Blocage RFID : ce qu’il protège réellement (et ce qu’il ne protège pas)
Si vous avez acheté un portefeuille anti-RFID ou une de ces cartes anti-RFID ultra-minces à insérer dans un lecteur de carte ces trois ou quatre dernières années, félicitations : vous êtes protégé contre une méthode de fraude à la carte bancaire qui est devenue quasiment inopérante depuis que la puce est devenue la norme. Le marketing prétend que les voleurs peuvent dérober des fonds sur votre compte à travers le tissu. Si le marketing avait raison concernant la physique des ondes radio, il se trompait sur le fonctionnement des cartes elles-mêmes. L’argument est simple : votre carte sans contact transmet des données par voie hertzienne, une personne mal intentionnée munie d’un lecteur dissimulé peut intercepter ces données et votre argent disparaît. C’est le genre de scénario que l’on accepte sans problème car il correspond aux règles du vol physique que nous connaissons déjà. Le problème, c’est que les cartes de paiement modernes, à l’autre bout de cette liaison radio, ne fonctionnent pas comme le prétendent les publicités.
Cet article explique en détail ce qu'était réellement le skimming RFID, ce que le protocole sans contact EMV a changé et les fraudes NFC en pleine expansion. Attention : la fraude qui se développe est de celles qu'aucun portefeuille ne peut empêcher.
Comment le skimming RFID était censé fonctionner
Les démonstrations les plus célèbres ont toutes eu lieu entre 2009 et 2013 environ. Des chercheurs comme Pablos Holman et Kristin Paget montaient sur les scènes de Defcon et de TED, présentaient un boîtier noir près de la poche d'un participant et en sortaient une copie fonctionnelle d'une carte de crédit. Les extraits vidéo des conférences sont devenus viraux. En quelques minutes, une décennie de marketing pour les portefeuilles, les étuis et les protège-passeports était née.
Les cartes utilisées pour le clonage lors de ces démonstrations étaient des systèmes RFID équivalents à la bande magnétique, selon la terminologie employée dans le secteur des paiements. Elles succédaient à la première génération de cartes sans contact, comme le programme Chase Blink aux États-Unis, entre 2005 et 2013 environ. La carte transmettait, via une liaison radio à courte portée, les mêmes données que celles encodées sur sa bande magnétique : le numéro de compte principal, la date d’expiration, le nom du titulaire dans la plupart des cas et le code de vérification statique. Un dispositif de clonage doté d’une antenne légèrement surdimensionnée pouvait lire toutes ces informations à travers du tissu ou du cuir fin, à quelques centimètres de distance. Les données capturées suffisaient à encoder un clone fonctionnel sur une bande magnétique vierge et à l’utiliser chez n’importe quel commerçant acceptant encore les paiements par glissement.
La raison technique de ce fonctionnement réside dans l'utilisation de la norme ISO 14443, la branche courte portée de l'identification par radiofréquence (RFID), conçue pour une portée d'environ dix centimètres. Des démonstrateurs ont étendu cette portée grâce à des antennes plus grandes et des alimentations électriques propres. Les étiquettes de proximité utilisant la norme ISO 15693, du type de celles que l'on trouve dans les livres de bibliothèque et les inventaires d'entrepôt, peuvent être lues jusqu'à soixante-dix centimètres. Les cartes de paiement n'ont jamais été conformes à cette norme. Pourtant, l'impression qui est restée dans les esprits est celle d'un seul chiffre : les cartes peuvent être lues à l'autre bout d'une pièce. Cette impression était déjà erronée en 2010. Elle l'est encore plus aujourd'hui.
Je ne cesse de penser à la persistance de cette peur. Les cartes utilisées dans ces fameuses démonstrations n'existent plus vraiment. Le secteur des paiements a évolué. La catégorie de produits conçue pour se prémunir contre ces cartes, elle, est restée la même.
Pourquoi la norme EMV a-t-elle éliminé la menace ? Le blocage RFID a été présenté comme un moyen d’empêcher…
Ce qui a mis fin aux attaques par skimming similaires à celles utilisant les cartes à bande magnétique, ce ne sont pas les portefeuilles améliorés. C'est la puce EMV et, plus précisément, sa version sans contact, intégrée à toutes les cartes Visa, Mastercard, American Express et Discover émises ces dernières années.
Voici ce qui se passe lorsque vous approchez une carte sans contact moderne d'un lecteur. La carte et le terminal s'accordent sur un numéro de transaction unique. La puce de la carte utilise une clé secrète, intégrée lors de sa fabrication et jamais transmise, pour effectuer un chiffrement qui calcule un cryptogramme à usage unique appelé ARQC (Authorization Request Cryptogram). Le lecteur envoie l'ARQC, ainsi que quelques autres informations, à la banque émettrice pour validation. Si un dispositif de fraude se trouve dans votre poche et intercepte la même transaction, il obtient l'ARQC, le numéro de compte principal, la date d'expiration et rien d'autre. Pas de CVV2 (le code à trois chiffres au dos de la carte), pas de code PIN, pas de données de la piste 2 de la bande magnétique, ni de valeur de vérification réutilisable.
Quel est le problème à réutiliser un ARQC capturé ? Le compteur a été mis à jour. La prochaine transaction nécessite un nouveau cryptogramme avec la valeur suivante du compteur. Le système d'autorisation de l'émetteur rejettera la tentative de relecture. Les données volées sont inutilisables pour le clonage de la carte ou pour une transaction classique en personne.
Pour illustrer concrètement cette asymétrie, voici ce qu'un lecteur RFID passif peut extraire d'une carte sans contact EMV lors d'un simple passage, comparé à ce dont un clone fonctionnel aurait réellement besoin.
| Champ | Capture par écrémage RFID du code EMV | Nécessaire pour cloner ou rejouer |
|---|---|---|
| Numéro de compte principal (PAN) | Oui | Oui |
| Date d'expiration | Oui | Oui |
| Nom du titulaire de la carte | Parfois | Parfois |
| Cryptogramme ARQC | Oui (à usage unique, relié par un comptoir) | Non (il doit en falloir un nouveau pour la prochaine transaction) |
| CVV2 (trois chiffres au dos de la carte) | Non | Oui, pour la plupart des paiements sans présentation de carte. |
| ÉPINGLE | Non | Oui pour les retraits aux distributeurs automatiques. |
| Données complètes de la piste deux de la bande magnétique | Non | Oui, pour cloner sur une carte à glissement uniquement |
| Clé secrète de la carte | Non (ne quitte jamais la puce) | Oui, pour générer un ARQC valide |
Les chiffres sous-jacents méritent qu'on s'y attarde. EMVCo, l'organisme qui gère la norme EMV, indique que 96,20 % des transactions par carte en magasin dans le monde utilisaient la puce au quatrième trimestre 2024. Environ 72 % des cartes émises sont compatibles EMV. Aux États-Unis, Visa a constaté que les commerçants ayant effectué la mise à niveau de leurs cartes vers la technologie EMV ont vu les pertes liées à la contrefaçon diminuer de 76 % entre décembre 2015 et décembre 2017. Il ne s'agit pas d'une simple tendance à la baisse : la puce EMV a définitivement anéanti tout intérêt économique pour le clonage de cartes en magasin.
Il existe une exception notable : le numéro de compte principal et sa date d’expiration peuvent parfois être testés auprès de commerçants peu scrupuleux acceptant les paiements sans présentation de carte, qui n’imposent pas l’authentification 3DS ou ne vérifient pas le CVV2. C’est un problème réel, et non lié à la RFID. Ces mêmes numéros sont constamment divulgués lors de violations de données chez les commerçants, de phishing et de fraudes aux paiements en ligne. Un portefeuille bloquant ces données est inefficace contre ces fuites.
Les numéros de fraude sans contact que les produits de blocage RFID ne vous affichent jamais.
Les personnes qui achètent des portefeuilles bloquant les puces RFID ne voient presque jamais les chiffres réels en matière de fraude, car la catégorie de fraude contre laquelle ces portefeuilles sont destinés n'est pas celle qui engendre les pertes financières.
| Source | Année | Chiffre |
|---|---|---|
| Rapport annuel 2025 de UK Finance sur la fraude | 2024 | Les pertes liées à la fraude sans contact au Royaume-Uni s'élèvent à 41,1 millions de livres sterling, soit le premier recul annuel depuis 2020. |
| Finances au Royaume-Uni | 2024 | Le montant total des fraudes à la carte bancaire non autorisées au Royaume-Uni s'élève à 572,6 millions de livres sterling. |
| Dérivé | 2024 | La fraude sans contact représente environ 7,2 % de toutes les fraudes à la carte au Royaume-Uni. |
| Finances au Royaume-Uni | 2024 | La fraude à la carte non présente représente environ 70 % de toutes les fraudes à la carte, soit plus de 400 millions de livres sterling. |
| Document d'engagement de la FCA | 2025 | Le taux de fraude sans contact est de 1,3 pence pour 100 livres sterling dépensées sans contact, contre 6 pence pour 100 livres sterling pour l'ensemble des transactions par carte non autorisées. |
| FCA / Computer Weekly | 2024 | Transactions sans contact au Royaume-Uni : 18,9 milliards, en hausse de 3,4 % sur un an, valeur moyenne de 15,86 livres sterling. |
| Analyse de FICO US Card Skimming 2025 | 2025 | L'organisme américain de lutte contre la fraude indique explicitement qu'il ne peut pas isoler le skimming RFID comme une catégorie de pertes distincte. |
Relisez attentivement la dernière ligne. Si aucun chiffre précis concernant les pertes liées au skimming RFID aux États-Unis n'est largement cité, c'est parce que les organismes chargés du recensement des fraudes à la carte bancaire ne parviennent pas à établir un chiffre significatif. Ils isolent le skimming des distributeurs automatiques et des pompes à essence, car ces pratiques laissent une trace physique. Le skimming RFID, tel qu'il est présenté aux consommateurs dans les vidéos Defcon, est invisible.
En résumé, les pertes documentées liées au skimming passif RFID sur les cartes sans contact EMV modernes sont statistiquement indiscernables de zéro. Consumer Reports, AARP, de nombreux experts en sécurité reconnus, dont Roger Grimes de KnowBe4, l'Identity Theft Resource Center, Chase et Visa, ont tous affirmé la même chose par écrit.
La Réserve fédérale de Kansas City a étudié le déploiement des cartes à puce aux États-Unis lors d'une note d'information sur les systèmes de paiement en 2018. Elle a constaté que la fraude par carte en magasin chez les commerçants équipés de la puce avait fortement diminué une fois la transition achevée. Les taux de contrefaçon ont baissé tandis que les taux de fraude sans contact ont augmenté, les criminels se tournant vers les canaux en ligne, plus faciles à utiliser. Cette migration est au cœur de la fraude à la carte dans les années 2020. L'écrémage, sous toutes ses formes, représente désormais une part infime et décroissante des pertes liées aux paiements en magasin. L'écrémage sans contact se situe dans la partie la plus marginale de cette part.
Un autre élément mérite d'être souligné. Le plafond des paiements sans contact au Royaume-Uni est passé de 25 à 100 livres sterling en 2021. L'Autorité de conduite financière (FCA) a ensuite annoncé en 2025 que ce plafond serait supprimé à compter du 2026 mars et que chaque émetteur fixerait ses propres limites. Si l'écrémage passif des paiements sans contact représentait une source de pertes significative, une multiplication par cinq du risque par transaction aurait eu un impact notable. Or, ce ne fut pas le cas. La fraude sans contact a diminué d'une année sur l'autre en 2024, malgré des plafonds et un nombre de transactions plus élevés. Le protocole remplit donc son rôle.
La véritable menace NFC que votre portefeuille ne peut pas bloquer
Alors que l'industrie du blocage RFID s'efforçait de répondre à la question de 2012, les pirates informatiques ont évolué. La fraude NFC qui connaît actuellement la plus forte croissance n'implique absolument pas la présence d'un inconnu près de votre poche.
En août 2024, la société de sécurité ESET a publié une étude sur un logiciel malveillant Android nommé NGate. Le mode opératoire est le suivant : une victime est piégée par hameçonnage, généralement par SMS prétendant provenir de sa banque. Elle installe alors ce qu'elle croit être une mise à jour de sécurité bancaire. La fausse application lui demande de vérifier sa carte bancaire en la plaçant brièvement contre le dos de son téléphone. Le logiciel malveillant lit la carte via la puce NFC du téléphone et transmet les données, en temps réel, au téléphone d'un pirate situé à l'étranger. Ce dernier se rend à un distributeur automatique de billets, téléphone en main, et retire de l'argent comme si la carte de la victime avait été utilisée sans contact. ESET a identifié un suspect arrêté, responsable d'avoir dérobé environ six mille cinq cents euros à trois victimes en peu de temps.
Il s'agissait du premier cas largement médiatisé. Au cours du premier semestre 2025, les données télémétriques d'ESET ont révélé une augmentation d'environ 35 fois des détections d'attaques par relais NFC par rapport au second semestre 2024. Cette technique est désormais activement utilisée. Elle fonctionne contre les cartes sans contact EMV modernes, car le protocole se comporte comme prévu : la carte est présentée au lecteur, le cryptogramme est valide et la banque émettrice constate une transaction apparemment normale.
Une pochette anti-RFID n'offre aucune protection contre ce type d'attaque. La carte est volontairement utilisée par la victime, contre son propre téléphone, après l'installation de l'application malveillante. Le blindage radio du portefeuille est sans lien avec la surface d'attaque.
Ce qui protège réellement contre cette attaque est bien plus difficile à commercialiser sous forme de produit physique. Il faut savoir reconnaître les messages d'hameçonnage, ne pas installer d'applications à partir de liens et considérer toute demande de vérification par carte comme une alerte. Rien de tout cela ne tient dans un portefeuille à 25 dollars sur Amazon.
Là où la technologie de blocage RFID a encore toute sa place
La vérité, ce n'est pas que le blocage RFID est inutile. C'est que l'argument de la carte de paiement est le point faible du produit. Dans de nombreux portefeuilles, les objets réellement vulnérables à la RFID sont tout sauf les cartes bancaires.
Voici une liste non exhaustive. De nombreux établissements utilisent encore d'anciennes cartes d'accès à l'hôtel, basées sur les familles de puces HID iClass et MIFARE Classic (13,56 MHz), dont la vulnérabilité a été démontrée publiquement et qui peuvent être clonées par quiconque possédant un lecteur bon marché. Les badges d'accès aux bâtiments, notamment les anciens systèmes d'entreprise, utilisent souvent les mêmes puces défaillantes. Les étiquettes de bibliothèque, conformes à la norme ISO 15693 (portée de lecture plus étendue), divulguent facilement leurs identifiants. Certains passeports biométriques anciens disposaient d'un contrôle d'accès de base insuffisant et pouvaient être piratés pour en extraire les données. Les cartes de fidélité, les badges d'accès aux salles de sport et les cartes de transport prépayées sont généralement faciles à cloner ou à relayer.
Si vous transportez plusieurs de ces cartes en plus de vos cartes bancaires, un étui de protection basique a une utilité bien précise. Il n'est pas nécessaire pour votre carte Visa sans contact.
Cette asymétrie, c'est précisément ce que le marketing des portefeuilles élude. Deux problèmes distincts sont amalgamés dans un même argumentaire produit, et le plus facile à expliquer est celui qui a quasiment disparu il y a une dizaine d'années.
Une façon concrète d'y réfléchir : faites l'inventaire de votre portefeuille. Pour chaque objet, demandez-vous quelle norme radio il utilise et si cette norme intègre un chiffrement. Les cartes bancaires, depuis le déploiement de la puce EMV, en sont équipées. La plupart des badges d'accès, des clés d'hôtel et des cartes de bibliothèque n'en sont pas équipés. L'étui protège ce qui ne possède pas de couche de chiffrement. Il ne peut pas améliorer ce qui en possède déjà une. Voilà, en résumé, le principe du blocage RFID, sans les arguments marketing.
