Vous n'êtes pas identifié.
Pages: 1
Réponse : 0 / Vues : 2 336
Philippe
Ma nouvelle carte bancaire est équipée de la fonctionnalité NFC. J'ai désactivé cette fonctionnalité et j'ai contacté ma banque.
Pourquoi ? Voir la lettre à ma banque à la fin de ce post, elle résume mes arguments contre cette fonctionnalité.
Difficultés :
* Je n'ai pas de lecteur NFC (même dans mon ordiphone, oui). Mais ma carte de transports en commun n'est pas validée par les bornes dans les transports si elle est dans mon porte-feuilles aux côtés de ma nouvelle carte bancaire. Ça sera mon indicateur.
* Je n'ai pas de source de lumière qui poutre. Le flash de mon ordiphone avec le logiciel Torch disponible sur f-droid (https://f-droid.org/repository/browse/? … roid.torch) suffit amplement, même en plein jour. Simplement, la surface éclairée simultanément est moindre donc il faut chercher plus longtemps.
Avant de commencer :
* Prévoyez un autre moyen de paiement (espèces, chèque) en cas de fail. Histoire de pouvoir payer le nécessaire le temps du remplacement de votre carte.
* Détendez-vous : les cartes bancaires sont conçues pour être utilisées par le quidam moyen ce qui inclus passage en machine, pliage et j'en passe. Elles semblent donc résistantes (https://lo-ol.fr/pluxml/index.php?artic … e-bancaire) donc le risque de rendre totalement HS votre CB est faible.
N'hésitez pas à étudier votre carte sous les deux angles possibles (face avant / face arrière). En effet, en regardant l'arrière (en éclairant depuis l'avant donc), je n'arrive pas à distinguer la bobine. En regardant l'avant (en éclairant depuis l'arrière donc), la bobine se distingue hyper facilement.
J'ai incisé au cutter à l'un des endroits où il n'y a qu'un fil de la bobine qui y passe (alors qu'à certains endroits, il y a 4 fils). Minimisation des risques. J'ai incisé en bas à droite quand on regarde la carte de face. Voir mon super schéma ( :- ) : http://www.guiguishow.info/wp-content/u … cb_nfc.png . C'est juste une grossière reproduction, à ne pas prendre à la lettre, notamment sur la signification/précision des branchements.
Dernière étape : effacer le logo NFC (http://www.globalsecuritymag.fr/IMG/jpg/Carte_NFC.jpg) de la carte afin que chaque commerçant-e ne vous demande pas si vous voulez utiliser le paiement sans contact à chaque fois. C'est une perte de temps à chaque transaction et il est stupide de croire que l'on pourra exposer ses griefs contre cette techno à un-e commerçant-e qui a d'autres clients derrière en 1 minute max (aka un message passe quand il est exposé clairement, calmement et quand tous les interlocuteurs sont disposés à la communication). Pour ce faire : gratter au cutter et/ou avec la face grattante d'une éponge. Le but est d'enlever la "peinture". Difficulté en ce qui me concerne : ce fichu logo est vraiment tout près à la puce principale... prudence donc.
Après coup : aller tester sa carte. La mienne reste fonctionnelle dans un distributeur de billets de ma banque, dans celui d'une autre banque et chez un commerçant. \o/
Pourquoi pas un étui ou une feuille de papier alu ?
* C'est un workaround disgracieux (on attaque pas le problème à la racine, on le contourne de loin) et imparfait (quand vous sortez votre carte de l'étui, la captation à distance reste possible) ;
* Ce n'est pas à moi d'investir dans un étui puisque je n'ai pas demandé cette fonctionnalité NFC à ma banque et je ne la désire pas ;
* Encore un truc de plus dans mes poches ? No way.
Désactiver soi-même le NFC, c'est cool et tout mais du coup les banques ne sont pas au courant donc elles vont continuer à en refiler. Oui. C'est pour ça que j'ai écris une lettre à ma conseillère habituelle en parallèle. Pourquoi ne pas avoir attendu la réponse de la banque avant d'agir ? 1) Parce qu'on peut le faire soi-même et que c'est fun ; 2) Ne jamais attendre une solution d'autrui sinon ça crée un lien de dépendance. Là, si la banque n'a aucune solution à me proposer, je leur indiquerai que ma solution fonctionne ; 3) Impatience, d'autant que je n'attends pas un résultat positif.
Voici ma lettre (je m'en fous de les menacer de massacrer leur fichue carte) :
« Madame,
Mon ancienne carte bancaire est arrivée à expiration fin septembre 2015. J'en ai reçu une nouvelle, parfaitement fonctionnelle. Néanmoins, cette nouvelle carte est dotée d'une puce de communication à champ proche de type « NFC » qui permet des paiements sans contact. Mon ancienne carte bancaire n'était pas équipée de cette fonctionnalité.
Je ne veux pas que ma carte bancaire soit équipée d'une telle fonctionnalité à cause de l'absence totale de sécurité démontrée par de multiples experts en sécurité comme Renaud Lifchitz de British Telecom[1]. De plus, cette fonctionnalité rendait possible et sans effort la capture à distance d'informations personnelles (nom du porteur, liste des dernières transactions effectuées,...) et permet toujours la capture, en clair, du numéro de la carte et sa date d'expiration, ce qui ne me semble pas acceptable, comme l'a rappelé la CNIL[2]. À tout cela s'ajoute le risque de fraude même s'il est mineur à mes yeux en comparaison des points précédents.
Je sais que le GIE CB prétend que la sécurité du paiement sans contact est assurée... Tout comme il niait les découvertes fracassantes de Serge Humpich sur la carte bancaire à la fin des années 1990. Je ne peux donc pas avoir confiance.
Je sais que l'article L133-19 du Code monétaire et financier impose à l'émetteur d'une CB de rembourser les transactions frauduleuses à distance qui auraient lieu. Ce point reste à la discrétion du service fraude des banques et, si cela m'arrive, il me faudra apporter des preuves... que je n'aurai pas, par définition.
Je sais aussi qu'il y a un plafond maximal avant la re-saisie obligatoire du code à 4 chiffres visant à limiter la fraude. Ce n'est pas les points que je soulève ici.
Je veux désactiver/résilier sans frais le service de paiement sans contact de ma carte bancaire actuelle sans résilier intégralement mon service carte bancaire. Quelle est la procédure à suivre ? Sous quel délai la désactivation sera-t-elle effective ?
Dans le cas où aucune procédure de la sorte n'est prévue, je me verrais forcé de désactiver, mécaniquement et irrémédiablement, par mes propres moyens, le circuit alimentant la puce de communication à champ proche.
Cordialement.
Références :
[1] http://2012.hackitoergosum.org/blog/wp- … curity.pdf
[2] http://www.cnil.fr/linstitution/actuali … tions-pos/
Réponse : 0 / Vues : 2 336
Pages: 1