conditions tarifaires particulières, ou dans tout document approuvé,

le cas échéant tacitement, par le titulaire de la carte “CB” et/ou du compte sur

lequel fonctionne la carte “CB”. En conséquence, au-delà dudit montant cumulé

maximum, une opération de paiement avec frappe du code confidentiel doit être

effectuée par le titulaire de la carte “CB” pour continuer à l’utiliser en mode “sans

contact” et réinitialiser le montant cumulé maximum disponible.

Pour pouvoir utiliser l’Instrument de paiement “CB”, l’utilisateur doit disposer

d’un téléphone mobile et d’une carte SIM compatibles avec la technologie “sanscontact” et d’un abonnement à un forfait adapté au service sans contact auprès

d’un opérateur de téléphonie mobile.

Ces conditions et procédures peuvent comporter une demande d’autorisation. A

des fins sécuritaires la frappe du code confidentiel est obligatoire pour les montants supérieurs à 20 euros et à chaque fois que l’utilisateur en reçoit l’instruction.

Donc ce n'est pas le freestyle ni la fête du slip à priori, toutefois je n'ai pas vu l'article mentionnant d'éventuelles failles du système.

J'ai changé ma CB MasterCard en avril et mon banquier ne m'a pas du tout parlé de cette CB.

EDIT : Article lu. Ah ils peuvent copier la carte, et s'en servir. Bon, j'appelle mon banquier.

[the_Grim_Reaper]

Bonjour,

Je vous invite à lire la convention du Crédit Mutuel en page 20 du lien ci-dessous (je ne fais pas de pub, c'est juste que j'y suis et que ce topic m'a interpellé) :

https://www.creditmu...part_072012.pdf

Celle-ci décrit l'utilisation de la CB sans contact et son mode de fonctionnement. Notamment avec un téléphone mobile qui nécessite d'activer la fonction de la CB, un forfait mobile adéquat pour la data, bref, ça ne se fait pas tout seul.

Extraits :

Pour les cartes “CB” disposant de la technologie “sans contact”, à des fins sécuritaires, le montant unitaire maximum de chaque opération de paiement en mode

“sans contact” et le montant cumulé maximum des règlements successifs en

mode “sans contact” sont définis selon les limites fixées et notifiées par l’émetteur dans les conditions tarifaires particulières, ou dans tout document approuvé,

le cas échéant tacitement, par le titulaire de la carte “CB” et/ou du compte sur

lequel fonctionne la carte “CB”. En conséquence, au-delà dudit montant cumulé

maximum, une opération de paiement avec frappe du code confidentiel doit être

effectuée par le titulaire de la carte “CB” pour continuer à l’utiliser en mode “sans

contact” et réinitialiser le montant cumulé maximum disponible.

Pour pouvoir utiliser l’Instrument de paiement “CB”, l’utilisateur doit disposer

d’un téléphone mobile et d’une carte SIM compatibles avec la technologie “sanscontact” et d’un abonnement à un forfait adapté au service sans contact auprès

d’un opérateur de téléphonie mobile.

Ces conditions et procédures peuvent comporter une demande d’autorisation. A

des fins sécuritaires la frappe du code confidentiel est obligatoire pour les montants supérieurs à 20 euros et à chaque fois que l’utilisateur en reçoit l’instruction.

Donc ce n'est pas le freestyle ni la fête du slip à priori, toutefois je n'ai pas vu l'article mentionnant d'éventuelles failles du système.

J'ai changé ma CB MasterCard en avril et mon banquier ne m'a pas du tout parlé de cette CB.

EDIT : Article lu. Ah ils peuvent copier la carte, et s'en servir. Bon, j'appelle mon banquier.

C'est très sympa ton extrait mais précision :

l'emetteur, c'est ta banque, donc ils font ce qu'ils veulent vu que tu acceptes l'utilisation de la carte en signant, les montant max par transac et en cumul sur une semaine ou tacitement (en gros tu le sais pas).

C'est préciser l'utilisation d'un téléphone portable avec SIM adéquate, pas précisé que c'est le téléphone du porteur (du client de la banque) qui doit être utilisé.

Juste que sur un montant par défaut de plus de 20€ ou aléatoirement ont peut demander la saisie du code.

De par mon taf, je connais le taux d'appel usuel et franchement, en dehors des maestro et électrons bon, y'a de quoi en faire quelques unes des transactions sans saisie du code.

Sur un tel, pour des achats in app c'est nickel leur truc, avec la carte du voisin de strapontin dans le bus ou el métro.

[digital-jedi]

Après faut bien différencier les cartes de paiment (CB, Visa, MasterCard) en débit immediat ou différé, des cartes de crédit (Amex, Sofinco, Accord, ...) et les cartes qui font les deux (obligation de choix de l'utilisateur, ou choix par défaut de la carte possible).

Pour le NFC en dehors de la carte en elle même et des risque parasites liés au failles du protocole NCF choisi (y'en a 2 suivant les pays/société) faut aussi le soft capable de l'exploiter.

En plus Dans le cas présent il faut connaitre le NFC et les protocoles d'échanges bancaire, en l'occurence EMV et CB2A

Quand je lis ça (enfin, ton charabia, j'ai l'impression que c'est difficile à réaliser le vol de la carte. Alors qu'ensuite, tu dis que c'est simple.

Je viens d'appeler mon banquier qui me répond qu'il peut modifier les caractéristiques bancaires de la carte pour désactiver le paiement sans contact. Mais ça ne précise pas si ça désactive l'émission RFID.

Sur ce site, les commentaires sont assez intéressants et démontent le fait que l'on puisse voler la moindre info utile qui soit préjudiciable (retrait supérieur à 20€ en sans contact si j'ai bien compris) :

http://korben.info/l...securisees.html

[the_Grim_Reaper]

Après faut bien différencier les cartes de paiment (CB, Visa, MasterCard) en débit immediat ou différé, des cartes de crédit (Amex, Sofinco, Accord, ...) et les cartes qui font les deux (obligation de choix de l'utilisateur, ou choix par défaut de la carte possible).

Pour le NFC en dehors de la carte en elle même et des risque parasites liés au failles du protocole NCF choisi (y'en a 2 suivant les pays/société) faut aussi le soft capable de l'exploiter.

En plus Dans le cas présent il faut connaitre le NFC et les protocoles d'échanges bancaire, en l'occurence EMV et CB2A

Quand je lis ça (enfin, ton charabia, j'ai l'impression que c'est difficile à réaliser le vol de la carte. Alors qu'ensuite, tu dis que c'est simple.

Je viens d'appeler mon banquier qui me répond qu'il peut modifier les caractéristiques bancaires de la carte pour désactiver le paiement sans contact. Mais ça ne précise pas si ça désactive l'émission RFID.

Sur ce site, les commentaires sont assez intéressants et démontent le fait que l'on puisse voler la moindre info utile qui soit préjudiciable (retrait supérieur à 20€ en sans contact si j'ai bien compris) :

http://korben.info/l...securisees.html

Je me suis pitete un peu laissé emporté.

En gros, le RFID c'est pas sécuritaire.

Visiblement pour le paiements RFID de petits montant (inférieur à 20€) y'a un risque non négligeable, comme avec monéo en son temps.

Après pour les infos à piquer d'après korben, une partie est visible de toutes façons sur le carte (numéro de carte, nom, prénom, expiration).

ce que n'importe qui ou presque dans un restau peu choper au final.

Je suis plus suspicieux sur les 20 dernières transactions faites, sur le nombre déjà, et si c'est comme actuellement, ce sont les dernières tentatives de paiements qui sont notées.

Pour faire simple, peut y avoir 20 fois des paiments de 1000€ si tu t'es amusé avec ta carte, alors que t'as jamais été débité de ses montants et que tu ne le seras jamais..

En plus ils sont gentils Korben, mais des GIE y'en a des tas puisque ce sont des Groupements d'Interet Economique.

Sur la RP, en dehors du GIE CB dont il est question dans l'article, on trouve aussi par exemple le GIE Commutitre qui s'occupe du SAV sur les passes de transports (les passes Navigo).

En plus le protocole EMV (M = Master Card, V = Visa) est amené a être remplacé d'ici quelques petites années. C'est pas le premier protocole de sécurité pour les CB et ce sera surement pas le dernier.

De toutes façons des failles dans le monde du paiement y'en a, ceux qui bossent dedans les connaissent, que ce soit les cartes ou les terminaux.

Le but c'est de les colmater au mieux, et a défaut que l'info se diffuse pas trop largement.

Désolé je suis pas super doué pour les explications simples, surtout par écrit.

Je peux quand même présiser certains petits points si besoin, mais faut bien formuler la question