Fraude à la carte bancaire : méthodes, conseils et réflexes à adopter pour se protéger

Publié le

La fraude à la carte bancaire est une pratique illégale très fréquente qui se matérialise en France par des centaines de millions d’euros en transactions. Chaque année, l’Observatoire de la sécurité des moyens de paiement publie un rapport qui traite de ce type de fraudes sur le territoire. Dans son dernier rapport publié en juillet 2019, il estime que le montant de fraude à la carte bancaire sur des transactions traitées en France s’élevait à 439 millions d’euros (année 2018). Chacun d’entre nous est une victime potentielle, et quoi qu’on en dise, cela peut arriver à tout le monde, même aux plus précautionneux d’entre nous. Dans cet article, nous détallerons les méthodes utilisées par les personnes derrière ces fraudes pour vous aider à mieux les comprendre et à vous protéger.

Le sommaire

  1. Comment pirater une carte bancaire ?
    1. Le phishing ou hameçonnage
    2. Le skimming
    3. Le vol ou la perte
    4. Le piratage sans contact
    5. Autres méthodes
      1. La récupération d’un compte utilisateur sur une boutique en ligne
      2. Le piratage d’une base de données
      3. Le piratage d’un appareil personnel
  2. Quels sont les logiciels et matériels utilisés pour pirater des cartes ?
    1. Acheter des coordonnées bancaires sur le Dark web
    2. Les types de malware privilégiés
      1. Les malware qui exploitent les backdoors
      2. Les keyloggers
      3. Les web skimmers
  3. 8 réflexes à adopter pour se protéger contre la fraude à la carte
    1. Ranger sa carte bancaire en lieu sûr
    2. Ne jamais communiquer son code confidentiel
    3. Masquer le cryptogramme de sa carte bancaire
    4. Privilégier les sites web sécurisés
    5. Ne pas enregistrer sa carte bancaire sur les sites
    6. Utiliser une carte virtuelle ou une carte prépayée
    7. Surveiller régulièrement son compte
    8. Ne pas cliquer sur les liens reçus par mail ou SMS
  4. Ma carte bancaire a été piratée, que faire ?
    1. Contacter sa banque et faire opposition
    2. Suis-je obligé de déposer une plainte pour obtenir mon remboursement ?
  5. Un dernier conseil

Comment pirate-t-on une carte bancaire ?

Contrairement aux idées reçues, le piratage de carte bancaire est à la portée de tous. Hélas, il existe bon nombre de techniques plus ou moins sophistiquées permettant à n’importe qui de récupérer les données de votre carte et de les utiliser à mauvais escient. Voici un éventail des méthodes appliquées pour la fraude bancaire :

Le phishing ou hameçonnage

L’hameçonnage est une technique de piratage très fréquemment utilisée sur la toile. Elle ne concerne pas uniquement les coordonnées bancaires et peut, dans certains cas, permettre au cybercriminel de récupérer une liste conséquente de données personnelles plus ou moins sensibles.

Le cybercriminel se fait passer pour une institution ou une entreprise en utilisant un site trompeur qui incite la victime à saisir des informations personnelles telles que son nom, son adresse e-mail, son adresse civile ou encore ses informations bancaires.

Lorsque la victime remplit ses données à travers un formulaire en ligne malveillant, elles sont ensuite transférées vers la machine du pirate (un serveur ou un ordinateur à distance), qui peut alors les utiliser pour faire des achats en ligne.

Dans certains cas, l’illusion semble parfaite, comme le montre cette récente campagne d’hameçonnage utilisant une pageimitant à la perfection le site des impôts.

A lire aussi : Comment se protéger contre le phishing ?

Le skimming

Le skimming est une pratique qui consiste à cloner les données bancaires stockées sur la bande magnétique de la carte bancaire.

Cette technique est généralement utilisée dans des commerces de proximité, dans les stations-service ou dans des distributeurs de billets.

Les voleurs utilisent plusieurs dispositifs électroniques pour parvenir à leurs fins. Le plus souvent, il s’agit de lecteurs de cartes ou de claviers numériques trafiqués qu’ils fixent directement sur le terminal de paiement ou sur le distributeur de billets.


Pour obtenir le code secret à 4 chiffres de la carte bancaire, les voleurs ne se contentent pas du clavier contrefait. Ils utilisent parfois des caméras discrètes filmant les mains des victimes lorsqu’elles saisissent leur code.

Le vol ou la perte de la carte

Crédits : Visa

Le vol ou la perte de sa carte peut conduire à une utilisation frauduleuse. Le voleur pourra utiliser la carte en ligne sur certains sites sans forcément éveiller les soupçons de l’utilisateur.

Il arrive également que le voleur parvienne à obtenir le code de la victime, sous la menace ou tout simplement en l’ayant observé le saisir dans une boutique ou dans un distributeur de banque.

Le piratage sans contact

C’est l’une des techniques les plus récentes dérivée du skimming.

Elle se caractérise par la duplication des données contenues dans la carte à l’aide d’un appareil sans-fil similaire aux terminaux de paiement des commerçants.

Le pirate a besoin d’être suffisamment proche de la victime pour extraire les données de sa carte.

Cette pratique est généralement utilisée dans des lieux bondés (dans les transports, lors de rassemblements, etc.).

Une autre technique proche de celle que nous venons de décrire consiste à utiliser un terminal de paiement miniature sur lequel un petit montant (généralement moins de 30 euros) est déjà inscrit. Le voleur n’aura qu’à se rapprocher de la victime avec son terminal pour la prélever de la somme indiquée.

Autres techniques pour pirater une carte bancaire :

Les voleurs peuvent également utiliser les techniques suivantes pour récupérer la carte ou les données qui y sont stockées :

La récupération d’un compte utilisateur sur une boutique en ligne

Récupérer l’accès à un compte utilisateur sur une boutique en ligne est moins compliqué qu’on ne le pense.

Si, dans ce cas de figure, l’hameçonnage sert souvent de porte d’entrée, Il existe d’autres méthodes moins complexes à mettre en pratique.

Dans votre navigateur web, vous avez probablement enregistré les identifiants et le mot de passe de votre compte Amazon ou Uber pour gagner quelques secondes à chaque connexion. Sachez qu’iI est très simple de récupérer ces données en exportant les mots de passe stockés dans votre navigateur.

Une fois les données exportées, le voleur peut pirater le compte et utiliser le moyen de paiement enregistré sur le site commerçant. Retenez que toute personne malintentionnée ayant accès à votre smartphone ou à votre PC peut facilement récupérer ces données personnelles via votre navigateur.

Le piratage d’une base de données

Cette technique consiste à récupérer les bases de données de services, d’institutions et de sites web pour alimenter de véritables banques de données illégales.

Des coordonnées bancaires (données de carte ou IBAN) sont parfois siphonnées en appliquant cette méthode.

Cette méthode est plus complexe que les précédentes car elle implique d’avoir des connaissances solides en la matière. Le piratage se caractérise ici par l’exploitation de failles (données stockées en clair sur un serveur, mots de passe faibles, logiciels offrant un accès distant, utilisation de malware, etc.).

Le piratage d’un appareil personnel

ordinateur sombre

Votre PC ou smartphone est une véritable mine d’or pour un hacker.

En manipulant l’appareil, il peut exploiter toutes les informations personnelles stockées afin d’accéder aux différents comptes de la victime, qu’il s’agisse de boutiques en ligne, de services de livraison ou autre.

En effet, certains utilisateurs stockent de façon non sécurisée des informations très sensibles pensant qu’il est plus fiable de les sauvegarder en local (PC, smartphone, disque dur) qu’en ligne.

Il peut s’agir de mots de passe d’espaces client ou de numéros de cartes. Vous l’aurez compris, un PC ou une smartphone volé est du pain bénit pour une personne malintentionnée. Précisons que l’accès physique à l’appareil n’est pas forcément requis.

Si vous nous lisez régulièrement, vous n’êtes pas sans savoir que des applications mobiles téléchargeables sur Google Play sont en réalité développées ou compromises par des hackers pour récupérer des données personnelles à l’insu des utilisateurs. Il en est de même pour des logiciels PC ou MacOS.

Quels logiciels et matériels utilisent les hackers pour pirater des cartes ?

Pour accomplir leurs méfaits, les hackers s’approvisionnent sur des plateformes enfouies dans les méandres du Dark web. En règle générale, il s’agit de markets et de forums où s’échangent des tutoriels et des kits de skimming, des bases de données, des coordonnées bancaires etc. Le plus effrayant dans tout cela, c’est que dans la plupart des cas, il n’est pas nécessaire d’avoir des compétences techniques pour pratiquer la fraude bancaire.

Acheter des coordonnées bancaires sur le Dark Web

Page d’un market illégal

Sur les markets, les coordonnées de cartes bancaires s’échangent allègrement à des prix dérisoires. Les prix varient en fonction des types de cartes et des sommes disponibles sur le compte de la victime. Pour une dizaine d’euros, n’importe qui (ou presque) peut obtenir les codes d’une carte bancaire chargée de milliers d’euros.

Pour les cybercriminels les moins expérimentés, le skimming semble moins intéressant à cause des coûts prohibitifs du matériel et de la mise en place compliquée. Les appareils sont vendus parfois à plusieurs centaines d’euros.

Mettre en place une telle arnaque implique de trouver les dispositifs compatibles (claviers, lecteurs de cartes) avec le distributeurs de billets de la banque, et ce n’est pas chose aisée.

Des tutoriels sont généralement vendus avec ces kits, mais les voleurs se rueront plutôt vers les appareils nomades et sans fil qui sont d’ailleurs moins chers.

Les types de malware privilégiés

Dans ce milieu, les technologies et outils évoluent très rapidement. Les banques, institutions et entreprises adoptent des nouveaux standards de sécurité plus robustes qui contraignent les hackers à chercher des solutions alternatives. Oui, les logiciels pour pirater les cartes bancaires existent, mais ces derniers ne sont pas forcément ceux que l’on pense. Il ne s’agit pas de simples outils permettant d’obtenir des codes de cartes bancaires. Voici un petit éventail des logiciels utilisés :

Les malware qui exploitent les backdoors

Comme nous le disions plus haut, les protocoles de sécurité utilisés par les banques, les entreprises et autres organisations, se sont considérablement renforcés ces dernières années.

Cependant, les cybercriminels ont toujours un train d’avance. Certains n’hésitent pas à se connecter directement au réseau informatique interne des banques à travers des backdoors (porte dérobées).

Une fois sur le réseau, ils déploient un logiciel malveillant quasiment intraçable. Ce malware donne un accès complet aux distributeurs de billets. Ce type de malware est polyvalent car il est également en mesure de récupérer les informations confidentielles des cartes bancaires insérées dans les machines.

Ensuite, les données ponctionnées se retrouvent sur les markets du Dark web. Les logiciels de piratage de carte bancaire fonctionnels ne se trouvent que très rarement sur les markets dits traditionnels.

Généralement, ils sont distribués aux enchères dans des kits sur d’autres plateformes telles que des forums.

Ces attaques sont moins usitées que celles évoquées plus haut, car elles requièrent des compétences techniques très avancées.

Les hackers exploitent aussi les backdoors laissées sur des sites e-commerce peu sécurisés afin de récupérer des bases de données. Ces bases de données contiennent des informations confidentielles des clients ou utilisateurs de sites tels que les moyens de paiement enregistrés. La plupart du temps, les cybercriminels ciblent les nouveaux sites et services qui n’ont pas toujours le temps ou les moyens de renforcer leur sécurité.

Les keyloggers

Les keyloggers ou enregistreurs de frappes sont des logiciels que l’on retrouve très facilement sur la toile. Ce sont des outils qui enregistrent les données saisies au clavier par la victime. Une personne malintentionnée peut facilement installer un keylogger sur la machine de sa victime et récupérer à son insu les données tapées.

Souvent, il s’agit de mots de passe, mais aussi de coordonnées bancaires. Contrairement aux backdoors, les keyloggers sont très accessibles et il n’est pas toujours nécessaire de se rendre sur le Dark web pour en trouver.

Les web skimmers

Les web skimmers utilisent le même principe que les keyloggers : collecter les données saisies par la victime. Ils se présentent sous la forme de scripts informatiques dissimulés dans les formulaires des sites web (formjacking). Les données copiées sont ensuite transférées automatiquement sur un serveur géré par les pirates.

Récemment, Malwarebytes a mis en lumière une attaque de ce type ciblant le site du célèbre fabricant de contenants alimentaires Tupperware.

Les hackers ont compromis le site en modifiant les formulaires de paiement avec leur script malveillant pour dérober les données bancaires des clients.

Crédits : Malwarebytes

8 réflexes à adopter pour se protéger contre la fraude à la carte

carte de crédit bannière

Maintenant que vous connaissez les techniques pour pirater une carte bancaire, voici les réflexes à adopter pour s’en prémunir :

1. Ranger sa carte bancaire en lieu sûr

Assurez-vous de ranger votre carte dans un endroit sécurisé.

Évitez de la mettre dans une poche de manteau ou dans un pantalon.

Comme nous l’avons vu plus haut, il existe des dispositifs sans fil qui permettent d’effectuer des opérations en exploitant la fonctionnalité de paiement sans contact de la carte.

D’ailleurs, si vous n’utilisez pas du tout cette fonctionnalité, vous pouvez demander à votre banque de la désactiver. Dans certains cas, il est possible de désactiver le paiement sans contact en se rendant directement dans l’application de sa banque.

2. Ne jamais communiquer son code confidentiel

Nous vous recommandons de ne jamais donner votre code confidentiel à quiconque, ni en face à face ni à distance (message, téléphone, internet, etc.).

Lorsque vous manipulez votre carte à la station essence, dans un distributeur ou chez un commerçant, veillez à cacher le code au moment où vous le saisissez. Apprenez le code par cœur et ne le notez surtout pas sur un papier ou un document dans votre smartphone ou PC.

En cas d’oubli, vous pourrez toujours demander sa réédition à votre banque. Cette dernière est néanmoins susceptible d’appliquer des frais (voir votre contrat et la plaquette tarifaire de la banque).

3. Masquer le cryptogramme de sa carte bancaire

En Europe, en temps normal, sans le cryptogramme placé au verso de la carte, une personne malintentionnée ne peut pas réaliser d’achats en ligne. Il s’agit des trois chiffres inscrits au dos. Pour le protéger, vous pouvez apposer une petite pastille. Pour plus de sécurité, vous pouvez également demander à votre banque une carte dont le cryptogramme change plusieurs fois par heure (cryptogramme dynamique). Toutefois cette option est plus chère.

4. Privilégier les sites web sécurisés

Soyez extrêmement vigilant sur la toile. Lorsque vous faites du shopping en ligne, vérifiez que le site du commerçant est sécurisé. Pour ce faire, assurez-vous qu’un petit cadenas et la mention “https” (avec le “s” de sécurité) s’affichent dans la barre d’adresse de votre navigateur web. Si ce n’est pas le cas, ne rentrez surtout pas vos coordonnées bancaires sur le site.

5. Ne pas enregistrer sa carte bancaire sur les sites

La plupart des boutiques en ligne proposent une fonctionnalité permettant de sauvegarder ses moyens de paiement sur le site afin de faciliter les futurs achats. Nous vous déconseillons d’activer cette option. Ainsi, un tiers ne pourra pas récupérer vos informations bancaires en piratant votre compte ou la base de données de la boutique.

6. Utiliser une carte virtuelle ou une carte prépayée

Pour vos achats en ligne, nous vous conseillons d’utiliser une carte virtuelle (e-cartebleue) qui générera automatiquement des numéros de cartes virtuelles pour chaque paiement. Ce service est proposé dans la plupart des banques françaises, mais il est payant. A noter que des néobanques comme Revolut permettent de générer des cartes virtuelles gratuitement.

Vous pouvez aussi utiliser une carte bancaire prépayée. Elles peuvent être rechargées directement chez le buralistes ou par téléphone. Attention, des frais supplémentaires, peuvent survenir, notamment pour les retraits.

7. Surveiller régulièrement son compte

Souvent, les voleurs réalisent des petits opérations qui passent inaperçues (commandes Uber, livraison de repas, jeux en ligne, etc.). Consultez vos comptes au moins une fois par semaine et recherchez les éventuelles anomalies.

8. Ne pas cliquer sur les liens reçus par mail ou SMS

L’hameçonnage débute souvent par un lien reçu dans sa boîte mail.

Les campagnes de phishing sont monnaie courante et il convient de ne pas cliquer sur les liens ou les boutons affichés dans des courriels.

Les cyberattaques sont le plus souvent enclenchées par le téléchargement d’un logiciel malveillant ou une redirection vers un site frauduleux.

Si vous devez impérativement cliquer sur un lien pour valider une inscription à un service ou pour récupérer un fichier professionnel, vérifiez qu’il s’agit du bon expéditeur. L’autre conseil que nous pouvons vous donner est d’analyser le texte du courriel.

Généralement, les textes de phishing contiennent des fautes d’orthographes et des tournures de phrases maladroites qui doivent vous mettre la puce à l’oreille. Si vous remarquez ce genre d’éléments, NE CLIQUEZ PAS.

Cet article peut vous intéresser : De faux sites “impôts.gouv” volent vos informations bancaires

Ma carte bancaire a été piratée, que faire ?

Si malgré toutes les recommandations listées vous avez été victime d’une fraude à la carte bancaire voici les dispositions à prendre.

Contactez votre banque et faites opposition

Informez IMMEDIATEMENT votre banque en cas de vol, de perte ou si vous remarquez une anomalie (paiement non réalisé par vous par exemple).

Le plus simple est de contacter votre banque par son numéro direct. Il se trouve dans l’application mobile de la banque, mais aussi, sur votre contrat, vos relevés ou encore vos tickets de retrait. Certaines applications bancaires permettent de bloquer directement l’usage de la carte concernée.

Faites opposition en appelant le numéro spécial du serveur interbancaire 0892 705 705 (0,34 € la minute – ouvert 7j/7 et 24h/24). Vous devrez communiquer vos noms et prénoms ainsi que le numéro à 16 chiffres affichés sur la carte et sa date d’expiration.

Suis-je obligé de déposer une plainte pour obtenir mon remboursement ?

Selon l’article L132-4 du Code Monétaire et financier, en cas de fraude avérée (détournement ou vol de la carte), votre responsabilité n’est pas engagée. Votre banque doit vous rembourser. Il n’est pas nécessaire d’avoir souscrit à une quelconque assurance et il n’est pas obligatoire de porter plainte pour obtenir son remboursement.

Néanmoins, sachez que l’établissement bancaire peut refuser de vous rembourser s’il parvient à prouver que vous avez été trop négligent ou que vous êtes à l’origine des paiements frauduleux. Dans le pire des cas, la banque peut aussi déposer plainte contre vous pour déclaration mensongère. Si aucune solution n’est trouvée et que le litige persiste, vous pouvez faire appel à un médiateur en ligne ou par courrier.

Télécharger modèle de lettre – saisine médiateur bancaire

Sachez que le service public a mis en ligne une plateforme qui permet aux victimes de signaler les fraudes qu’elles ont subies. Il s’agit de Perceval. Pour se connecter à la plateforme, il suffit d’utiliser le service FranceConnect.

Après le signalement Perceval, la victime reçoit un récépissé qui facilite ses éventuelles démarches auprès de sa banque, notamment en cas de litige. Le signalement de fraude en ligne permet aux enquêteurs de mutualiser les données recueillies et de faciliter la résolution des différentes affaires du même type.

Un dernier conseil

Dans cet article, nous avons détaillé les méthodes utilisées par les hackers pour la fraude à la carte bancaire. La moindre faille peut être exploitée, qu’elle se trouve chez la banque, chez la victime ou sur les sites qu’elle utilise au quotidien. Les différents exemples qui illustrent les cas décrits ne correspondent pas nécessairement à votre situation personnelle.

Pour conclure, nous vous recommandons une dernière fois la plus grande vigilance sur la toile. Si vous jugez certains conseils compliqués à mettre en œuvre au quotidien, sachez qu’il existe des logiciels et application qui feront le travail à votre place.

Sur internet, utilisez un navigateur sécurisé pour vos achats. Ce dernier vous avertira si vous êtes sur le point d’afficher une page trompeuse ou compromise. Une suite antivirus peut aussi vous être utile pour vous protéger contre les mails frauduleux, les liens malveillants, les keyloggers et autres malware.

Sources :

Youtube Kaspersky : ATM Infector: Skimer malware in action

Legifrance : Code monétaire et financier

Malwarebytes : Criminals hack Tupperware website with credit card skimmer

Observatoire de la sécurité des moyens de paiement : Rapports d’activité de l’OSMP

Service-public : Perceval

VISA : Identifying, Preventing, and Mitigating Skimming Attacks

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet