5 étuis anti-RFD: des cartes à l’abri des voleurs

Avec les nouvelles cartes de crédit qui disposent du petit symbole des ondes radio, il est possible de faire des paiements jusqu’à 40 fr. sans entrer son code PIN, simplement en les plaçant devant un terminal compatible. Une belle avancée technologique pour les consommateurs? Pas sûr. Car, dorénavant, les pick-
pockets n’ont plus besoin de mettre la main sur les portemonnaies et peuvent accéder, à distance, aux données sensibles des cartes bancaires, munies d’une simple application smartphone ou d’un lecteur RFID.

«Le vol des données personnelles de la carte est bien plus sensible que celui de petits montants sur le plan sécuritaire, explique Sergio Alves Domingues, ingénieur en sécurité au sein de la société SCRT. Car le fraudeur peut ensuite opérer de plus gros paiements ou tracer les achats du consommateur.»

Housses ou cartes stop-RFID

Des commerçants ont flairé le bon filon et proposent des solutions dites «anti-RFID», capables de protéger les cartes de toute intrusion extérieure. Il s’agit soit de housses, de portemonnaies renforcés ou même de cartes spéciales se glissant avec les autres et stoppant les ondes.

Tout Compte Fait s’est procuré cinq de ces articles, coûtant tous moins de 20 fr. (sans les frais d’envoi) et disponibles depuis la Suisse. L’expert Sergio Alves Domingues a ensuite testé leur efficacité réelle à l’aide d’une application smartphone et d’un lecteur spécifique. Bonne nouvelle: si les prix diffèrent du simple au triple, tous remplissent leur mission en empêchant d’accéder aux données de la carte (voir tableau).

De leur côté, les émetteurs de cartes bancaires assurent que les clients ne risquent rien et qu’il n’est pas nécessaire de protéger les cartes dans le portemonnaie, car les données qui peuvent être volées sont insuffisantes pour faire des paiements frauduleux.

«Actuellement, dans le cas d’une transaction sans ou avec contact, seuls le numéro de la carte, la date d’expiration ainsi qu’un cryptogramme (clé) permettant une transaction unique sont échangés», explique Viseca, qui émet les cartes de crédit des banques cantonales, de la Raiffeisen ou encore des Banques Migros et Coop.

Manque donc le nom du titulaire, nécessaire lors d’un paiement sur internet, notamment. Or, avec d’anciennes cartes, ce dernier est parfois encore transmis, notamment à Cornèrcard. «Depuis deux ans, nous avons modifié notre puce et enlevé le nom du titulaire des données transmises sans contact, dans le respect des directives de Visa et de MasterCard», déclare Cornèrcard, qui précise que cette décision a trait au respect de la confidentialité des données et n’est «aucunement liée à des aspects de sécurité».

Reste que, pour certains experts, les diverses informations pouvant être glanées via les ondes RFID sont une raison suffisante pour protéger ce moyen de paiement avec un système de pochette entre autres. En effet, les fraudeurs pourraient tout à fait se procurer le nom du détenteur manquant par un autre biais.

Loïc Delacour