Dans un article mis en ligne par le quotidien Midi Libre, ce dimanche 16 mai 2021, il est question d’une nouvelle technique par ruse qui consiste pour un escroc, équipé d’un terminal de paiement électronique (TPE), de rapprocher ce dernier contre un sac ou une poche, non sans avoir au préalable fixer le montant de la somme à prélever, et ce dans le but de déclencher une communication sans contact entre son terminal et la carte bancaire disposant du NFC appartenant à l’éventuelle victime.
Au mois d’août 2019, il était déjà question de ce type d’escroquerie sur les plages de la Côte d’Azur, mais le journal Le Parisien soulignait à l’époque que ce mode opératoire serait davantage à craindre dans les transports en commun aux heures d’affluence quand les usagers sont collés les uns aux autres. Toutefois, dans cette dernière situation, les experts de l’Observatoire de la sécurité des moyens de paiement (OSMP) ont fait savoir que « la fraude sur les paiements sans contact résulte seulement du vol « à l’ancienne » (ce que rechercheraient en réalité les délinquants opérant à Montpellier, note du webmestre) ou de la perte de la carte. » De même, protéger sa carte NFC contre le piratage par une cage de Faraday ou un brouilleur semble inutile.
Pour rappel, aux débuts du paiement par carte sans contact, la limite d’un paiement sans contact était fixée à 20 €. Depuis le lundi 11 mai 2020, premier jour du premier déconfinement progressif en lien avec la première vague de la pandémie de la Covid-19, cette limite a été relevée à 50 € par opération. Ce montant maximum d’un paiement sans contact est mis en place pour des raisons de sécurité : en cas de perte ou de vol de la carte, le montant des éventuelles transactions frauduleuses sera limité. En plus de cette limite de paiement sans contact de 50 €, d’autres plafonds de sécurité sont posés par les établissements bancaires. Il s’agit souvent d’une limite maximum liée à :
– un nombre de paiement sans contact par jour (ou sur une autre période : paiement sans contact avec plafond par semaine par exemple) ;
– un nombre maximum de paiement sans contact consécutifs.
Une fois un de ces plafonds atteints, le ou la titulaire de la carte doit simplement payer son prochain achat de manière classique, c’est-à-dire en insérant sa carte bancaire dans le lecteur du terminal de paiement et en tapant son code secret. Il est possible également d’effectuer un retrait où la aussi il est nécessaire de saisir son code secret. Le fait de saisir son code secret permet de réinitialiser les seuils de plafond journalier du paiement sans contact ou encore la limite maximum de transactions consécutives pour de prochains achats sans contact (source : Réassurez-moi.fr).
Face à la recrudescence des vols classiques, la clientèle du réseau TaM Montpellier 3M doit simplement redoubler de vigilance dans les stations, tramways et bus et consulter régulièrement ses relevés bancaires en ligne.
Info : Edouard Paris
Tramway de Montpellier 
Les banquiers sont quand même extrêmement négligents avec ces moyens de paiement.
Au début des cartes bancaires sans contact, il n’y avait pas la moindre sécurité: avec un banal smartphone avec NFC, on pouvait lire le numéro de la carte, la date d’expiration, le nom du titulaire, et l’historique détaillé des paiements sur plusieurs mois.
Ce n’est plus le cas aujourd’hui, mais il y a une autre faille: la fraude par proxy (=par intermédiaire). Cela consiste à coller un smartphone contre la carte ciblée, et à faire un achat avec un autre smartphone, les deux étant connectés par internet. Le terminal du commerçant authentifie la carte, sans se rendre compte qu’il y a 2 smartphones entre elle et lui.
Les banquiers ont promis de remédier à cette faille, en ajoutant des mesures de délai de réponse. Mais en même temps, la multiplication du nombre de terminaux de paiement, liée à la généralisation du paiement par NFC, multiplie les possibilités d’abus, jusqu’au point où le voleur lui-même a un terminal de paiement.
Le paiement par carte avec code secret reste plus sécuritaire. La preuve: il est plus lent, à cause des vérifications que fait la banque, malgré que sur le plan technique, la communication électrique avec la puce (par contact) est légèrement plus rapide que la communication NFC (sans contact).
Le plus surprenant est que cela se passe uniquement à Montpellier et que la police du coin n’a reçu aucune plainte à ce jour ni saisi aucun terminal de paiement électronique (TPE) entre les mains de soi-disant mineurs, le plus souvent illettrés, alors qu’il faut être au minimum un auto-entrepreneur pour pouvoir posséder un TPE qu’il soit de bureau ou mobile. De plus cet appareil nécessite une connexion permanente 3G ou Wifi et son titulaire doit avoir ouvert un compte en banque.
L’image de Montpellier est salement égratignée à cause d’un agent Tam affabulateur.
Il semble qu’une rumeur de ce type circule depuis des années, concernant le métro de Paris.
Ceci dit, il ne faut pas sous-estimer les capacités des fraudeurs: il y avait une vraie compétence roumaine en matière de fraude à la carte bancaire (notamment avec des faux terminaux, sur des pompes à essence).
Disposer d’une connexion internet mobile (et même cryptée) n’est vraiment pas une difficulté.
Les professionnels du secteur affirment que la sécurité vient de la carte: c’est une blague!
En réalité, la sécurité vient d’éléments non techniques: effectivement sur quel compte bancaire arrive l’argent. Ça peut se compliquer comme ce compte peut être à l’étranger (le sans-contact marche à l’étranger), mais la banque devrait pouvoir détecter si la carte semble traverser l’Europe ou le monde en quelques minutes.
Ping : 18 juin 2021 – L’arnaque au paiement sans contact dans les tramways de Montpellier relève bien de la rumeur ainsi que vient de le démontrer l’émission 28 Minutes sur Arte dans sa rubrique Désintox | Tramway de Montpellier