La pratique du paiement sans contact a connu une explosion pendant la crise sanitaire. En 2022, il était ainsi déjà utilisé par 86 % des personnes ayant une carte, indiquait la Banque de France. Il représentait même 60 % des paiements par carte, avec une hausse de 6 points sur un an, a rappelé BFM Business.
Le paiement sans contact est apparu en 2012. Initialement pensé pour un montant maximal de 20 euros, la limite a été repoussée à 30 euros en 2017, puis à 50 euros rapidement après. Cette limite est toujours en place. Au-delà, il faut insérer sa carte et payer comme d’habitude, en saisissant le code PIN.
Le Sans Contact Plus, en cours de déploiement dans les terminaux de paiement, permet de s’en affranchir. Le plafond devient alors celui de la carte bancaire. Il y a cependant un hic : il faudra saisir le code PIN. Pour les sommes inférieures à 50 euros, le parcours reste le même, donc sans code.
Cette modification ne retire finalement qu’une étape dans le processus : l’insertion de la carte. La poussée du paiement sans contact s’est faite justement parce qu’il permettait de ne pas toucher le terminal.
Surtout, le Sans Contact Plus arrive un peu tard, car les smartphones sont passés par là. Avec des systèmes de paiement comme Apple Pay et Google Pay, on peut payer sans contact et sans barrière des 50 euros. Mais, au moins, les usagers de cartes bancaires n’ont rien à faire. Durant un temps, il faudra simplement demander au magasin si le nouveau type de paiement sans contact est accepté.
Commentaires (62)
#1
Pourquoi un "hic", qui sous-entend que c'est négatif ?
Au contraire, je trouve que taper le PIN est un gage de sécurité. Avec ce système, je veux bien passer au sans contact, s'il évite juste d'insérer la carte, et non que le paiement soit validé sans même pouvoir lire le montant (ce que font de nombreuses personnes).
#1.1
#1.2
Certainement pas ! C'est une prise de responsabilité.
- Sois tu baisses, tu tapes le code PIN "pour rien" et rend plus compliqué tes propres recours en cas de fraude (code PIN tapé)
- Sois tu augmentes, mais tu vu que c'est la banque qui supporte le risque, il vaut mieux laisser la banque décider pour
éviterlimiter les palabres en cas d'incident#1.3
#1.4
#1.6
#1.5
#2
Pour moi le gain de temps est plutôt sur le sans contact sans code et sur le paiement avec smartphone (sans code apparent car géré par le biométrie)
#2.1
Déjà, pas besoin de viser dans le trou, pousser la carte bien au fond, enlever la main pour interagir avec le clavier, puis remettre la main sur la carte pour pouvoir l'arracher avant de la ranger.
Le geste avec le sans contact est plus fluide : tu gardes la carte en main, tu pose brièvement sur le machine, et tu peux la ranger directement sans l'avoir lâchée.
Le temps que le TPE affiche l'écran pour taper le code, tu auras déjà rangé la carte.
#2.6
Les fraudes sont faciles avec un TPE qui se balade dans les transports par exemple.
#2.9
Vu les temps de chargements que je constate aujourd'hui pour valider les transactions (soit avant de demander le code, soit après, et souvent les 2), je suis absolument convaincu qu'avec le nouveau fonctionnement j'aurai ma CB rangée dans son étui anti NFC, et l'étui rangé dans ma poche/manteau/sac avant que le TPE ait fini la transaction.
#2.10
#2.11
Historique des modifications :
Posté le 28/06/2024 à 14h54
Ca ne peut pas être la carte qui valide le code, elle est forcément trop loin au moment où on le tape, à moins de taper d'une main et de la tenir de l'autre, ce qui est peu recommandé pour la confidentialité.
#2.12
#2.2
#2.3
#2.4
#2.8
#2.5
#2.7
Au Luxembourg le sans contact sur des gros montants est généralisé depuis bien plus longtemps.
Chaque fois que je mets les pieds en France, je suis toujours surpris d'avoir besoin d'insérer la carte...
Historique des modifications :
Posté le 28/06/2024 à 10h25
Ça evite aussi l'usure prématurée de la puce.
Au Luxembourg le sans contact sur des gros montants est généralisé depuis bien plus longtemps.
Chaque fois que je mets les pieds en France, je suis toujours surpris d'avoir besoin d'insérer la carte...
#3
50 CHF besoin du code
plus besoin d'insérer la carte, quoi qu'il arrive.
#3.1
Utiles pour les terminaux de payement en extérieur qui n'aiment pas beaucoup l'humidité à la longue
#3.2
#3.3
Historique des modifications :
Posté le 28/06/2024 à 06h46
C'est aussi le cas en Allemagne aussi. Je trouve que c'est pratique et c'est à partir de 50€ que le terminal demande le code. Travaillant parfois en caisse de magasin, ce système est clairement plus rapide qu'inserer la carte. Il arrive quand même que le code soit demandé en dessous de 50€ en sans contact mais j'ai jamais vraiment su si c'était une obligation d'une certaine banque (qui touchent tous les clients de la banque) ou si c'était un paramètre que l'utilisateur pouvait choisir chez sa banque.
#3.4
C'est obligatoire pour toutes les banques avec le DSP2).
Généralisation de l’authentification forte pour les paiements :
#3.5
#4
Lien explicatif
Historique des modifications :
Posté le 27/06/2024 à 16h32
Concernant Google Pay, autrement dénommé Google Wallet, seules de très rares banques françaises le supportent. La mienne ne le supporte pas par exemple.
#4.1
#4.5
Les rares cas où se merdouille, ça vient souvent des (vieux?) terminaux de paiement.
#4.6
#4.7
autre point chiant que j'ai remarquer hier... wallet étant par défaut pour le paiment mobile , si je tente de payer via l'appli CA ba wallet prends le dessus (je crois qu'il faut que l'app soit déclarée en temps que paiement nfc pour que wallet ne prenne pas la main).
bref les dev sont à la masse là dessus ...
#4.2
il doit y avoir l'equivalent pour les autres
#4.4
Il y a aussi paypal à priori
#4.8
Je suis deg que BNP restreigne uniquement sur cet app :(
#4.9
j''ai eu qu'une seul fois ou ca a pas fonctionné mais je pense que c’était plus du au terminal qu'a l'application
#4.3
#5
Les cas d'usage les plus courants sont:
* Un paiement dépassant les 50€ pour lequel le client n'aurait pas fait attention et aurait choisit le sans-contact. Dans ce cas au lieu de devoir insérer la carte et taper le code pin, cela permet de ne juste que taper le code pin. Avant comme maintenant même niveau de sécurité 2 Factor Authentication ( Possession de la carte et du code ).
* Un paiement inférieur à 50€ mais refusé car le code PIN n'a pas été rentré depuis un certain temps. Même principe, on à juste à taper le code pin sans rentrer la carte. 2FA également.
Au final, on voit que dans les deux cas, c'est juste un gain de temps pour tous le monde.
P.S: Certaine personne n'ont pas Google Wallet ou Apple Pay pour tout un tas de raison.
#6
Le sans-contact est aussi tres utile si tu as une carte pour tes tickets resto ou l'avance de frais pour ta mutuelle. Il doit exister des applis pour smartphone, mais encore une fois, il faut le nfc. Et vouloir installer une énième app.
Ajoutons une (encore très faible) tendance à vouloir s'éloigner un peu de son smartphone, de se déconnecter de ce bidule. Et de moins prendre le risque de se le faire voler à l'arrachée. Ça, ça se voit particulièrement dans les transports en commun, où sortir son engin à plus de 200 balles devient risqué, surtout quand on pense que c'est sur ça que tu as toute ta vie, et ton moyen de t'identifier sur les sites web etc. Le perdre ou se le faire voler a de plus en plus de conséquences de nos jours.
Historique des modifications :
Posté le 27/06/2024 à 17h43
Il existe encore de nombreux smartphones qui ne supportent pas le sans-contact, faute de puce nfc. La plupart des mobiles android d'entrée de gamme n'en ont pas, et c'est la loterie en milieu de gamme. Aucune idée pour les iPhones, n'y touchant pas.
Le sans-contact est aussi tres utile si tu as une carte pour tes tickets resto ou l'avance de frais pour ta mutuelle. Il doit exister des applis pour smartphone, mais encore une fois, il faut le nfc. Et vouloir installer une énième app.
Posté le 27/06/2024 à 17h44
Il existe encore de nombreux smartphones qui ne supportent pas le sans-contact, faute de puce nfc. La plupart des mobiles android d'entrée de gamme n'en ont pas, et c'est la loterie en milieu de gamme.
Le sans-contact est aussi tres utile si tu as une carte pour tes tickets resto ou l'avance de frais pour ta mutuelle. Il doit exister des applis pour smartphone, mais encore une fois, il faut le nfc. Et vouloir installer une énième app.
Ajoutons une (encore très faible) tendance à vouloir s'éloigner un peu de son smartphone, de se déconnecter de ce bidule. Et de moins prendre le risque de se le faire voler à l'arrachée. Ça, ça se voit particulièrement dans les transports en commun.
Posté le 27/06/2024 à 17h46
Il existe encore de nombreux smartphones qui ne supportent pas le sans-contact, faute de puce nfc. La plupart des mobiles android d'entrée de gamme n'en ont pas, et c'est la loterie en milieu de gamme.
Le sans-contact est aussi tres utile si tu as une carte pour tes tickets resto ou l'avance de frais pour ta mutuelle. Il doit exister des applis pour smartphone, mais encore une fois, il faut le nfc. Et vouloir installer une énième app.
Ajoutons une (encore très faible) tendance à vouloir s'éloigner un peu de son smartphone, de se déconnecter de ce bidule. Et de moins prendre le risque de se le faire voler à l'arrachée. Ça, ça se voit particulièrement dans les transports en commun.
#6.1
#6.3
Par contre de quels pubs tu parles ? il n'y a pas de pub sur android. dans les apps (de merde) oui mais pas sur android.
Perso les seuls moment ou j'ai de la pub ce sont sur les apps/jeux "gratuits" et ça je penses pas que ça change grand chose que tu soit sur android ou iOS la pub sur facebook ne change pas en fonction de l'OS
#6.4
#6.5
Juste eu des soucis avec un précédent téléphone qui killait parfois ledit proxy.
#6.2
#7
C'est brillant.
#7.1
#7.2
https://fr.wikipedia.org/wiki/Paiement_sans_contact
#8
#9
#10
Comme dit par d'autres, la carte ne sera plus sur le lecteur sans contact quand on tapera le code.
#10.1
Il vérifie ensuite que le code rentré est le bon en comparant son hash avec l'autre.
#10.2
#10.3
#10.4
#10.5
#10.6
Ce serait trop simple de faire de la force brute si on a le hash en dehors de la carte (il n'y a que 10000 combinaisons à tester)
Ce qui sous entend qu'il y a donc un autre mécanisme en place pour ce type de paiement.
#10.8
#10.9
Après, soit l'émetteur connaît le code pour les cartes où il n'est pas possible de le changer, ou alors si l'émetteur est informé des changements (fait sur un distributeur par exemple). Dans ce cas, pas de hash nécessaire de la part de la carte, le terminal envoie le code tapé par une connexion sécurisée et reçoit l'autorisation ou non.
Si on peut changer le code sans que l'émetteur ne puisse ou ne veuille connaître le nouveau, alors la carte devrait envoyer un hash du code au TPE qui le fera suivre à la banque avec le code tapé, sans que le TPE puisse le décoder ou tenter de le bruteforce car il lui manquera des clés partagées entre l'émetteur et la carte qui feront bien plus que 10000 combinaisons. A la rigueur l'émetteur peut bruteforcer, mais ça ne sert à rien.
Et en cas de panne de connexion, je pense qu'on en revient à l'insertion de la carte.
Historique des modifications :
Posté le 28/06/2024 à 15h12
Je pense que le code est bien vérifié en ligne et que ce n'est pas le TPE qui vérifie, sinon ça ouvrirait la voie à des TPE trafiqués qui accepteraient tout.
Après, soit l'émetteur connaît le code pour les cartes où il n'est pas possible de le changer, ou alors si l'émetteur est informé des changements (fait sur un distributeur par exemple). Dans ce cas, pas de hash nécessaire de la part de la carte, le terminal envoie le code tapé par une connexion sécurisée et reçoit l'autorisation ou non.
Si on peut changer le code sans que l'émetteur ne puisse ou ne veuille connaître le nouveau, alors la carte devrait envoyer un hash du code au TPE qui le fera suivre à la banque avec le code tapé, sans que le TPE puisse le décoder ou tenter de le bruteforce car il lui manquera des clés partagées entre l'émetteur et la carte qui feront bien plus que 10000 combinaisons. A la rigueur l'émetteur peut bruteforcer, mais je ne sais pas s'il y a un intérêt.
Et en cas de panne de connexion, je pense qu'on en revient à l'insertion de la carte.
Posté le 28/06/2024 à 15h13
Je pense que le code est bien vérifié en ligne et que ce n'est pas la carte qui le vérifie (trop loin), ni le TPE sinon ça ouvrirait la voie à des TPE trafiqués qui accepteraient tout.
Après, soit l'émetteur connaît le code pour les cartes où il n'est pas possible de le changer, ou alors si l'émetteur est informé des changements (fait sur un distributeur par exemple). Dans ce cas, pas de hash nécessaire de la part de la carte, le terminal envoie le code tapé par une connexion sécurisée et reçoit l'autorisation ou non.
Si on peut changer le code sans que l'émetteur ne puisse ou ne veuille connaître le nouveau, alors la carte devrait envoyer un hash du code au TPE qui le fera suivre à la banque avec le code tapé, sans que le TPE puisse le décoder ou tenter de le bruteforce car il lui manquera des clés partagées entre l'émetteur et la carte qui feront bien plus que 10000 combinaisons. A la rigueur l'émetteur peut bruteforcer, mais je ne sais pas s'il y a un intérêt.
Et en cas de panne de connexion, je pense qu'on en revient à l'insertion de la carte.
#10.7
Je trouve cela ajoute des risques de sécurité que le code puisse être vérifié soit en ligne soit en local par la carte, ne serait-ce que parce que l'on permet 2 essais de plus avant blocage de la carte.
Dommage que cette information ne soit pas dans la brève, on est (encore ?) sur un site parlant de technologie numérique.
#11
#11.1
Ça ressemble à quoi ?
#12
@Next : le seuil de 50€ est apparu juin 2020 pendant la pandémie (soit 3 ans, c'est pas si rapide que ça), y'a eu un gros taf des banques pour que ça puisse être gérer, parce que c'était pas aussi simple suivant les cartes, les banques et les commerçants.
Le "Sans contact plus" c'est un nom bien francisé pour le "PIN Online" que les gens n'ont pas compris, qui existe dans certains pays depuis des années, mais ce sont généralement des pays qui sont passés de la piste au sans contact, sans passer par la lecture de la puce en contact.
Concernant le "Sans contact plus" qui est "disponible", vu le parc actuel compatible y'a de la marge encore, déjà que le choix de l'impression du ticket n'est pas répendu et que c'était une étape avant celle-ci ... y'a de la marge. Et ça c'est pour les commerçants les plus facilement équipables, donc loin de la masse.
Puis concernant le "Sans contact plus" pas certain que le commerçant soit au courant si son terminal le permet ou pas vue les connaissance qu'il faut pour le dire
Concernant certains commentaires que j'ai lu :
- le code PIN est contrôlé soit en local, soit par l'émetteur de la carte, certains banque le font de puis longtemps (ça permet la mise à jour du code depuis un distributeur de billet, genre Revolut & Co)
- les plafonds de sans contact sont propre à chaque banque, appliquée a la typologie de client dans laquelle on est, en suivant les recommandations, qui ne sont pas toute à suivre en même temps.
- le code PIN est aussi sécure que la biométrie des téléphone, pour peut que l'utilisateur ne fasse pas n'importe quoi / que le smartphone ne prennent pas une photo N&B pour sa tronche réelle.
- Le gain de temps est négligeable pour un français, mais bien présent pour un américain par exemple, la techno étant prévue pour le monde entier, les apports sont plus maigres pour certains que pour d'autres
- la résilience n'était pas présente lorsque le sans contact n'existait pas, lorsque la puce n'existait pas et qu'on avait une crampe ou une fracture de la main pour signer. La suppression de la lecture piste et puce ave le temps n'est pas garantie, il y a toujours des lectures de piste sur une grande partie des terminaux récents des commerçants (Sum up c'est pas un terminal, c'est un accessoire).
- il existe des cartes avec la biométrie intégrée (proto SG, cartes BNPP hors de prix, ..) ne nécessitant pas la saisie du code (mais bis repetita sur la biométrie des téléphones, même combat)
- Dans le cas de l'utilisation frauduleuse de la carte, suivant le cas, ce n'est pas le même qui paye, le client un peu trop négligeant va avoir du mal à ne pas payer la douille à la fin. La protection des consommateurs ça marche, mais ya des limites à la prise en charge par la banque.
Et surtout, votre banque ne vous demandera jamais vos identifiants, votre code de carte, ni le code d'authentification ou de valider une opération dans l'app de la banque.
Si vous avez un doute, vérifiez par un autre chemin, c'est probablement une fraude.
#12.1
Ainsi le distributeur peut très bien le faire sans être connecté, j'ai même eu une fois une banque étrangère où pour se connecter à ses comptes en ligne, il fallait insérer sa carte bancaire dans un petit appareil genre calculatrice pour générer un code de vérification à durée limitée, appareil qui permettait aussi de changer le code de la carte alors qu'il n'était connecté à rien.
Historique des modifications :
Posté le 28/06/2024 à 15h20
La mise à jour du code de la carte ne nécessite pas qu'il soit stocké chez l'émetteur, c'est une fonctionnalité de base des cartes à puces que de pouvoir lui demander de changer son code en lui donnant l'ancien et le nouveau.
Le distributeur peut très bien le faire sans être connecté, j'ai même eu une fois une banque qui fournissait un petit appareil genre calculatrice où il fallait insérer la carte pour générer un code de vérification à durée limitée pour se connecter à ses comptes en ligne, et qui permettait aussi de changer le code de la carte alors qu'il n'était connecté à rien.
Posté le 28/06/2024 à 15h21
La mise à jour du code de la carte ne nécessite pas qu'il soit stocké chez l'émetteur, c'est une fonctionnalité de base des cartes à puces que de pouvoir lui demander de changer son code en lui donnant l'ancien et le nouveau. C'est vrai que c'est une fonctionnalité souvent bloquée par les banques françaises.
Le distributeur peut très bien le faire sans être connecté, j'ai même eu une fois une banque qui fournissait un petit appareil genre calculatrice où il fallait insérer la carte pour générer un code de vérification à durée limitée pour se connecter à ses comptes en ligne, et qui permettait aussi de changer le code de la carte alors qu'il n'était connecté à rien.
Posté le 28/06/2024 à 15h21
La mise à jour du code de la carte ne nécessite pas qu'il soit stocké chez l'émetteur, c'est une fonctionnalité de base des cartes à puces que de pouvoir lui demander de changer son code en lui donnant l'ancien et le nouveau. C'est vrai que c'est une fonctionnalité souvent bloquée par les banques françaises.
Ainsi le distributeur peut très bien le faire sans être connecté, j'ai même eu une fois une banque qui fournissait un petit appareil genre calculatrice où il fallait insérer la carte pour générer un code de vérification à durée limitée pour se connecter à ses comptes en ligne, et qui permettait aussi de changer le code de la carte alors qu'il n'était connecté à rien.
Posté le 28/06/2024 à 15h21
La mise à jour du code de la carte ne nécessite pas qu'il soit stocké chez l'émetteur, c'est une fonctionnalité de base des cartes à puces que de pouvoir lui demander de changer son code en lui donnant l'ancien et le nouveau. C'est vrai que c'est une fonctionnalité souvent bloquée par les banques françaises.
Ainsi le distributeur peut très bien le faire sans être connecté, j'ai même eu une fois une banque étrangère qui fournissait un petit appareil genre calculatrice où il fallait insérer la carte pour générer un code de vérification à durée limitée pour se connecter à ses comptes en ligne, et qui permettait aussi de changer le code de la carte alors qu'il n'était connecté à rien.
Posté le 28/06/2024 à 15h22
La mise à jour du code de la carte ne nécessite pas qu'il soit stocké chez l'émetteur, c'est une fonctionnalité de base des cartes à puces que de pouvoir lui demander de changer son code en lui donnant l'ancien et le nouveau. C'est vrai que c'est une fonctionnalité souvent bloquée par les banques françaises.
Ainsi le distributeur peut très bien le faire sans être connecté, j'ai même eu une fois une banque étrangère où pour se connecter à ses comptes en ligne, il fallait où il fallait insérer sa carte bancaire dans un petit appareil genre calculatrice pour générer un code de vérification à durée limitée, appareil qui permettait aussi de changer le code de la carte alors qu'il n'était connecté à rien.