Sécurité bancaire et paiement sans contact : les failles qui peuvent vider vos comptes

Le paiement sans contact est devenu un réflexe pour des millions de Français. Pratique, rapide, il représente aujourd’hui plus de six paiements par carte sur dix. Cet usage s’est massivement étendu au mobile, avec une croissance de 137 % en volume sur la seule année 2023 (environ 14 % des transactions de proximité sans contact au 1^er semestre 2024 ont été réalisées sur smartphone, d'après les statistiques de l'Observatoire de la sécurité des moyens de paiement publiées début 2025). 

Mais cette praticité a une face plus sombre, celle du piratage à distance qui prend la forme d'un nouveau type de vol, invisible. La menace est aussi silencieuse : les fraudeurs exploitent les technologies NFC (Near Field Communication) ou RFID (Radio Frequency Identification) pour vous dérober de l'argent sans même toucher votre portefeuille ou votre téléphone portable. Cette nouvelle forme de délinquance est surnommée "télé-pickpocketing" ou "skimming".

Le "télé-pickpocketing" : un risque bien réel ?

Le scénario est simple et redoutable. Un individu malintentionné, équipé d'un terminal de paiement électronique (TPE) modifié ou d’un simple lecteur NFC portatif, n’a qu’à s’approcher de votre poche ou de votre sac. À quelques centimètres de distance, l’appareil peut communiquer avec votre carte bancaire ou votre smartphone et déclencher une transaction.

Plafonnées à 50 euros avec une carte bancaire physique sauf exceptions, ces opérations passent souvent inaperçues sur le moment. Si le taux de fraude sur le sans contact reste très faible (il atteignait seulement 0,011 % en 2023 selon la Banque de France) le danger réside dans l'accumulation. Plusieurs petits débits successifs peuvent finir par vider un compte avant que la victime ne consulte ses relevés et réalise l'ampleur des dégâts.

Quelles sont les trois failles qui exposent vos données ?

La première vulnérabilité concerne donc votre carte bancaire physique et cette accumulation de paiements sans contact qui peuvent être effectués à votre insu jusqu'à ce que le plafond fixé par votre banque soit atteint : 3 transactions avant d'avoir à taper votre code PIN, 4 transactions, 5 transactions... Ce plafond a tendance à augmenter aujourd'hui sans que vous ayez même à le demander, les établissements s'adaptant aux habitudes de leurs clients.

Plus grave encore, la puce NFC de votre carte émet en continu certaines informations. C'est pourquoi un simple lecteur spécialisé, comme expliqué plus haut,  peut intercepter votre numéro de carte et sa date d'expiration. Ces données, même incomplètes, peuvent suffire à des pirates pour réaliser des achats en ligne par la suite.

La troisième faille touche votre smartphone. Bien que la sécurité bancaire du paiement sans contact soit renforcée sur mobile par la tokenisation – un processus qui remplace vos véritables coordonnées par un jeton numérique unique – un danger subsiste. Le risque de piratage, si vous laissez le NFC actif en permanence sur un appareil équipé d'Android est bien réel.  Si la puce n'est pas désactivée, elle peut déclencher une application de paiement au simple contact d'un terminal malveillant. Bien que le taux de fraude sur le paiement mobile reste faible, à 0,021% en 2023 selon la Banque de France, la menace principale vient des logiciels malveillants capables de compromettre votre téléphone. 

Un exemple connu est le malware SuperCard X, qui sévit depuis plusieurs mois. Une fois installé via une application vérolée, il intercepte les données de paiement ou génère ses propres jetons de transaction : il peut alors contourner les sécurités en place pour effectuer des paiements multiples sans votre consentement.  Enfin, les utilisateurs d'iPhone ne sont pas non plus à l'abri. L'activation trop sensible de l'application Wallet par un double-clic involontaire sur le bouton latéral peut exposer le téléphone à une transaction non sollicitée si un TPE pirate se trouve à proximité au même moment.

Comment neutraliser ces menaces en quelques gestes ?

Pour une carte bancaire, la parade la plus radicale est aussi la plus simple. Il suffit de vous connecter à l'application ou à l'espace client de votre banque en ligne et de chercher l'option qui permet de désactiver le paiement sans contact en un clic. Pour une protection contre le "télé-pickpocketing" de votre carte bancaire au quotidien, l'utilisation d'un étui ou d'un portefeuille anti-RFID est une excellente mesure préventive. Ces accessoires contiennent un matériau qui bloque les ondes radio, empêchant toute lecture à votre insu.

Pour les détenteurs d'un téléphone Android, le réflexe à avoir est de ne laisser la fonction NFC active que lorsque vous en avez besoin. Voici donc comment désactiver le paiement sans contact sur ce système d'exploitation : rendez-vous dans les "Paramètres", puis dans la section "Connexions" ou "Appareils connectés", et décochez simplement l'option NFC.

Sur iPhone, la puce NFC ne peut être désactivée, car elle sert à d'autres usages. Il est donc crucial de désactiver le déclenchement automatique d'Apple Pay pour éviter toute mauvaise surprise. Pour ce faire, allez dans "Réglages" > "Cartes et Apple Pay" et décochez l'option "Appuyer deux fois sur le bouton latéral". Ce simple geste empêchera l'application de s'ouvrir accidentellement.

Toute transaction par mobile requiert une authentification forte (empreinte digitale, reconnaissance faciale ou code). Si vous utilisez rarement le paiement mobile, le plus sûr reste de supprimer vos cartes enregistrées dans les applications Wallet ou Google Pay. Et si le mal est déjà fait ? Contactez immédiatement votre banque pour faire opposition et déclarer les transactions frauduleuses. Vous êtes en principe couvert et serez remboursé, même si la procédure peut parfois prendre du temps.