Les techniques de fraudes à la carte bancaire ont beau être connues parfois depuis plusieurs années pour certaines, rien ne semble pouvoir les arrêter. La faute à quelques génies de l'informatique et de la bidouille qui parviennent à contrer toutes les mesures de sécurité mises en place par les établissements bancaires. Les cybercriminels ont souvent un coup d'avance et tirent parti de l'évolution et la miniaturisation des technologies pour parfaire leurs dispositifs de piratage.
Rien qu'en 2013, les sociétés financières américaines ont enregistré une perte annuelle de 8,7 milliards de dollars, dont une grande partie serait due au skimming (fraudes aux distributeurs automatiques de billets et terminaux de paiement). Voici un éventail des fraudes bancaires en plein essor.
Les skimmers de DAB
Le skimming (qui signifie écrémage en anglais) est une technique frauduleuse qui consiste à piéger les distributeurs automatiques de billets pour collecter les données contenues sur les bandes magnétiques des cartes bancaires, ainsi que leur code confidentiel. Pour récupérer les informations à votre insu, les malfrats utilisent un équipement appelé « skimmer ». Celui-ci se présente sous la forme d'un lecteur de carte qui se superpose à celui du distributeur au niveau de la fente pour copier les pistes, et d'une caméra intégrée au plafonnier ou directement dans le dispositif pour filmer la saisie des codes confidentiels. De faux claviers numériques placés par-dessus les originaux sont parfois utilisés à la place des caméras.Les informations récoltées peuvent être enregistrées sur une carte mémoire intégrée au dispositif, puis être récupérées ensuite, ou transmises à distance par MMS ou via les ondes radio sur un téléphone portable. La fabrication et la vente de ce matériel génèrent une véritable industrie notamment en Bulgarie et en Roumanie où des usines de skimmers ont pignon sur rue !
Une fois détournées, les précieuses données permettent aux fraudeurs de cloner les cartes bancaires et de les envoyer ou de les vendre dans des pays étrangers où les distributeurs et les terminaux de paiement ne requièrent pas, comme en France, la lecture d'une puce électronique (mieux sécurisée), mais uniquement celle de la bande magnétique. De nombreux pays, dont les États-Unis, ne disposent pas de cartes à puce électronique. Les victimes ne se rendent souvent compte de rien jusqu'au jour où elles reçoivent leur relevé de compte bancaire sur lequel apparaissent divers paiements ou retraits effectués à l'étranger.
Distributeurs sous contrôle des hackers Ce matériel haut de gamme n'est pas le seul moyen de s'attaquer aux DAB. En 2013, des hackers apparemment très doués avaient réussi à pirater plusieurs distributeurs automatiques de billets à l'aide de clés USB. Pour cela, ils avaient percé discrètement les machines de façon à pouvoir y brancher des périphériques et y installer un code malveillant (malware). Après avoir rebouché discrètement les trous, ils n'avaient plus qu'à taper un code pour accéder à une interface spécifique et vider les DAB de leur contenu. Cette affaire n'a pas été dévoilée par la banque en question restée anonyme, mais par des experts en sécurité à l'occasion d'une conférence visant à montrer ce mode de piratage de haute volée.
Stations-services et boutiques sous « haute » surveillance !
Le skimming ne concerne plus uniquement les distributeurs automatiques de billets des banques, mais aussi et de plus en plus souvent les stations-services. Plusieurs cas de fraudes à la carte bancaire ont été révélés ces dernières années dans des stations en France. Comme sur les DAB, les fraudeurs installent les dispositifs sur les automates des distributeurs à essence afin de copier et reproduire les cartes bancaires des clients. L'un des cas les plus graves était survenu dans une station essence en Bretagne où les fraudeurs avaient piégé plusieurs automates simultanément, ce qui leur avait permis de copier plus de 1000 cartes et subtiliser 1,2 millions d'euros au total.
Une nouvelle forme d'attaque en vogue concerne les terminaux de paiement des points de vente (restaurants, boutiques, grandes surfaces...). Le principe est simple : les criminels s'arrangent pour remplacer le TPE (Terminal de Paiement Electronique) par un modèle identique piraté par leur soin, ou le subtilisent le temps de leur ajouter les composants nécessaires pour pouvoir lire et récupérer à distance les données des cartes bancaires des clients. Une méthode très difficile à détecter qui fait des ravages en France depuis quelque temps.
Paiements sans contact et sans sécurité ?
La majorité des cartes bancaires émises depuis 2012 intègrent une puce NFC (Near Field Communication ou Communication en Champ Proche en français). Cette technologie utilisée de longue date pour les cartes de transports permet entre autres d'effectuer des paiements sans contact en approchant la carte bancaire, ou le terminal mobile, près d'une borne d'encaissement. Aussi incroyable que cela puisse paraître, les sociétés qui éditent les cartes à l'échelle mondiale - Visa, Mastercard, etc. - ont implémenté cette technologie de communication sans aucun protocole de cryptage.
La nouvelle génération de cartes bancaires Visa et Mastercard imposée aux clients intègre quasi-systématiquement la technologie NFC. Signalée par un petit logo en forme d'ondes radar, elle permet d'effectuer des paiements d'un montant maximum de 20 euros sans avoir à saisir le code confidentiel...
Avant que des experts en sécurité ne dénoncent cette aberration et que la CNIL (Commission Nationale de l'Informatique et des Libertés) ne décide de mener une enquête, il était possible de « sniffer » l'intégralité des données des cartes bancaires NFC (nom, prénom, numéro, date de validité, historique des opérations...) à l'insu de leur propriétaire à l'aide d'un lecteur NFC ou d'une application mobile. Deux ans plus tard, les choses n'ont pas beaucoup changé, mais la CNIL a tout de même obtenu des banques qu'elles retirent certaines informations sensibles comme le nom et le prénom des titulaires. Pas de quoi rassurer les foules, d'autant que les premiers terminaux d'encaissement NFC commencent peu à peu à être déployés dans les commerces (environ 17 % des commerces en France en sont équipés à l'heure actuelle).
Avec l'application Android « EMV NFC pay card reader », il est possible, sans aucune connaissance technique, de lire le contenu d'une carte bancaire NFC. Une fois installée sur un smartphone NFC, celle-ci permet de collecter des informations aussi sensibles que le numéro, la date d'expiration, ou encore l'historique des opérations. Il faut toutefois tapoter la carte sur le dos du smartphone pour que cela fonctionne. Un matériel plus sophistiqué est nécessaire pour pouvoir véritablement hacker une carte bancaire à distance dans un rayon d'environ 10 à 15 mètres.Comment éviter les pièges ?
Les nouvelles générations de DAB anti-skimming déployées progressivement par les établissements bancaires sur le territoire français auraient permis selon l'Observatoire de la Sécurité des Cartes de Paiement de faire baisser ce type de fraudes. La prudence reste néanmoins de mise et il est préférable par exemple de privilégier les distributeurs les plus récents et ceux situés à l'intérieur des banques. Éviter les DAB dégradés (il y en a beaucoup) et ceux isolés, bien plus faciles à piéger. Il faut savoir que les fraudeurs opèrent le plus souvent le week-end et les jours fériés lorsque les banques sont fermées et qu'ils peuvent installer et récupérer plus discrètement leur matériel.
Quel que soit le distributeur, l'automate ou le terminal de paiement, il est important de cacher systématiquement la saisie du code confidentiel qui peut être filmée par une caméra, ou pire encore, espionnée par de potentiels agresseurs se trouvant à proximité ! Le paiement mobile via les cartes bancaires NFC ou les applications pour smartphones déclenche de nombreuses polémiques, mais il est encore trop tôt pour savoir si des failles de sécurité ont été véritablement exploitées par des hackers. En attendant, il est possible de demander à sa banque de désactiver la puce NFC de sa carte bancaire, ou de la ranger dans un étui spécifique en aluminium pour l'empêcher d'émettre.
Quels sont les recours en cas de fraude ?
Selon les droits des consommateurs, les banques sont en principe dans l'obligation de rembourser les fraudes à la carte bancaire séance tenante. Dans la réalité, cela ne se passe pas aussi facilement. À mesure que les fraudes se multiplient, les établissements bancaires se montrent de plus en plus réticents à rembourser rapidement les victimes.
Celles-ci doivent évidemment signaler les transactions suspectes pour faire opposition à leur carte, déposer une main courante (exigé par certaines banques selon les sommes, mais ce n'est en principe pas obligatoire), envoyer une contestation écrite à la banque, voire payer une franchise pouvant se monter jusqu'à 150 euros, etc. Même s'ils ont tendance à trainer des pieds, les établissements bancaires finissent par rembourser la majorité de leurs clients sous un mois en moyenne.
Le point de vue d'un expert en sécurité
Auteur de plusieurs ouvrages sur la sécurité et fondateur du site zataz spécialisé dans la délinquance informatique, Damien Bancal connait tous les rouages de la cybercriminalité. Nous l'avons rencontré pour en savoir un peu plus sur les failles de sécurité des moyens de paiement, et les modes opératoires des cybercriminels.
Quel est le profil type des criminels qui piratent les distributeurs de billets ou les stations essence ?
Damien Bancal : Leur profil peut être assez varié. Dans la grande majorité, il s'agit de ressortissants des pays d'Europe de l'Est. Ils font partie de groupes suffisamment structurés pour acquérir le matériel (skimmer), cloner les cartes bancaires et avoir les contacts pour les utiliser à l'étranger. En mai dernier, deux Bulgares ont été arrêtés en Haute Marne avec, dans leur véhicule, le matériel qui leur a permis de voler au total 100 000 euros dans six banques.
Comment se procurent-ils le matériel nécessaire et quelles sont leurs compétences ?
Damien Bancal : Le matériel de skimming s'achète dans le « blackmarket », dans des forums spécialisés dans ce genre de produits. Le dernier que j'ai pu voir était commercialisé plus de 5 000 euros. Concrètement, il suffit d'avoir les contacts, le cash, et ensuite, le matériel s'achète malheureusement très facilement. Côté compétences, il suffit de savoir installer le dispositif, lire les données de la caméra miniature, et copier une bande magnétique pour cloner son contenu. C'est devenu très simple. Je prends souvent l'exemple du film Terminator 2 : John Connor pirate un distributeur de billets en 20 secondes en s'écriant « Argent facile ! » . Il y a 30 ans, c'était de la science-fiction, mais ça, c'était avant !
Les escroqueries avec des terminaux de paiement piégés dans les commerces ou les grandes surfaces sont-elles fréquentes ?
Damien Bancal : On n'en sait rien, le vrai problème est là ! Les commerçants n'en parlent pas et les banques, encore moins. J'ai pu recenser neuf cas rien que dans ma région du nord de la France. L'une des affaires les plus inquiétantes a eu lieu dans un commerce situé dans une galerie marchande de la région de Lille. Les pirates avaient réussi à voler deux lecteurs, à les modifier et les remettre en place sans que personne ne s'en rende compte. Autant dire que de nombreuses cartes bancaires ont eu le temps d'être lues, copiées et envoyées à l'étranger. Il aura fallu attendre des plaintes de clients pour qu'une enquête soit lancée. Les banques mettent en place des services de veille/sécurité de plus en plus efficaces, mais les pirates auront toujours un train d'avance.
De nombreux experts en sécurité dénoncent les vulnérabilités des systèmes de paiement sans contact NFC qu'ils soient intégrés aux cartes bancaires ou aux smartphones. Faut-il se méfier de cette technologie ? A-t-elle déjà fait des victimes à votre connaissance ?
Damien Bancal : Renaud Lifchitz, l'un des plus talentueux chercheurs en sécurité informatique a réussi à démontrer en quelques minutes la folie de la technologie NFC. Se dire qu'un protocole de communication est mis en service sans aucun système d'authentification, c'est se demander si on ne se moque pas du monde. Les données de votre carte bancaire se baladent « dans l'air » et peuvent facilement être interceptées. Le sans-fil est un problème. Il suffit de tester certaines cartes qui permettent d'accéder à des bureaux, des entreprises, etc. A ma connaissance, plusieurs personnes ont vu leurs données siphonnées via le NFC, mais je ne peux pas en dire plus. Il existe des solutions pour se protéger telles que des pochettes empêchant toutes interceptions. Le site français stop-rfid en commercialise.
Quelles sont les arnaques les plus difficiles à repérer actuellement ?
Damien Bancal : Les fraudes bancaires dites « du directeur ». Des entreprises qui se font détourner des centaines de milliers d'euros, voir des millions, rien qu'avec du social engineering (l'étude d'une cible informatique en analysant la vie pro/perso des employés et dirigeants). Les clés USB oubliées ou qui apparaissent comme par magie sur votre bureau ou dans votre voiture et qui sont piégées. Sans compter celles qui ne seront révélées que dans 6 mois, 1 an, 3 ans... C'est bien celles-ci qu'il faut craindre, car cela signifie qu'elles sont en cours d'exploitation et qu'on ne le sait pas encore.
Quels conseils donneriez-vous pour éviter les pièges ?
Damien Bancal : Cela fait 20 ans que je prône l'importance d'avoir une bonne hygiène numérique. Ma carte bancaire NFC dans ma poche est un outil qui se connecte à l'extérieur, sans même que je puisse le contrôler. Dans ce cas-là, je protège ce « mouchard » involontaire dans du papier alu ou dans une pochette spécifique. J'ai une clé USB, j'utilise un outil qui va l'empêcher d'auto exécuter un code (malveillant ou non). Je peux conseiller l'utilisation des outils gratuits comme Gdata USB Guard ou encore Phrozen Safe USB. Devant un distributeur de billets ou une pompe à essence, il est important de bien vérifier que rien ne bouge, surtout le lecteur de carte. Vous êtes un commerçant, mettez un autocollant de votre boutique sur votre terminal de paiement, de préférence à l'endroit où une vis apparait. Cela permet de s'assurer que le lecteur n'a pas été remplacé et/ou ouvert sans votre accord.
Rester en alerte
Ce tour d'horizon non exhaustif des fraudes aux moyens de paiement n'est pas vraiment rassurant. Les escrocs font certes preuve d'une ingéniosité sans limite, mais les organismes bancaires mettent-ils vraiment tout en œuvre pour protéger leurs clients ? Depuis le temps que le skimming fait des ravages, il est surprenant de trouver encore aujourd'hui en France et dans d'autres pays d'Europe des DAB sans protection anti-skimming. La vidéo surveillance systématique des distributeurs pourrait également permettre de décourager les escrocs de s'attaquer en toute impunité aux guichets.
Même constat pour les terminaux de paiement électronique dont la sécurité laisse à désirer. Avec les moyens et les technologies à disposition des organismes financiers, les TPE pourraient sans doute être mieux sécurisés et devenir par exemple inopérants lorsqu'ils sont ouverts, ou déplacés d'un commerce. En attendant, ce sont les utilisateurs qui doivent redoubler de prudence dès lors qu'ils retirent de l'argent ou effectuent un paiement. Pour se protéger, mieux vaut se tenir informé des techniques de piratage utilisées par les escrocs et rester constamment en alerte. C'est le prix à payer pour minimiser les risques et éviter de rejoindre les rangs des millions de victimes des fraudes bancaires.
Le point de vue d'un expert en sécurité
Auteur de plusieurs ouvrages sur la sécurité et fondateur du site zataz spécialisé dans la délinquance informatique, Damien Bancal connait tous les rouages de la cybercriminalité. Nous l'avons rencontré pour en savoir un peu plus sur les failles de sécurité des moyens de paiement, et les modes opératoires des cybercriminels.
Quel est le profil type des criminels qui piratent les distributeurs de billets ou les stations essence ?
Damien Bancal : Leur profil peut être assez varié. Dans la grande majorité, il s'agit de ressortissants des pays d'Europe de l'Est. Ils font partie de groupes suffisamment structurés pour acquérir le matériel (skimmer), cloner les cartes bancaires et avoir les contacts pour les utiliser à l'étranger. En mai dernier, deux Bulgares ont été arrêtés en Haute Marne avec, dans leur véhicule, le matériel qui leur a permis de voler au total 100 000 euros dans six banques.
Comment se procurent-ils le matériel nécessaire et quelles sont leurs compétences ?
Damien Bancal : Le matériel de skimming s'achète dans le « blackmarket », dans des forums spécialisés dans ce genre de produits. Le dernier que j'ai pu voir était commercialisé plus de 5 000 euros. Concrètement, il suffit d'avoir les contacts, le cash, et ensuite, le matériel s'achète malheureusement très facilement. Côté compétences, il suffit de savoir installer le dispositif, lire les données de la caméra miniature, et copier une bande magnétique pour cloner son contenu. C'est devenu très simple. Je prends souvent l'exemple du film Terminator 2 : John Connor pirate un distributeur de billets en 20 secondes en s'écriant « Argent facile ! » . Il y a 30 ans, c'était de la science-fiction, mais ça, c'était avant !
Les escroqueries avec des terminaux de paiement piégés dans les commerces ou les grandes surfaces sont-elles fréquentes ?
Damien Bancal : On n'en sait rien, le vrai problème est là ! Les commerçants n'en parlent pas et les banques, encore moins. J'ai pu recenser neuf cas rien que dans ma région du nord de la France. L'une des affaires les plus inquiétantes a eu lieu dans un commerce situé dans une galerie marchande de la région de Lille. Les pirates avaient réussi à voler deux lecteurs, à les modifier et les remettre en place sans que personne ne s'en rende compte. Autant dire que de nombreuses cartes bancaires ont eu le temps d'être lues, copiées et envoyées à l'étranger. Il aura fallu attendre des plaintes de clients pour qu'une enquête soit lancée. Les banques mettent en place des services de veille/sécurité de plus en plus efficaces, mais les pirates auront toujours un train d'avance.
De nombreux experts en sécurité dénoncent les vulnérabilités des systèmes de paiement sans contact NFC qu'ils soient intégrés aux cartes bancaires ou aux smartphones. Faut-il se méfier de cette technologie ? A-t-elle déjà fait des victimes à votre connaissance ?
Damien Bancal : Renaud Lifchitz, l'un des plus talentueux chercheurs en sécurité informatique a réussi à démontrer en quelques minutes la folie de la technologie NFC. Se dire qu'un protocole de communication est mis en service sans aucun système d'authentification, c'est se demander si on ne se moque pas du monde. Les données de votre carte bancaire se baladent « dans l'air » et peuvent facilement être interceptées. Le sans-fil est un problème. Il suffit de tester certaines cartes qui permettent d'accéder à des bureaux, des entreprises, etc. A ma connaissance, plusieurs personnes ont vu leurs données siphonnées via le NFC, mais je ne peux pas en dire plus. Il existe des solutions pour se protéger telles que des pochettes empêchant toutes interceptions. Le site français stop-rfid en commercialise.
Quelles sont les arnaques les plus difficiles à repérer actuellement ?
Damien Bancal : Les fraudes bancaires dites « du directeur ». Des entreprises qui se font détourner des centaines de milliers d'euros, voir des millions, rien qu'avec du social engineering (l'étude d'une cible informatique en analysant la vie pro/perso des employés et dirigeants). Les clés USB oubliées ou qui apparaissent comme par magie sur votre bureau ou dans votre voiture et qui sont piégées. Sans compter celles qui ne seront révélées que dans 6 mois, 1 an, 3 ans... C'est bien celles-ci qu'il faut craindre, car cela signifie qu'elles sont en cours d'exploitation et qu'on ne le sait pas encore.
Quels conseils donneriez-vous pour éviter les pièges ?
Damien Bancal : Cela fait 20 ans que je prône l'importance d'avoir une bonne hygiène numérique. Ma carte bancaire NFC dans ma poche est un outil qui se connecte à l'extérieur, sans même que je puisse le contrôler. Dans ce cas-là, je protège ce « mouchard » involontaire dans du papier alu ou dans une pochette spécifique. J'ai une clé USB, j'utilise un outil qui va l'empêcher d'auto exécuter un code (malveillant ou non). Je peux conseiller l'utilisation des outils gratuits comme Gdata USB Guard ou encore Phrozen Safe USB. Devant un distributeur de billets ou une pompe à essence, il est important de bien vérifier que rien ne bouge, surtout le lecteur de carte. Vous êtes un commerçant, mettez un autocollant de votre boutique sur votre terminal de paiement, de préférence à l'endroit où une vis apparait. Cela permet de s'assurer que le lecteur n'a pas été remplacé et/ou ouvert sans votre accord.