Paiement en ligne, retrait d’argent, achats en magasin…Ne sortez plus votre carte bancaire!

Publié le

Cela fait fort longtemps que le mode de paiement par cartes bancaires a été adopté par chacun, même si encore beaucoup de réticents lui préfèrent le chèque ou le virement lorsqu’il s’agit de payer ses achats en ligne. Simple, rapide, peu contraignant bien que payant, ce service a été depuis fort longtemps la cible des malfaiteurs, escrocs, aigrefins et gigolos de tous poils puisque ce bout de plastique constitue la clé du compte en banque de ses utilisateurs. Autant dire que si ce mode de paiement est ultra sécurisé, il est aussi très souvent compromis et attire à la fois les pickpockets et les pirates informatiques.

Les milles et une manières de s’emparer d’une carte bancaire

Vous vous rappelez peut-être de l’époque des sabots pour cartes bancaires, qui délivraient une copie carbone du reçu de transaction? Pour les plus jeunes qui n’ont pas connu ce système, cet appareil mécanique prenait une empreinte de la carte de crédit (alors sans puce électronique) et permettait de valider un paiement. Autant dire que c’était aussi l’époque du n’importe quoi en matière de sécurité, puisqu’il était impossible de détecter les fraudes en amont.

Aujourd’hui, tout a changé, ou presque. Il est extrêmement compliqué d’utiliser une carte volée chez un commerçant (à cause du code), mais il est extrêmement simple de vider un compte en utilisant les services en ligne non sécurisés. Mais comment se fait-on dérober les informations bancaires, codes et autres sans en avoir conscience? Les méthodes sont nombreuses, plus ou moins élaborées, et parfois requièrent d’avoir de bons sens…et du bon sens:

Vol physique

C’est encore le moyen le plus rapide pour perdre son mode de paiement: Le voleur a donc entre les mains un précieux sésame qu’il peut s’empresser d’utiliser pour effectuer des achats en ligne (ou retirer de l’argent si vous laissez le code dans votre pochette). Cependant, cela n’arrivera pas forcément, puisque l’argent liquide est beaucoup plus intéressant car plus discret: En passant une commande en ligne, le voleur va donner des identifiants au commerçant, identifiants que la gendarmerie peut récupérer sur demande et qui peuvent lui permettre de remonter une piste criminelle. De plus, les transactions peuvent être bloquées si la victime fait opposition rapidement, les ecommerçants doivent en effet parfois valider chaque transaction et reçoivent des alertes en cas de problèmes.

Distributeurs automatiques

Outre les méthodes traditionnelles de vol au distributeur, de sérieux pirates utilisent des moyens dignes des films d’espionnage pour soutirer les informations des cartes bancaires, ainsi que les codes. Ainsi, notamment en Europe de l’Est où ils sont les plus répandus, on peut trouver des “skimmers”, des appareils conçus pour s’intégrer de manière invisible sur les DAB et espionner les victimes qui retirent des billets. Ces appareils prennent la forme de sabots, de claviers, de cameras discrètes, qui viennent se superposer aux périphériques déjà existants de la machine. Et ceci n’est pas un hoax! D’ailleurs le célèbre spécialiste en sécurité Brian Krebs en a fait sa marotte puisqu’il a même dédié une partie de son site aux différentes sortes de skimmers.

Caisses automatiques

Un peu sur le même modèle que les DAB, des skimmers peuvent être installés sur des automates de paiement: Pompes à essence, caisses automatiques de supermarché, distributeurs de produits…Tout est bon à prendre. C’est d’ailleurs une affaire de la sorte qui a impacté la chaine de magasins américains Home Depot qui a subi une attaque de malwares installés sur les caisses (Baptisé FrameworkPOS, il a été analysé par GData).

Paiement en ligne

On aurait pu croire l’inverse, mais finalement le paiement en ligne constitue le maillon fort en matière de sécurité bancaire. En effet, les transactions sont le plus souvent sécurisées et les systèmes mis en place (3D Secure, entre autre), sont efficaces et protègent l’utilisateur en cas de pépins. Il faut plutôt regarder du côté des malwares installés sur les machines, du genre des keyloggers ou des voleurs de données, qui visent plus particulièrement les transactions bancaires. Ces exactions ont amené les éditeurs de logiciels à sortir des programmes de sécurisation, souvent intégrés dans des antivirus. Malheureusement, ces programmes ne peuvent rien quand les sites se font pirater et dérober des millions de données bancaires. Cependant, ces données ne sont disponibles que si le site en question enregistre les données de carte bancaire pour utilisation ultérieure (comme c’est le cas chez Amazon, Steam, Paypal…) et si elles ne sont pas cryptées, une pratique rituelle maintenant.

Ingéniérie sociale et hameçonnage

Vous en avez peut-être déjà reçu, les mails de phishing ont souvent comme but de récolter des informations personnelles et très souvent des numéros de carte bancaire. Les sites singés par les pirates affichent le plus souvent des champs à renseigner, prétextant une perte de données, la sécurisation d’un compte ou la vérification de l’identité. Cette méthode permet à chaque fois de récupérer des centaines d’informations, qui serviront à alimenter les bases qui circulent sur le marché noir. Ces bases sont vendues par pack et bien souvent les “carders”, ces personnes qui vivent de l’extorsion et l’exploitation des cartes bancaires volées, arrivent à se constituer un bon magot et vivre de cette activité.

Crédit Mutuel mon c…oeil!

Les moyens de se protéger

Si ce n’est pas déjà fait, vous devez consulter les conditions d’utilisation de votre carte, les assurances contractées et la politique de votre établissement bancaire vis à vis de l’utilisation frauduleuse de votre carte. En effet, certaines banques demandent la copie du dépôt de plainte que vous aurez effectué à la gendarmerie ou à la police, mais ces derniers rechignent à le faire face à la recrudescence des effractions si cela concerne les fraudes en ligne. En revanche, en cas de vol pur et simple, le fait de faire opposition immédiatement permet de se protéger et bien souvent d’être remboursé en cas d’utilisation frauduleuse.

En matière de prévention, il est des usages à adopter qui permettent de réduire drastiquement les risques.

  • Lorsque vous tapez votre code, mettez votre main au-dessus du clavier: Cela empêchera les espions de connaître votre code.
  • Il est très difficile de repérer les faux claviers. Mais il se peut que ceux-ci soient mal fixés ou laissent apparaître un jour. Dans tous les cas, évitez les DAB dans les zones excentrées, mal éclairés et isolés.
  • En magasin, il est très difficile de se prémunir contre les pirates. Evitez les automates ou préférez le règlement par espèces si vous devez les utiliser.
  • Si vous êtes un adepte du shopping en ligne, vérifiez bien que les transactions sont sécurisées (la page de paiement en https est déjà un bon indicateur) et si besoin utilisez un logiciel de protection tiers, un clavier virtuel ou des cartes temporaires. Une des méthodes les plus courantes est la carte porte-monnaie, une carte limitée qui n’est pas reliée à votre compte en banque. D’autres préfèrent les e-carte bleues, ces cartes à usage unique disponibles auprès de votre banque.
  • Ne cliquez pas sur les liens provenant de mails vous demandant de mettre à jour vos données personnelles si vous avez des doutes et d’autant plus si l’on vous demande de renseigner vos numéros de carte bancaire. Un bon antivirus muni d’un filtre anti-phishing vous évitera bien des tracas.
  • Enfin, évitez tant que possible le paiement sans contact si vous avez des doutes sur l’endroit où vous vous trouvez: En effet, il est très facile de contourner les protections du NFC et de transformer un simple smartphone en caisse enregistreuse.

Et en attendant que de nouvelles solutions de paiement (comme Square)

A lire également:

Un malware qui vide les guichets automatique

Arnaque au terminal de paiement

Le blog de Brian Krebs

Les conseils d’Axa sur le piratage de la carte bancaire

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Autres articles sur le même sujet