Publié le 13 février 2026 à 21h53. Les paiements sans contact, de plus en plus courants, s’accompagnent d’une nouvelle menace : des fraudes sophistiquées exploitant la technologie NFC pour voler de l’argent aux consommateurs sans qu’ils s’en rendent compte.
- Une technique d’attaque par relais NFC permet aux criminels de capturer les signaux des cartes bancaires à distance.
- Le malware « SuperCarte X », ciblant les appareils Android, facilite les retraits frauduleux et les paiements illégaux.
- Les experts recommandent une vigilance accrue et l’adoption de mesures de sécurité proactives pour contrer ces nouvelles fraudes.
L’essor des paiements sans contact, facilité par la technologie Communication en champ proche (NFC), a transformé l’expérience d’achat à travers le monde. Si la rapidité et la commodité de cette méthode ont séduit de nombreux utilisateurs, elles ont également ouvert la voie à de nouvelles formes de criminalité financière.
Une augmentation des fraudes sophistiquées a été constatée, permettant aux malfaiteurs de dérober des fonds aux victimes sans qu’elles ne s’en aperçoivent immédiatement. Parmi ces techniques, l’attaque par relais NFC représente l’une des menaces les plus avancées liées aux paiements sans contact.
Cette méthode consiste à intercepter et à retransmettre la communication entre une carte bancaire ou un appareil de paiement et le terminal de paiement, le tout sans que le titulaire du compte ne soit au courant. Selon les experts de Cleafy, une société spécialisée dans la cybersécurité, l’attaque peut être déclenchée par une simple proximité physique. Un criminel peut ainsi utiliser un lecteur NFC dissimulé pour capturer le signal d’une carte dans la poche d’une personne se trouvant dans un café, puis transmettre ces informations en temps réel à un complice effectuant un achat frauduleux dans un commerce.
La transaction est considérée comme légitime par le système, car elle utilise des informations authentiques de la carte. L’utilisateur ne découvre la fraude que lorsqu’il constate une charge inconnue sur son relevé bancaire, sans avoir la moindre preuve de vol physique ou d’alerte immédiate.
La sophistication de ces fraudes a été mise en évidence par l’étude du cas de SuperCarte X, une campagne de malware analysée par l’équipe de renseignement sur les menaces de Cleafy. Ce malware est diffusé sous forme de service destiné aux appareils Android et conçu spécifiquement pour exécuter des attaques par relais NFC. Il permet ainsi de réaliser des retraits frauduleux aux distributeurs automatiques et des paiements illégaux dans les commerces, en manipulant l’appareil infecté.
La propagation de cette menace repose sur des techniques d’ingénierie sociale, telles que l’envoi de faux messages ou de faux appels téléphoniques. Une fois installé, le malware ne requiert que des autorisations minimales, ce qui le rend difficile à détecter par les filtres de sécurité classiques. Il utilise le téléphone de la victime comme intermédiaire pour retransmettre les données de la carte, sans susciter de soupçons ni déclencher d’alertes visibles.
Pour les banques, les conséquences de ces attaques par relais NFC se traduisent par une augmentation des remboursements pour fraude et une pression accrue sur leurs ressources de sécurité. Au-delà du préjudice financier immédiat, la perte de confiance des clients représente un impact plus profond et durable.
Pour les consommateurs, le fait que ces fraudes ne s’accompagnent pas de vol physique de la carte ou d’indices visibles engendre un sentiment de vulnérabilité. La découverte de frais inexpliqués sur leur compte bancaire ébranle la confiance dans la sécurité des paiements sans contact et dans le système financier en général.
L’entreprise de cybersécurité souligne la nécessité d’adopter des stratégies de prévention plus proactives, en privilégiant un modèle de détection précoce capable d’identifier les applications suspectes dès leur installation, plutôt que de se contenter de les détecter lors de leur utilisation.
Parmi les mesures recommandées, on retrouve :
- Analyse de l’intégrité des appareils et des applications : vérifier si une application demande des autorisations NFC et évaluer sa légitimité.
- Prédiction du comportement des utilisateurs : observer la fréquence et les schémas d’utilisation associés à un appareil ou à un compte.
- Surveillance en temps réel : analyser le comportement de l’appareil, notamment les changements d’état lors d’opérations sensibles.
- Analyse des risques liés aux transactions : vérifier la cohérence entre les lieux, les horaires et les bénéficiaires.
- Partage de renseignements sur les menaces : partager des indicateurs concernant les campagnes actives afin d’anticiper les attaques.
Les spécialistes conseillent également aux utilisateurs de télécharger des applications uniquement à partir de magasins officiels, d’examiner attentivement les autorisations demandées et de maintenir le système d’exploitation de leur appareil à jour. Ils recommandent également d’activer les systèmes de sécurité basés sur l’ authentification biométrique pour chaque transaction et de signaler immédiatement toute activité suspecte à leur banque.
L’évolution des paiements sans contact impose aux institutions financières et aux utilisateurs de renforcer leurs mécanismes de défense et de se tenir informés des nouvelles tactiques de fraude. Le principal défi réside dans la capacité à anticiper les actions des cybercriminels et à empêcher que la commodité de la technologie ne se transforme en un risque silencieux.