AssistanceMultimedia63
Dépannage informatique à domicile - Clermont-Ferrand et son agglomération

Se prémunir contre le piratage de carte bancaire

Dossiers rédigés par P. PASTEAU - Assistance Multimedia 63

Les types de fraudes à la carte bancaire

On peut distinguer plusieurs types d'escroqueries à la carte bancaire, selon qu'elles se passent dans le monde réel ou sur Internet, et selon les moyens techniques mis en oeuvre pour capter les informations bancaires nécessaires à la fraude.

Les conseils pour déjouer les fraudes à la carte bancaire sont en dernière rubrique, en bas de cette page ; les rubriques ci-dessous détaillent les fraudes possibles et les recours éventuels.

Fraudes dans le monde réel

Dans la vie de tous les jours, il peut être relativement simple pour une personne malveillante de capter les informations de votre carte bancaire. Quoi qu'on en dise, c'est presque à la portée de n'importe qui, avec, toutes proportions gardées, peu d'investissement en matériels ou temps ; aussi, cela rend ce type de menace tout aussi probable que le piratage via Internet, que certains médias et rumeurs colportent et brandissent comme un épouvantail.

Voici ce qu'une personne malintentionnée peut faire dans la vie courante, en restant la plupart du temps invisible (autrement dit, le piratage de l'information se fait à votre insu) :

  • mémoriser les chiffres de votre CB, aperçue dans la file d'attente au supermarché, avec des "lunettes filmantes" comme ci-dessous : Lunette espion Dispositif espion commercialisé à 35€, caméra dissimulée dans l'angle

  • lorsque vous tendez votre carte à un commerçant peu scrupuleux, il la passe recto/verso devant une caméra en-dehors de votre champ de vision, souvent dissimulée sous le comptoir, avant de l'insérer dans le terminal de paiement, qu'il vous présente ensuite, l'air de rien, pour que vous tapiez votre code Caméra cachée sous comptoir La caméra est cachée sous la partie haute du comptoir, invisible pour le client, et capte la CB violette

  • piéger un automate bancaire ou une borne de paiement (lavage auto, parking, etc.) : parfois grossière, parfois difficilement détectable sans y regarder de très près, il s'agit tout simplement de rajouter sur la machine de paiement, au niveau de la fente d'introduction de la carte bancaire, un dispositif similaire (pour tromper le client) mais qui incorporera une caméra miniature ou un lecteur de piste magnétique1 (cf ci-dessous). Couplée à une autre caméra espion qui filme le code secret tapé ou associée à un clavier enregistreur (cf photo ci-dessous), le pirate obtient facilement toutes les informations nécessaires pour frauder. Dispositif de lecture Clavier enregistreur

  • fraude au serveur et son faux TPE : là, il s'agit plus d'une arnaque en bonne et due forme, aucun matériel trafiqué ou espion n'est utilisé. Le client paye un achat et sort du magasin ; quelques secondes plus tard, il est rattrapé dans la rue par un employé du magasin, avec un terminal de paiement en main, et indique que malheureusement la transaction n'est pas passée, que son collègue n'a pas fait attention, et qu'il faut la refaire. Le client s'exécute, mais en fait, le préposé du magasin est un escroc, muni d'un vrai terminal de paiement mais paramétré pour envoyer l'argent dans une société prête-nom...

Fraudes sur Internet

Le piratage des coordonnées bancaires via Internet n'est pas forcément plus simple à mettre en oeuvre que les ruses précédentes de la vie courante.

Bien sûr, on ne répétera jamais assez qu'il ne faut pas communiquer ses coordonnées bancaires à des sites méconnus, d'autant plus étrangers (l'avantage d'une transaction encaissée via une banque commerçante française est qu'il sera plus immédiat de récupérer l'argent indûment prélevé).

Tout en restant sur des sites français et connus, on ne peut jamais complètement exclure les cas suivants, qui sont de l'ordre du probable :

  • le site internet, avec votre accord, mémorise votre carte bancaire, pour faciliter les paiements ultérieurs : si le site fait l'objet d'un vol d'informations (une fuite de données, dit-on), et selon les protections et cryptages mis en oeuvre (ou absents !!!), les numéros de CB peuvent être subtilisés et tomber dans les mains de gens malintentionnés

  • lors du paiement, le client ne fait pas attention et croyant payer sur le vrai site marchand-untel.fr donne en réalité toutes ses coordonnées CB à un site contrefait (ressemblant trait pour trait à l'orignal) intitulé marchand-untel.org (dans l'exemple, la différence est sur la fin du nom du site... voit-on ce genre de différence ?). Pire, l'escroc peut jouer sur la ressemblance entre le "i" et le "l" : voit-on la différence entre le vrai site marchand monsite.fr et monslte.fr si on ne cherche pas précisément ce genre de différence ?

  • les escroqueries au SMS : on vous demande de payer une modeste somme en échange de recevoir (soit disant) un produit ou un service ; pour l'arnaque à la carte Vitale, il s'agit d'un SMS reçu qui indique de manière assez péremptoire qu'il faut payer une poignée d'euros pour recevoir une carte Vitale à jour : dans les faits, vous communiquez au pirate vos coordonnées CB !

Pour approfondir ce sujet, plusieurs liens disponibles en annexes en bas de cette page.

Le mélange des genres

Bien sûr, certaines techniques d'escroquerie sont plus élaborées que les cas précédents et mélangent vol d'information, ingénierie sociale, usurpation d'identité, etc.

Une des techniques les plus répandues est celle de l'appel du faux banquier :

  • vos coordonnées de carte bancaire sont subtilisées par un des moyens déjà évoqués (captation image ou piste magnétique, fuite de données sur un site marchand, faux site marchand ressemblant à un vrai)

  • or, les transactions supérieures à 30€ nécessitent que le client valide le paiement par un code secret à usage unique2 reçu par SMS ; pour que les achats frauduleux puissent être concrétisés, il faut faire en sorte que le client valide ces paiements à son insu en donnant les codes reçus

  • aussi, muni des informations personnelles dérobées, un escroc se faisant passer pour la banque vous appelle et vous demande de lui communiquer les codes de validation, au prétexte que c'est pour bloquer un paiement frauduleux (c'est en réalité tout l'inverse !)

  • la transaction pirate est réalisée, avec la complicité involontaire du client...

L'illustration suivante montre la chronologie des choses ; le numéro de carte est obtenu par une fraude au renouvellement de la carte Vitale, avec un faux site Ameli.

Escroquerie au faux banquier © Le Parisien

La question souvent posée est : comment le pirate connaît-il autant d'informations personnelles, le nom de ma banque, mon conseiller financier, etc. ?

Pour ce qui est du nom/prénom, cela peut venir avec la fuite de données sur un site internet, ou la captation de l'image de la carte bancaire (sur un distributeur ou automate de paiement piégé) ; l'adresse peut être récupérée également par une fuite de données.

Si le pirate a déjà volé le numéro de carte, le nom de la banque est très facile à obtenir, car les premiers chiffres du numéro de carte identifient le réseau (Visa, Mastercard, etc.) et la banque nationale ; un site internet existe même pour cela3.

Les informations sur la banque de rattachement du client peuvent être plus compliquées à trouver, mais cela peut être un jeu de devinettes... Si on sait que la personne habite la ville XYZ, il est fort probable qu'il soit rattaché à l'agence bancaire la plus proche dans cette ville : dans 90% des cas, cela doit être vrai. Quant au nom du conseiller financier, c'est effectivement plus délicat à obtenir, mais on peut imaginer qu'une fuite de données en soit à l'origine (une sorte d'annuaire des employés)4.

Les recours possibles

La loi « sécurité quotidienne » du 15 novembre 2001, stipule clairement que la responsabilité du titulaire d'une carte de crédit n'est pas engagée si la carte a été contrefaite ou si le paiement contesté a été effectué frauduleusement, à distance, sans utilisation physique de la carte, conformément aux dispositions de l'article L133-24 du Code Monétaire et Financier qui protège les usagers.

En d'autres termes, la banque est tenue de rembourser les paiements frauduleux dès lors que la personne lésée n'a pas expressément autorisé la transaction : on rappelle qu'un achat sur Internet d'un montant supérieur à 30€ nécessite d'indiquer pendant la réalisation de la transaction un code secret à usage unique reçu par SMS2, ce qui matérialise un accord explicite de l'acheteur.

Si la victime n'a jamais communiqué ce code de validation à usage unique, alors l'achat frauduleux est réputé non autorisé, et la banque se doit de le rembourser. Pourquoi la transaction a-t-elle pu avoir lieu, alors qu'on vient de voir qu'un achat de plus de 30€ nécessitait ce code ? Tout simplement parce que tous les sites marchands ne mettent pas en oeuvre ce haut niveau de sécurité ! Dans ce cas, le client victime est encore plus assuré d'être remboursé, la transaction n'ayant pas été validée en bonne et due forme.

Dans le cas où la victime a été abusée par un escroc qui lui a extorqué les codes de validation (procédé décrit précédemment : le faux banquier appelle et demande des codes reçus au motif de bloquer des achats frauduleux, alors que c'est précisément pour les concrétiser, mais ça, la victime ne l'a pas encore compris à ce moment-là !), là, malheureusement, la victime est quelque peu complice, la banque peut refuser de rembourser la transaction, considérant que son client a manqué de prudence et de discernement quant à la non-divulgation des codes secrets et moyens de paiement.

Toutefois, pour motiver un refus de remboursement de la banque, il est de la responsabilité de cette banque de prouver que son client a autorisé la transaction ou fauté ; ce n'est pas au client de prouver qu'il n'est pas à l'origine des paiements !

Afin d'orienter les enquêtes des services de Police relativement aux bandes organisées sévissant dans ce domaine, il est conseillé, une fois les transactions frauduleuses constatées, de déposer un dossier sur la plate-forme Perceval ; le signalement est simple à déposer, et vous recevez un récépissé que vous pouvez fournir à votre banque en même temps que vos demandes de régularisations des paiements frauduleux.

Comment se prémunir contre les fraudes aux cartes bancaires ?

Les plus élémentaires des préconisations sont :

  • sur Internet, de ne commander que sur des sites français et connus (Amazon, Fnac, etc.)5

  • ne jamais appeler un numéro de téléphone suite à un message alarmant sur l'ordinateur indiquant d'appeler ledit numéro : c'est une arnaque pure et simple !

  • dans un commerce, ne jamais quitter sa carte des yeux, le commerçant doit toujours la tenir visible

  • dans une caisse automatique, faire attention à la fente d'insertion de la carte : y a-t-il un rajout par-devant, ou plus généralement quelque chose qui semble dépasser ?

  • lors de la saisie du code secret, mettre l'autre main pour cacher ce qu'on tape

  • se munir d'un porte-carte anti-RFID6 : cela permet d'éviter, dans les transports en commun, qu'un individu malveillant se collant à vous puisse déclencher un paiement sans contact en approchant un terminal de paiement de votre sacoche ou sac à main.

Par ailleurs, s'agissant des achats par Internet, il peut être intéressant de ne pas utiliser votre carte bancaire habituelle, mais de disposer d'une carte à usage unique7 : ainsi, si le site est victime d'un vol de données, ou s'il n'est pas fiable, les mécanismes de plafonds associés à la carte à usage unique permettent de faire échouer la fraude.

Ce dispositif de paiement par carte à usage unique s'appelle différemment selon les banques : souvent "e-carte bleue", ou "carte virtuelle". Parfois, le service est gratuit, parfois il faut payer un abonnement particulier.

Le principe, quelle que soit la solution envisagée par la banque, est identique : le client demande un numéro de carte temporaire et indique le montant de la transaction ; l'utilisation par le site marchand de ce numéro de carte sera restreint à ce montant-là (ou inférieur).

Si votre banque habituelle ne propose pas ce service, il est possible d'ouvrir un compte de dépôts auprès d'une banque en ligne disposant du paiement par carte virtuelle, comme Fortuneo (filiale Crédit-Mutuel) ou Revolut (entité britannique exilée en Lituanie depuis le Brexit), entre autres. L'ouverture d'un compte auprès d'une banque en ligne se fait immédiatement ou en quelques jours par vérification des pièces d'identité et en versant un apport minimum sur le compte ; il n'est pas généralement pas demandé de domicilier un salaire ou de justifier d'un revenu minimum. Par ailleurs, à condition de respecter les conditions d'utilisation (souvent un nombre minimum de transaction par carte et par mois), il n'y a pas de frais de tenue de compte.

Annexes

  1. la CB comporte une piste magnétique, qui, lue, donne le numéro de carte ; elle est encore présente sur nos cartes car dans nombre de pays étrangers, la puce électronique n'est pas utilisée ! 

  2. cela peut aussi être réalisé par la validation du paiement via l'application de la banque du client sur son smartphone 

  3. facilement trouvable sur Google en recherchant la liste des identifiants de banque 

  4. même si c'est difficile à croire, ma propre expérience, construite par le recueil des mésaventures de ma clientèle, me permet d'affirmer que le procédé décrit est réel : l'escroc sait qui est votre conseiller financier... Cela pose question, n'est-ce pas ? 

  5. il ne faut pas non plus tomber dans la paranoïa et décréter abruptement qu'Internet est dangereux, il y a bien autant de risques de se faire subtiliser sa carte bancaire (vol réel ou captage numéros) dans la vie courante que d'être victime d'une entourloupe sur Internet 

  6. le RFID est un protocole de communication radio qui permet de payer sans contact (et sans code secret saisi), jusqu'à 50€, en approchant la carte bancaire du terminal de paiement 

  7. en réalité, l'usage peut ne pas être unique, mais limité à un plafond ; pour simplifie l'explication, j'ai choisi de parler "d'usage unique", ce qui correspondant à la majeure partie des cas d'utilisation