Les bagues connectées de paiement ont tout pour séduire : pas de portefeuille, pas de smartphone, juste un geste du poignet devant un terminal. Le Groupement des Cartes Bancaires a passé une partie de l’année 2025 à équiper une centaine de volontaires d’une telle bague, avec une idée simple : payer ses achats en magasin d’un geste de la main, sans carte ni smartphone. Les résultats ont été salués comme une réussite. Mais pendant que les institutions célèbrent ce nouveau support de paiement, une autre réalité s’est développée en parallèle, silencieuse et bien plus préoccupante : des logiciels malveillants capables d’aspirer vos données bancaires via le NFC de votre propre téléphone, à distance, en temps réel.
À retenir
- Un logiciel malveillant de 30 € transforme votre smartphone en outil de piratage bancaire sophistiqué
- Les cybercriminels utilisent le NFC de votre téléphone, pas celui de la bague, pour voler vos données
- La fraude a augmenté de 35 fois en 6 mois : c’est devenu un marché organisé avec abonnements
Un bijou sur le doigt, une cible dans la poche
La bague de paiement repose sur la technologie NFC (Near Field Communication), la même puce que celle qui équipe votre carte bancaire sans contact depuis des années. Sa portée de communication est limitée, généralement comprise entre 0 et 4 cm, une distance présentée comme un atout majeur en termes de sécurité. La théorie est rassurante : pour déclencher un paiement, il faut frôler physiquement le lecteur. En pratique, les attaquants ne cherchent plus du tout à se rapprocher de votre bague ou de votre carte. Ils ciblent directement votre smartphone.
Ce qui avait commencé comme un projet de recherche s’est transformé en base pour toute une série d’attaques ayant pour but de vider des comptes bancaires sans avoir physiquement accès aux cartes bancaires. L’outil en question s’appelle NFCGate, né dans un laboratoire universitaire allemand. Il s’agit d’un outil de recherche NFC open source développé à l’Université Technique de Darmstadt en Allemagne, conçu à l’origine pour des tests de sécurité légitimes. Des cybercriminels s’en sont emparés, l’ont modifié, et en ont fait une arme commerciale. Résultat : selon ESET, la fraude par NFC sur Android a augmenté de 35 fois durant le premier semestre 2025 par rapport au second semestre 2024.
Le piège à 30 euros : comment ça marche concrètement
Le schéma d’attaque le plus documenté en 2025 suit une mécanique redoutablement bien huilée. La fraude commence quand les victimes reçoivent de faux SMS ou alertes WhatsApp prétendant provenir de leur banque, signalant une transaction suspecte et les incitant à rappeler un numéro. Lors de cet appel, les escrocs se font passer pour des agents bancaires et poussent les titulaires de carte à “vérifier” leurs identifiants, en les guidant dans les paramètres de l’appli pour désactiver les plafonds de dépenses. Puis vient l’étape clé. Les opérateurs envoient ensuite un lien pour installer l’application SuperCard X Reader, présentée comme un utilitaire de sécurité. Une fois déployée, elle ne demande que des permissions NFC minimales, une sobriété stratégique qui lui permet d’échapper aux outils de détection.
L’escroc convainc ensuite l’utilisateur d’approcher sa carte de paiement de son téléphone, soi-disant pour vérification. En réalité, cela transfère les données de la puce vers le logiciel malveillant, qui relaie l’information à l’attaquant en temps réel. De l’autre côté, le complice dispose d’un second smartphone sur lequel tourne une application baptisée “Tapper”. Ce dispositif utilise les données volées pour émuler la carte de la victime via NFC, permettant ainsi d’effectuer des transactions sans contact, y compris des retraits aux distributeurs automatiques. Le tout peut se dérouler n’importe où dans le monde, pendant que la victime est encore en ligne avec “son conseiller bancaire”.
Selon un rapport publié en octobre 2025, plus de 760 applications malveillantes de ce type ont déjà été détectées. Ce n’est plus une menace théorique de laboratoire. C’est un marché. Les cybercriminels ont intégré cette technologie de relais NFC dans des offres de malware-as-a-service, revendues à d’autres acteurs malveillants sous forme d’abonnement. Une infrastructure clés en main, accessible à des escrocs sans compétences techniques poussées.
Bague CB ou smartphone : qui est vraiment vulnérable ?
La question mérite d’être posée clairement. La bague testée par CB fonctionne grâce au protocole CPACE, issu des travaux de l’European Card Payment Cooperation et déjà natif dans les cartes CB. Au-delà de 50 euros, la transaction exige la saisie d’un code confidentiel, exactement comme pour une carte bancaire classique. Sur le papier, la bague elle-même n’est pas le maillon faible. Elle n’a pas de connectivité Internet, pas d’application compagnon obligatoire, et ne peut pas être compromise à distance.
Le vrai vecteur d’attaque, c’est le téléphone. Ces logiciels malveillants transforment les terminaux Android en outils de piratage bancaire sophistiqués en exploitant la fonction NFC du smartphone, pas celle de la bague. Or, la confusion entre les deux peut pousser les porteurs de bagues connectées à baisser la garde : ils pensent que la sécurité de leur paiement est “dans la bague”, alors qu’un malware installé sur leur téléphone peut tout à fait intercepter les données de leur carte physique ou virtuelle liée au compte.
Un hacker passant près de vous peut intercepter vos données grâce à un faux lecteur, comme un téléphone portable, pour les envoyer à un complice qui s’en sert au même moment pour régler un achat. C’est le principe de l’attaque par relais : la carte et le terminal croient dialoguer l’un avec l’autre, alors qu’un troisième intervenant s’intercale. Il existe une mesure de sécurité théorique, le Distance-Bounding Protocol, qui permet à un lecteur sans contact de chronométrer son dialogue avec une puce NFC pour s’assurer que la personne se trouve bien à quelques centimètres. Mais le standard de communication NFC actuel n’est pas compatible avec le temps de transmission exigé pour ce protocole, laissant la faille ouverte.
Ce que vous pouvez faire, maintenant
La parade la plus efficace contre les attaques par relais NFC n’est pas un portefeuille blindé RFID vendu sur les marchés. Ce scénario de scan passif dans la rue n’est presque jamais utilisé en pratique : vous ne pouvez lire que des informations basiques lors d’une analyse aussi rapide, sans avoir le temps d’effectuer un paiement. La vraie menace, elle passe par votre téléphone et votre crédulité.
Concrètement : n’installez jamais une application envoyée par SMS ou WhatsApp, même si votre “banque” vous le demande. Google travaille sur une nouvelle fonctionnalité Android qui bloquerait l’installation d’applications depuis des sources inconnues et l’octroi de permissions d’accessibilité pendant qu’un appel est en cours, ce qui constituerait un garde-fou direct contre ce type de fraude. En attendant, activez les notifications de transaction en temps réel depuis l’application de votre banque. Lors d’un piratage, les victimes peuvent voir leur compte vidé en quelques heures sans avoir laissé physiquement leur carte hors d’atteinte. Récupérer son argent n’est jamais garanti rapidement.
Le calendrier est éloquent : plus d’un testeur sur deux de la bague CB l’a adoptée comme moyen de paiement principal, et 75 % des participants ont déclaré vouloir continuer à l’utiliser. L’adoption va s’accélérer. Ce qui devrait également s’accélérer, c’est la capacité des systèmes bancaires à détecter en temps réel des transactions géographiquement impossibles, votre carte qui “paye” simultanément à Lyon et à Naples, pendant que vous êtes encore au téléphone avec un faux conseiller. Le mécanisme de fraude permet un accès instantané aux fonds, contournant les délais habituels de détection de la fraude traditionnelle. C’est là que se joue vraiment la prochaine bataille.
Sources : technee.fr | ecommerce-nation.fr