NFC Ghost Tap : La fraude au paiement sans contact en hausse de 35x en 2025
Les attaques Ghost Tap relaient les données NFC volées pour effectuer des paiements sans contact frauduleux dans le monde entier. Découvrez le fonctionnement et comment protéger vos cartes.
NFC Ghost Tap : La fraude au paiement sans contact en hausse de 35x en 2025
Poser la carte, prendre son café, repartir. Le paiement sans contact est rapide et pratique, mais il est devenu une cible privilégiée des cybercriminels. Une technique appelée Ghost Tap a connu une augmentation de 35 fois depuis début 2025, transformant des données de cartes volées en achats intraçables à travers le monde.
Qu'est-ce qu'une attaque Ghost Tap ?
Ghost Tap est une attaque par relais NFC. Au lieu de cloner physiquement votre carte, les attaquants capturent les données NFC de votre carte et les relaient en temps réel vers un appareil distant qui effectue des achats en votre nom.
- Vol des données de la carte — Par phishing, superpositions malveillantes sur les applications bancaires ou ingénierie sociale
- Liaison au portefeuille mobile — Les données volées sont chargées dans Apple Pay ou Google Wallet sur un téléphone contrôlé par l'attaquant
- Relais du signal NFC — Un logiciel comme NFCGate relaie le signal NFC vers un réseau de « mules »
- Achat — Les mules entrent dans des magasins du monde entier et effectuent des paiements sans contact sous le plafond
Le processus ne prend que quelques secondes. Votre carte n'a jamais quitté votre poche, mais quelqu'un dans un autre pays fait des achats avec.
Pourquoi Ghost Tap est difficile à détecter
| Méthode de détection | Pourquoi Ghost Tap l'évite |
|---|---|
| Vérification de localisation | Achats sur de vrais terminaux POS dans de vrais magasins |
| Seuils de montant | Chaque transaction reste sous le plafond sans contact (50€) |
| Vérification carte présente | Le signal NFC est identique à un paiement légitime |
| Contrôle de vélocité | Les mules répartissent les achats entre différents commerces |
| Empreinte de l'appareil | Chaque mule utilise un téléphone différent |
L'augmentation de 35x : qu'est-ce qui a changé ?
Outils NFC open source
NFCGate, développé comme outil de recherche académique, est devenu largement disponible. Ses capacités de relais NFC sont maintenant documentées dans des tutoriels de fraude sur Telegram et le dark web.
Adoption massive du paiement mobile
Avec l'essor d'Apple Pay, Google Wallet et des cartes bancaires sans contact, la surface d'attaque s'est considérablement agrandie.
Réseaux organisés de mules
Les réseaux criminels recrutent des mules via WhatsApp et les réseaux sociaux, offrant un pourcentage sur chaque achat frauduleux.
Comment vous protéger
Mesures immédiates
- Activez les notifications de transaction — Alertes en temps réel pour chaque mouvement sur votre carte
- Fixez un plafond sans contact bas — Beaucoup de banques permettent des plafonds personnalisés
- Utilisez la vérification biométrique — Face ID ou empreinte digitale pour chaque paiement mobile
- Ne partagez jamais vos codes — Aucune banque ne vous demandera votre code par téléphone ou SMS
- Vérifiez vos relevés chaque semaine — Les petits débits frauduleux (5-15€) sont conçus pour passer inaperçus
Protégez vos données sensibles en ligne
Ghost Tap commence par des données volées. Chaque information sensible que vous partagez en ligne est un point d'entrée potentiel.
Quand vous partagez des mots de passe ou des données financières, utilisez des canaux chiffrés plutôt que du texte brut sur WhatsApp. LOCK.PUB vous permet de partager des informations sensibles via des liens protégés par mot de passe et à expiration automatique, évitant que vos données bancaires restent indéfiniment dans l'historique de conversation.
Si vous êtes victime
- Bloquez votre carte immédiatement via l'application bancaire
- Contactez le service fraude de votre banque
- Déposez plainte — Nécessaire pour les demandes de remboursement
- Vérifiez tous les portefeuilles liés — Apple Pay, Google Pay, Samsung Pay
- Changez le mot de passe de votre application bancaire
Conclusion
Ghost Tap illustre la tension fondamentale entre commodité et sécurité dans les paiements. Activez les notifications, méfiez-vous de toute demande de code et ne partagez pas d'informations sensibles en clair. Des outils comme LOCK.PUB garantissent que les données sensibles ne persistent pas dans des canaux non protégés.
Le sans contact doit être pratique — mais ce doit toujours être vous qui payez.
Mots-clés
À lire aussi
Sécurité des imprimantes : votre imprimante stocke chaque document et peut être piratée
Les imprimantes stockent des copies de tous les documents sur des disques internes, peuvent être piratées à distance et impriment des points de suivi invisibles. Découvrez les risques cachés.
Risques de sécurité des extensions de navigateur : comment les add-ons volent vos données
Découvrez comment les extensions malveillantes volent les mots de passe, injectent des publicités et suivent votre navigation. Cas réels sur le Chrome Web Store, signaux d'alerte dans les permissions et comment auditer vos extensions.
Pourquoi il ne faut jamais envoyer de mots de passe par WhatsApp
Envoyer des mots de passe par WhatsApp, Telegram ou Messenger est risqué. Découvrez les limites de sécurité des messageries et les alternatives sûres pour partager vos mots de passe.
Créez votre lien protégé par mot de passe maintenant
Créez gratuitement des liens protégés, des notes secrètes et des chats chiffrés.
Commencer Gratuitement