C’est quoi le skimming ?

Le skimming est une activité frauduleuse qui consiste à pirater des cartes bancaires, notamment depuis les distributeurs de billets (DAB). Elles sont dupliquées et utilisées à l’étranger, au détriment de leurs propriétaires, et de leurs comptes bancaires. Focus sur une pratique malveillante qui a débarqué en France en 2008.

Le skimming est certes une activité de détente sur les plages, mais c’est aussi une pratique frauduleuse basée sur le piratage et le clonage de cartes bancaires. En vigueur en France depuis 2008, le skimming s’exerce surtout à partir des distributeurs de billets (DAB), trafiqués pour l’occasion, mais également depuis des stations essence automatisées, des commerçants, ou même sur Internet.

Comment fonctionne le skimming à partir des DAB ?

Pour pirater et cloner une carte bancaire, un « skimmer » a besoin de deux types d’information : les données stockées sur la carte (coordonnées bancaires) et le code personnel à 4 chiffres. Ces informations peuvent être récupérées via les distributeurs automatiques de billets, en les modifiant légèrement :

• Avec le remplacement du lecteur de carte par un dispositif pirate : la fente censée accueillir votre carte bancaire n’est plus celle du distributeur, mais celle conçue par un pirate. Elle est reliée à un téléphone, qui reçoit en temps réel les coordonnées bancaires des cartes scannées.
• Avec un dispositif de surveillance pour obtenir le code à 4 chiffres : il s’agit généralement d’une caméra pirate, cachée dans le plafonnier du distributeur. Certains skimmers utilisent également de faux claviers numériques, posés par dessus le clavier original, qui transmettent à distance les codes saisis par les utilisateurs. Cette technique, bien que plus efficace, et aussi assez coûteuse, donc moins courante.

Les pirates les plus « défavorisés » pourront aussi essayer de vous distraire lorsque vous êtes au distributeur (prétextant par exemple la signature d’une pétition), afin qu’un complice puisse subtiliser discrètement votre carte bancaire.

Etant donné le coup d’un dispositif de skimming, il n’est pas rare que les skimmers restent à proximité du distributeur qu’ils ont piraté, pour mieux surveiller leur matériel. En voici d’ailleurs un qui n’hésite pas à revenir « coller » son faux lecteur de carte lorsqu’une utilisatrice a par inadvertance arraché le dispositif pirate :

Une fois les données de la carte obtenues, les skimmers les copient sur des cartes vierges (appelées White Cards). Ces clones de cartes bancaires sont en suite envoyées et vendues dans des pays étrangers (ex : USA), dans lesquels les paiements par carte ne sollicitent que la bande magnétique, et non la puce électronique, plus sécurisée.

Les propriétaires des cartes clonées remarquent alors des paiements inhabituels sur leurs relevés de compte, effectués depuis des pays étrangers où ils ne se sont jamais rendus. Dans ce cas, ils doivent entamer une procédure de remboursement auprès de leur établissement bancaire.

Un exemple français

En 2008, en Bretagne, des pompes à carburant automatisées ont été piratées : environ 1000 automobilistes ont été victimes de cette arnaque, pour un montant total supérieur à 1,2 millions d’euros (soit plus de 1200€ par victime), retirés depuis des distributeurs en Afrique du Sud. Les cartes usurpées auraient permis de fabriquer plus de 3000 copies.

La plainte des victimes à permis à Europol, les services français et les autorités bulgares de mener conjointement une enquête, ayant conduit à l’arrestation de pirates bulgares, jugés depuis par la cour suprême de leur pays.

Comment se protéger du skimming ?

Pour se protéger contre le skimming, voici quelques conseils pratiques :

• Systématiquement cacher la saisie de son code secret, que ce soit sur un distributeur ou dans un magasin : des caméras pirates peuvent être dissimulées n’importe où.
• Si le lecteur de carte vous paraît moins récent que le distributeur, ou que son aspect est légèrement brulé, préférez changer de machine. Et si vous n’avez aucun doute sur le fait qu’elle soit piratée, prévenez la banque concernée.
• Ignorez les personnes qui viennent vous distraire pendant vos retraits : ne saisissez aucun code devant elles, et gardez toujours un œil sur votre carte.
• Préférez utiliser les DAB en semaine : la grande majorité des pirates installe leur dispositif le samedi, le dimanche ou la veille de jours fériés, lorsque les banques sont fermées et qu’elles ne rouvriront que un ou plusieurs jours plus tard.

Enfin, méfiez vous des autres dispositifs permettant de pirater des données bancaires :

• Pompes à essence automatiques (même système de piratage que sur les DAB).
• Chez les commerçants, où certains pirates remplacent discrètement les serveurs et vendeurs pour subtiliser votre carte.
• Sur Internet, sur les sites qui proposent le paiement par carte bancaire de façon non-sécurisée : vérifiez bien que l’adresse du site commence par HTTPS (et non HTTP), notamment au moment du paiement. Par extension, n’effectuez aucun paiement en ligne depuis un ordinateur partagé (ou public), ou connecté à un hotspot Wi-Fi (où tous les autres internautes connectés peuvent capturer vos identifiants et coordonnées).

Et surtout, ne conservez jamais votre code secret écrit sur un papier, conservé dans votre sac ou pire, dans votre porte-feuille ! Sauf à vouloir devenir la mascotte des pickpockets !