Fin octobre 2015, j'ai incisé ma carte bancaire afin de couper le circuit alimentant la puce NFC, ce qui permet de désactiver moi-même la fonctionnalité de paiement sans contact.
Mes motifs ? Absence de sécurité démontrée (voir
http://2012.hackitoergosum.org/blog/wp-content/uploads/2012/04/HES-2012-rlifchitz-contactless-payments-insecurity.pdf ) + une possible captation passive de données personnelles qui préoccupe même la CNIL (voir
https://www.cnil.fr/fr/securite-des-cartes-bancaires-sans-contact-quelles-sont-les-avancees-et-les-ameliorations-possibles ).
Ce mois-là, j'ai également contacté la conseillère de ma banque, par courrier postal, afin de savoir ce que ma banque peut faire concernant la désactivation de cette fonctionnalité non désirée et indésirable à mon humble avis.
Tout cela est relaté dans un autre shaarli :
http://shaarli.guiguishow.info/?o1wmdg
Nous sommes plus de 4 mois après et je n'ai pas reçu de réponse, bien évidemment. Cela démontre une fois de plus qu'il ne faut jamais rien attendre d'une société commerciale et faire les choses soi-même.
Je viens donc d'envoyer un autre courrier postal afin de rappeler mes doutes, de rappeler la position de la Banque de France et d'indiquer que j'ai désactivé moi-même la fonctionnalité NFC. L'idée est de faire remarquer que la banque ne m'a pas répondu (pas top pour l'image), que je n'ai cependant pas besoin d'elle et que je ne lâche pas l'affaire : mes doutes sur la fonctionnalité sans contact sont fondés.
Voici le contenu de mon courrier pour ceux et celles que ça peut inspirer :
« Madame,
Par un courrier du 31 octobre 2015, soit il y a plus de 4 mois, je vous interrogeais sur la procédure à suivre afin de désactiver/résilier sans frais le service de paiement sans contact de ma carte bancaire actuelle sans résilier intégralement mon service carte bancaire.
Mes arguments portaient sur une *absence de sécurité démontrée* ainsi que sur une *possible captation passive de données personnelles* qui préoccupe même la Commission nationale de l'informatique et des libertés[1]. Notez bien que *je ne parle pas de fraudes*.
Depuis, j'ai pris connaissance que les émetteurs de cartes bancaires ont pris un *engagement auprès de la Banque de France* « concernant la possibilité de désactiver la fonction sans contact des cartes, soit en mettant des étuis de protection à la disposition des utilisateurs, soit en mettant en œuvre la désactivation à distance de la fonction sans contact, soit en permettant le remplacement, à la demande du porteur, d’une carte sans contact par une carte dépourvue de cette fonctionnalité. »[2]. Si même la Banque de France invite à rester vigilant et à constituer des stocks d'étuis anti-NFC, c'est une *affirmation de plus qu'il existe des doutes raisonnables* qu'il faut prendre en considération.
*En l'absence de réponse de la <nom_banque>* à ma sollicitation d'octobre dernier, *j'ai procédé à la désactivation* mécanique et irrémédiable, par mes propres moyens, du circuit alimentant la puce de communication à champ proche. Ma carte bancaire est toujours fonctionnelle suite à cette incision.
La <nom_banque> ne m'imposera ni l'usage ni la présence de la fonctionnalité de paiement sans contact.
Cordialement.
Références :
[1]
https://frama.link/x9PqTSz5
[2] Coupure de presse en
https://frama.link/rxRmxdqI et rapport annuel de l'Observatoire de la sécurité des cartes de paiement 2014 en
https://frama.link/oscp-2014 »