Faut-il passer au paiement sans contact ?

Ne plus avoir à sortir des billets ou de la petite monnaie pour payer ses achats du quotidien, voici la promesse du paiement sans contact. Après plusieurs années de gestation, cette technologie va se généraliser en France en 2016, que cela soit via les puces NFC intégrées sur les cartes bancaires, les téléphones mobiles, voire les objets connectés. Banques, opérateurs de téléphonie mobile et géants de la high-tech se disputent le marché en multipliant les nouvelles solutions de paiement sans contact.

Ce mode de paiement est loin de faire l'unanimité en France, mais son développement massif semble désormais inexorable. Selon les derniers chiffres de l'Observatoire du NFC et du sans contact, il y a plus de 38,8 millions de cartes bancaires (59,7 % du parc français) et 8,6 millions de smartphones intégrant la norme NFC en circulation en France. A titre de comparaison, il n'y avait que 3,4 millions de cartes NFC fin 2011 et encore très peu de mobiles NFC...

Le nombre de points de vente équipés de terminaux compatibles a quant à lui doublé entre 2014 et 2015 pour atteindre 332 169 (25,5 % des commerçants français). Si les banques font un tel forcing pour déployer le paiement sans contact, c'est, d'une part, pour diminuer le volume des espèces dont le traitement leur coûte cher, et d'autre part, pour pouvoir facturer « aussi » les transactions de faibles montants aux commerçants. Le gouvernement encourage également son développement, qui facilite la lutte contre la fraude fiscale. Reste que pour les consommateurs, l'intérêt du paiement NFC n'est pas vraiment évident, d'autant qu'il soulève toujours des problèmes de sécurité.

• A lire : Sécurité bancaire : se prémunir des risques du NFC et des nouvelles fraudes

Les cartes NFC

Le paiement sans contact repose sur la technologie NFC (Near Field Communication : communication en champ proche) qui permet d'échanger des informations entre deux dispositifs compatibles distants de 4 à 5 centimètres. Concrètement, il suffit d'approcher une carte bancaire ou un téléphone mobile NFC à proximité d'un terminal de paiement chez un commerçant pour pouvoir effectuer instantanément un règlement de moins de 20 euros. Au-delà de cette somme, il est nécessaire de saisir un code secret pour valider la transaction. En fonction des banques, le code confidentiel peut être aussi demandé de manière aléatoire, au bout d'un nombre maximum d'achats consécutifs, ou lorsqu'un plafond convenu au préalable a été atteint avec de petites sommes cumulées. Ce mode de paiement fonctionne à l'étranger, chez tous les commerçants équipés d'une borne compatible.


Les cartes NFC comportent un petit pictogramme représentant des ondes radio, un peu comme celui du Wi-Fi. Depuis 2012, la majorité des cartes intègrent cette technologie que les banques, à l'exception de la Banque Postale en France, ont imposée aux consommateurs sans leur consentement. Ceux qui le souhaitent peuvent, en principe, demander à leur agence bancaire de verrouiller l'application de paiement sans contact de leur carte, mais pas la puce NFC qui reste toujours active. Certaines banques comme Boursorama désactivent par défaut le NFC sur leurs cartes, laissant le soin à leurs clients de l'activer ou non via leur compte en ligne.

Le paiement sans contact mobile

De plus en plus de smartphones intègrent un module NFC. Il y a actuellement 90 modèles disponibles sur le marché, et 8,6 millions de Français en sont équipés. Le paiement sans contact mobile requiert un smartphone NFC, une application dédiée et, pour certains services, une carte SIM NFC.

Le principe est le même qu'avec les cartes bancaires NFC : il suffit d'approcher le mobile à quelques centimètres du terminal de paiement pour régler des achats de moins de 20 euros sans avoir à saisir son code confidentiel. Certains services offrent également la possibilité de gérer des cartes de fidélité ou de transport, d'effectuer des transferts d'argent ou des achats sécurisés en ligne. Par contre, il est impossible de retirer de l'argent dans un distributeur.

Le paiement sans contact mobile, aussi appelé m-paiement, a été déployé avec succès depuis de nombreuses années au Japon et en Corée. Il commence à se développer aux États-Unis, mais reste encore anecdotique en France. Pas de quoi décourager les très nombreux acteurs qui se positionnent sur ce secteur en pleine ébullition. Outre les sociétés éditrices de cartes bancaires Visa et MasterCard, des opérateurs de téléphonie mobile, des géants de la high-tech ou encore, des start-up proposent leurs propres solutions de paiement mobile : Visa Checkout, MasterCard PayPass, Orange Cash, Apple Pay, Google Android Pay, Samsung Pay, Cityzi... Bien que basée sur la technologie NFC, chacune propose un mode de fonctionnement, des partenaires et des services différents. Un morcellement du marché qui ne favorise sans doute pas son adoption.

Les services de Sans Contact Mobile en France

En attendant l'arrivée d'Apple Pay, Android Pay ou encore Samsung Pay, plusieurs banques françaises proposent des services de paiement sans contact mobile : BNP Paribas, CIC, Crédit Mutuel Société Générale, etc. Ces derniers sont basés sur les solutions de paiement mobile des géants américains de la carte bancaire Visa et MasterCard (Checkout et PayPass) dont la technologie est intégrée dans les cartes SIM. Citons enfin l'application Orange Cash qui repose sur la solution de paiement sans contact de Visa, et l'initiative française lancée en 2010 Cityzi.

Orange Cash : une solution prépayée
Conçu en partenariat avec Visa, Orange Cash fonctionne sur les mobiles NFC (Android, BlackBerry et Windows Phone) achetés chez Orange et équipés d'une carte SIM NFC et d'une application de paiement sans contact. Il s'agit d'une offre prépayée sans engagement que les clients peuvent recharger avec une carte bancaire française (Visa/Mastercad/CB) pour effectuer des achats sans contact dans 324 000 points de vente en France. À noter que chaque rechargement se voit facturé 79 centimes d'euros par l'opérateur. Comme pour les cartes NFC, la saisie du code confidentiel est requise pour les achats supérieurs à 20 euros. L'opérateur propose des offres géolocalisées à proximité de l'utilisateur, ainsi que des « bons plans » avec des partenaires comme Picard, La Fnac, Flunch, etc. Il y aurait actuellement 140 000 clients Orange Cash.


Cityzi : le NFC mobile made in France
Créé par l'AFSCM (Association Française du Sans Contact Mobile) en 2010, Cityzi a été lancé à Nice, puis progressivement dans d'autres villes et dans le reste du territoire. Compatible avec tous les opérateurs français à l'exception de Free, ainsi qu'avec une longue liste de terminaux NFC, le service permet de payer les transports en commun, de gérer des cartes de fidélité ou d'effectuer des paiements via les applications mobiles de BNP Paribas, de la Société Générale et du Crédit Mutuel. En décembre 2013, l'AFSCM annonçait avoir franchi le cap des 4 millions d'abonnés.

Quels sont les risques ?

Pour rappel, des experts de la Cnil (Commission Nationale de l'Informatique et des Libertés) ont découvert en 2012 une faille de sécurité stupéfiante. Les cartes bancaires NFC éditées par les sociétés Visa et MasterCard communiquent sans aucun protocole de cryptage ! Concrètement, ils ont démontré qu'il était possible de récupérer à distance les informations personnelles qu'elles contenaient (nom, numéro et date de validité, historique des 20 dernières transactions...) à l'aide d'un smartphone ou d'un lecteur NFC. Un comble lorsqu'on sait qu'une simple carte de transport sans contact comme le Pass Navigo possède un protocole de communication chiffré.

Quatre ans plus tard, la situation n'a guère évolué. À la demande de la Cnil, le nom du titulaire de la carte et l'historique des transactions ne sont plus lisibles depuis 2013, mais les échanges avec les terminaux de paiement ne sont toujours pas chiffrés. Le numéro de la carte et sa date d'expiration restent donc captables, et cela, malgré les recommandations de la Cnil qui prônait un chiffrement des échanges rendant impossible le vol de données. Sans le nom et le cryptogramme, les informations lisibles ne suffisent pas à dupliquer une carte ou régler des achats sur Internet. Ceux qui veulent néanmoins protéger ces données peuvent demander à désactiver la fonction NFC, ou se munir d'un étui de protection spécifique qui bloque les ondes (entre 10 et 30 euros).



Des chercheurs britanniques ont également mis à jour en 2014 une faille de sécurité du protocole EMV (standard international de sécurité des cartes bancaires) permettant de modifier le plafond de 20 livres sterling défini pour les paiements sans contact jusqu'à la somme de 999 999,99 dollars. Pour cela, les experts ont utilisé un smartphone Android et développé une application chargée de simuler un terminal de paiement. Ils ont réussi à pirater des cartes de paiement NFC Visa et à dépasser le seuil autorisé en faisant des transactions dans une devise différente de celle de la carte. Cette fraude nécessite évidemment de sérieuses connaissances en sécurité et reste une démonstration, mais elle a le mérite de révéler le caractère perfectible de la sécurité de cette technologie.

Ce n'est pas l'avis de Visa que nous avons interrogé sur les questions de sécurité des cartes de paiement sans contact : « Nous pensons que cette technologie est très sécurisée, et nous n'avons constaté aucune fraude particulière avec le paiement sans contact » déclare Albert Gallois, directeur marketing et innovation de Visa Europe. Pas sûr que le fait qu'il n'y ait pas encore eu de fraudes massives rassure les consommateurs. En cas de vol d'une carte NFC, les banques sont dans l'obligation de rembourser toutes les dépenses effectuées, y compris en mode sans contact. Reste à espérer qu'elles ne demandent pas à leurs clients de prouver qu'ils ne sont pas à l'origine des paiements effectués sans authentification, comme c'est parfois le cas avec les victimes de fraudes bancaires réalisées à l'étranger.

Le paiement sans contact mobile est sans nul doute déjà mieux sécurisé, car aucune information personnelle lisible en clair ne sort du terminal. Par ailleurs, avec des systèmes comme celui d'Apple Pay, chaque transaction nécessite d'être validée par empreinte digitale. Les solutions des géants de la high-tech seront peut-être celles qui permettront à cette technologie de décoller....

Conclusion

À l'inverse du modèle japonais où plus de 40 millions d'abonnés utilisent une seule et même solution de paiement basée sur la puce mobile sans contact Felica de Sony, les marchés américains et européens sont complètement fragmentés. Pas sûr qu'il y ait de la place pour tout le monde, et que cette débauche d'offres soit positive pour l'adoption du paiement sans contact. D'après une étude réalisée en 2015 par l'institut de sondage Odoxa, 57 % des personnes interrogées estiment que le paiement sans contact est inutile. Pour l'heure, seulement 15 % des Français ont testé cette technologie qui demeure encore impopulaire. Quoi qu'il en soit, les banques prévoient d'équiper 100 % des cartes bancaires d'ici fin 2016 et tous les terminaux de paiement des commerces d'ici 2018. À terme, il pourrait donc devenir impossible de régler les petites sommes autrement qu'avec le sans contact.