Attaques par skimming NFC

Grâce à la commodité des paiements NFC et par smartphone, nombreux sont ceux qui ne portent plus leur portefeuille sur eux et n’ont plus besoin de se souvenir du code PIN de leur carte bancaire. Toutes leurs cartes sont enregistrées dans une application de paiement, ce qui est plus rapide que de fouiller dans son portefeuille à la recherche d’une carte physique. Les paiements mobiles offrent également une grande sécurité : cette technologie a été développée relativement récemment et comprend de nombreuses protections antifraude. Pourtant, les criminels ont inventé plusieurs façons de détourner la technologie NFC et de voler votre argent. Heureusement, il est facile de protéger vos fonds : il suffit de connaître ces pièges et d’éviter les situations à risque lors de l’utilisation de la technologie NFC.

Relais NFC et NFCGate – qu’est-ce que c’est ?

Le relais NFC est une technique qui consiste à intercepter les données transmises sans fil entre une source (comme une carte bancaire) et un récepteur (comme un terminal de paiement) à l’aide d’un appareil intermédiaire, puis à les relayer en temps réel vers un autre appareil. Imaginez que vous ayez deux smartphones connectés via Internet, chacun équipé d’une application relais. Si vous placez une carte bancaire physique contre le premier smartphone et que vous approchez le deuxième smartphone d’un terminal ou d’un distributeur automatique de billets, l’application relais installée sur le premier smartphone lira le signal de la carte à l’aide de la technologie NFC et le transmettra en temps réel au deuxième smartphone, qui transmettra ensuite ce signal au terminal. Du point de vue du terminal, tout semble indiquer qu’une carte réelle a été utilisée, même si la carte elle-même se trouve physiquement dans une autre ville ou un autre pays.

À l’origine, cette technologie n’a pas été créée pour commettre des crimes. L’application NFCGate est apparue en 2015 en tant qu’outil de recherche après avoir été développée par des étudiants de l’Université technique de Darmstadt en Allemagne. Elle a été conçue à des fins d’analyse et de débogage du trafic NFC, ainsi que pour l’enseignement et la réalisation d’expériences avec la technologie sans contact. L’outil NFCGate a été distribué en tant que solution open source et utilisé dans les milieux universitaires et par les passionnés.

Cinq ans plus tard, les cybercriminels ont compris le potentiel du relais NFC et ont commencé à modifier cet outil en y ajoutant des mods qui lui permettaient de fonctionner via un serveur malveillant, de se faire passer pour un logiciel authentique et de mener des opérations d’ingénierie sociale.

Ce qui avait commencé comme un projet de recherche s’est transformé en base pour toute une série d’attaques ayant pour but de vider des comptes bancaires sans avoir physiquement accès aux cartes bancaires.

Des antécédents d’utilisation abusive

Les premières attaques documentées utilisant une version modifiée de NFCGate ont eu lieu fin 2023 en République tchèque. Au début de l’année 2025, le problème avait pris une ampleur considérable et était devenu évident : les analystes en cybersécurité ont découvert plus de 80 échantillons uniques de programmes malveillants basés sur le système NFCGate. Les attaques ont évolué rapidement, les fonctions de relais NFC étant intégrées à d’autres composants malveillants.

En février 2025, des ensembles de programmes malveillants combinant CraxsRAT et NFCGate sont apparus, permettant aux pirates d’installer et de configurer le relais avec une interaction minimale de la part des victimes. Un nouveau stratagème, une version dite « inversée » de NFCGate, est apparu au printemps 2025, modifiant fondamentalement l’exécution de l’attaque.

Il convient de noter tout particulièrement le cheval de Troie RatOn, détecté pour la première fois en République tchèque. Il associe le contrôle à distance par smartphone à des capacités de relais NFC, permettant aux pirates de cibler les applications bancaires et les cartes des victimes grâce à diverses combinaisons de techniques. Des fonctionnalités telles que la capture d’écran, la manipulation des données du presse-papiers, l’envoi de SMS et le vol d’informations provenant de portefeuilles de cryptomonnaies et d’applications bancaires offrent aux criminels un arsenal complet.

Les cybercriminels ont également intégré la technologie de relais NFC dans des offres de programmes malveillants en tant que service (MaaS) et les revendent à d’autres acteurs malveillants sous forme d’abonnement. Au début de l’année 2025, des analystes ont découvert une nouvelle campagne complexe de programmes malveillants Android en Italie, baptisée SuperCard X. Des tentatives de déploiement de SuperCard X ont été signalées en Russie en mai 2025, puis au Brésil en août de la même année.

L’attaque directe NFCGate

L’attaque directe est le stratagème criminel original exploitant l’outil NFCGate. Dans ce scénario, le smartphone de la victime joue le rôle du lecteur, tandis que le téléphone du pirate informatique agit comme un émulateur de carte.

Tout d’abord, les escrocs incitent l’utilisateur à installer une application malveillante se faisant passer pour un service bancaire, une mise à jour système, une application de « sécurité de compte » ou même une application populaire, telle que TikTok. Une fois installée, l’application accède à la fois à la technologie NFC et à Internet, souvent sans faire de demande d’autorisations dangereuses ni d’accès root. Certaines versions demandent également l’accès aux fonctionnalités d’accessibilité Android.

Ensuite, sous prétexte de vérification d’identité, la victime est invitée à rapprocher sa carte bancaire de son téléphone. Si elle le fait, le programme malveillant lit les données de la carte à l’aide de la technologie NFC et les envoie immédiatement au serveur des criminels. De là, l’information est transmise à un deuxième smartphone détenu par une mule financière, dont le rôle est de retirer l’argent. Ce téléphone émule ensuite la carte de la victime pour effectuer des paiements à un terminal ou retirer de l’argent à un distributeur automatique de billets.

La fausse application installée sur le smartphone de la victime demande également le code PIN de la carte, comme sur un terminal de paiement ou un distributeur automatique de billets, et l’envoie aux cybercriminels.

Dans les premières versions de cette attaque, les criminels devaient se tenir prêts devant un distributeur automatique avec un téléphone pour pouvoir utiliser la carte de la victime en temps réel. Plus tard, le programme malveillant a été perfectionné de manière à ce que les données volées puissent être utilisées pour des achats en magasin de manière différée et sans connexion, plutôt que par une retransmission en direct.

Pour la victime, le vol est difficile à remarquer : la carte n’a jamais quitté ses mains et elle n’a pas eu à saisir ni à communiquer oralement ses coordonnées bancaires, d’autant plus que les alertes de la banque concernant les retraits peuvent être retardées, voire interceptées par l’application malveillante elle-même.

Voici quelques-uns des signes alarmants qui devraient vous faire soupçonner une attaque NFC directe :

• Demandes d’installation d’applications provenant de boutiques non officielles
• Demandes d’utilisation de votre carte bancaire sur votre téléphone

L’attaque NFCGate inversée

L’attaque inversée est une technique plus récente et plus élaborée. Le smartphone de la victime ne lit plus sa carte, mais émule celle du malfaiteur. Pour la victime, tout paraît parfaitement sûr : elle n’a pas besoin de fournir les détails de sa carte, de partager des codes, ni de rapprocher sa carte de son téléphone.

À l’instar du stratagème direct, tout commence par l’ingénierie sociale. L’utilisateur reçoit un appel ou un message le persuadant d’installer une application pour les « paiements sans contact », la « sécurité des cartes » ou même « l’utilisation de la monnaie numérique de la banque centrale ». Une fois installée, la nouvelle application demande à être définie comme mode de paiement sans contact par défaut, et cette étape est extrêmement importante. Cette technique permet au programme malveillant de ne pas avoir besoin d’accès root, mais seulement du consentement de l’utilisateur.

L’application malveillante se connecte alors silencieusement au serveur des pirates en arrière-plan, et les données NFC d’une carte appartenant à l’un des criminels sont transmises à l’appareil de la victime. Cette étape est totalement invisible pour la victime.

Ensuite, la victime est invitée à se rendre à un distributeur automatique de billets. Sous prétexte de  » transférer de l’argent vers un compte sécurisé  » ou de  » s’envoyer de l’argent à soi-même « , elle reçoit l’instruction de rapprocher son téléphone du lecteur NFC du distributeur. À ce moment-là, le distributeur interagit en réalité avec la carte du pirate. Le code PIN est dicté à la victime au préalable, et présenté comme « nouveau » ou « temporaire ».

Résultat des courses : tout l’argent déposé ou transféré par la victime finit sur le compte des escrocs.

Voici les caractéristiques principales de cette attaque :

• Demandes de modification de votre mode de paiement NFC par défaut
• « Nouveau » code PIN
• Tout scénario dans lequel vous êtes invité à vous rendre à un distributeur automatique de billets et à y accomplir des actions conformément aux instructions de tiers

Comment se protéger contre les attaques par relais NFC ?

Les attaques par relais NFC ne reposent pas tant sur des vulnérabilités techniques que sur la confiance des utilisateurs. Pour s’en défendre, il suffit de suivre quelques mesures de précaution simples :

• Assurez-vous de conserver votre mode de paiement sans contact de confiance (par exemple Google Pay ou Samsung Pay) comme mode de paiement par défaut.
• Ne rapprochez jamais votre carte bancaire de votre téléphone sur demande d’une autre personne ou parce qu’une application vous y invite. Les applications officielles peuvent utiliser votre caméra pour scanner un numéro de carte, mais elles ne vous demanderont jamais d’utiliser le lecteur NFC pour votre propre carte.
• Ne suivez jamais les instructions d’un inconnu devant un distributeur automatique de billets, peu importe qui il prétend être.
• Évitez d’installer des applications provenant de sources non officielles. Cela inclut les liens envoyés via des applications de messagerie, les réseaux sociaux, les SMS ou recommandés lors d’un appel téléphonique, même s’ils proviennent d’une personne prétendant être d’un service clientèle ou de la police.
• Utilisez une sécurité complète sur vos smartphones Android pour bloquer les appels d’escroquerie, empêcher les visites sur les sites de phishing et empêcher l’installation de programmes malveillants.
• Tenez-vous-en aux boutiques d’applications officielles uniquement. Lorsque vous téléchargez une application à partir d’une boutique, vérifiez les avis, le nombre de téléchargements, la date de publication ainsi que la note attribuée à l’application.
• Lorsque vous utilisez un distributeur automatique de billets, utilisez votre carte physique plutôt que votre smartphone pour effectuer la transaction.
• Prenez l’habitude de vérifier régulièrement le paramètre « Paiement par défaut » dans le menu NFC de votre téléphone. Si vous constatez la présence d’applications suspectes, supprimez-les immédiatement et lancez une analyse de sécurité complète sur votre appareil.
• Passez en revue la liste des applications disposant d’autorisations d’accessibilité : il s’agit d’une fonctionnalité souvent exploitée par les programmes malveillants. Révoquez ces autorisations pour toutes les applications suspectes ou désinstallez complètement les applications.
• Enregistrez les numéros officiels du service clientèle de vos banques dans les contacts de votre téléphone. Au moindre signe de fraude, appelez immédiatement et sans délai l’assistance de votre banque.
• Si vous pensez que les données de votre carte ont été compromises, bloquez immédiatement la carte.