Les services de paiement numérique comme Apple Pay ou Google Pay permettent de payer en sans contact avec une carte virtuelle. Une option pratique, mais pas forcément sans risque. En effet, les fraudes restent possibles. 

Depuis quelques années maintenant, les services de paiement numérique comme Apple Pay ou Google Pay ont le vent en poupe. Pour vous donner un ordre d'idée, les deux leaders du secteur sont aujourd'hui disponibles dans plus de 80 pays et comptent au total près d'un milliard d'utilisateurs à travers le monde.

Sans surprise, Apple Pay s'accapare le gros du marché, avec 92 % de parts de marché pour 640 millions d'usagers. La solution de Google le talonne, avec 150 millions d'utilisateurs. D'après de nombreux spécialistes, l'engouement pour ces systèmes de paiement ne va pas faiblir, puisque 60 % de la population mondiale devrait passer aux portefeuilles numériques d'ici 2026.

Pour rappel, ces services permettent notamment aux utilisateurs d'effectuer des paiements en ligne sécurisés, sur des applications ou bien directement en magasins sur des terminaux compatibles NFC sans avoir à sortir leur carte bleue physique. Dans cet article, nous allons justement revenir sur les risques d'une fonctionnalité phare de ces services : la carte virtuelle.

La carte virtuelle, c'est quoi ?

Pour résumer, la carte virtuelle est une copie numérique de votre carte bleue. Sur Apple Pay et Google Wallet, vous pouvez ajouter votre CB comme moyen de paiement. De ce fait, il est ensuite possible d'utiliser votre téléphone pour régler un achat en sans contact sur des terminaux de paiement compatibles NFC.

Cette solution présente plusieurs avantages. Tout d'abord, son côté pratique. Pour cause, plus besoin d'avoir sa carte bleue sur soi, il suffit de sortir son téléphone pour régler ses achats. En outre, cette option se veut plus sécurisée qu'un paiement par carte classique, puisque l'opération doit être validée via le capteur d'empreinte digitale ou le système de reconnaissance faciale de votre smartphone. Néanmoins, elle n'est pas immunisée à la fraude. On vous explique pourquoi.

A lire également : Payer avec un téléphone Android devient moins pratique, mais il y a une (bonne) raison à ça

La fraude à la carte virtuelle est réelle

Contrairement à ce que l'on pourrait penser, les cartes virtuelles ne sont pas sans danger. Elles présentent malheureusement plusieurs failles qu'il faut connaître impérativement. Des vulnérabilités que les escrocs ont déjà appris à exploiter pour vider votre compte… Sans avoir besoin d'avoir votre carte bleue sous la main. 

En premier lieu, il faut savoir qu'il n'est pas nécessaire d'avoir une carte bleue physique pour ajouter une carte de paiement à un portefeuille numérique. Effectivement, il suffit d'avoir certaines informations comme le numéro de carte, le code de sécurité, la date de validité ou encore l'identité et l'adresse du titulaire pour le faire.

Et comme vous le savez, ces données peuvent facilement être obtenues par des pirates, notamment via des campagnes de phishing par mail ou par SMS. Le principe est connu : on appâte la victime avec une promotion, une offre alléchante, ou bien un faux mail provenant d'un service légitime (plateformes de streaming, sites de e-commerce, service de gestion des amendes, etc.). La cible est invitée à se rendre sur un faux site, puis à renseigner ses informations bancaires pour résoudre un problème de paiement, obtenir un gain ou finaliser une transaction. Pendant ce temps, les pirates sont en embuscade, parés à récupérer les informations de votre carte. Une fois en leur possession, ils ne leur restent plus qu'à l'ajouter dans leur propre portefeuille numérique. 

Un système de vérification problématique

Toutefois, un système de sécurité vient barrer la route aux pirates. En effet, lorsqu'un utilisateur cherche à ajouter une carte sur un portefeuille numérique, les banques envoient généralement un code d'accès unique (OTP) par SMS ou par mail. 

Malheureusement, cette barrière pourra ne pas tenir bien longtemps. En effet, les pirates demandent justement à la victime de renseigner le code OTP sur leur faux site pour autoriser le paiement ou le virement que vous pensiez effectuer/recevoir. En réalité, les fraudeurs utilisent ces codes à usage unique pour finaliser la configuration de la carte bleue sur leur portefeuille numérique personnelle. A partir de là, c'est la porte ouverte à des dépenses sans limite. Contrairement au sans contact classique qui est plafonné à 50 euros, il n'y a aucune limite de montant avec un sans-contact réalisé via une carte virtuelle.

Dans un récent article, nous avons justement évoqué les dangers de l'authentification via des codes par SMS. Très répandue, cette méthode d'identification est pourtant particulièrement vulnérable. On pense par exemple au SIM Swapping (prise de contrôle de votre carte SIM), à l'interception des SMS via des attaques du type Man-in-the-middle ou bien à des techniques d'ingénierie sociale.

Comment renforcer sa sécurité ?

Attention, l'idée avec cet article n'est pas de vous déconseiller d'utiliser une carte virtuelle. Cette méthode reste plus sécurisée qu'un paiement par carte classique, puisqu'elle impose une vérification supplémentaire pour valider l'opération. 

Néanmoins, il est important de connaître les techniques utilisées actuellement par les pirates pour abuser de cette technologie. Pour renforcer votre sécurité, voici plusieurs bons réflexes à adopter :

• évitez évidemment de cliquer sur les liens contenus dans des mails ou des messages provenant soi-disant de votre banque ou d'organisme de crédit. Rappelons que les établissements bancaires ne vous demanderont jamais de fournir par mail vos informations de carte bleue
• En cas de doute, contactez rapidement votre conseiller bancaire ou établissez un diagnostic sur le site Cybermalveillance.gouv.fr
• Prenez quelques minutes pour repérer les signes d'un site pirate (vérification du nom de domaine et de l'URL, présence de fautes d'orthographe, de défauts dans les logos utilisés, utilisation d'un certificat SSL ou non, absence de rubrique Contactez-nous ou de mentions légales, méthodes de paiement inhabituelles et non-sécurisées, etc.)
• Activez les notifications sur votre appli bancaire pour être informé à chaque dépense réalisée sur votre compte. Cela vous permettra de détecter rapidement d'éventuelles fraudes et prendre les mesures qui s'imposent avec votre banque