Comment font les pirates pour payer avec ma carte bancaire sur Internet ?

Vous avez constaté sur votre relevé bancaire un paiement que vous n’avez jamais réalisé ? Quelqu’un a utilisé vos numéros de carte pour payer sur un site Internet à votre insu ?! On vous explique comment c’est possible.

Tout d’abord, avant de rentrer dans les détails, vous devez savoir que sur les réseaux parallèles d’Internet (le “Darknet”)…

Les numéros de cartes bancaires volés s’échangent, se vendent et s’achètent facilement

Comme vous achèteriez une paire de chaussures sur Amazon, en quelques clics, un fraudeur peut obtenir toutes les informations d’une carte bancaire volée : numéros, date d’expiration, CVV, nom du titulaire, pays de la banque. Le fraudeur peut même parfois obtenir votre date de naissance, votre numéro de téléphone et le montant disponible sur votre compte bancaire.

Le prix auquel le fraudeur achète une carte volée dépend de la qualité des informations vendues. Nous nous sommes rendus sur l’un de ces sites du Darknet. Nous avions la possibilité d’acheter…

  • Pour 75 € : les numéros d’une carte bancaire française, avec la date de naissance de son propriétaire et 1 700 € estimés sur le compte qui lui est rattaché.
  • Pour 10 € : les numéros d’une carte d’une banque européenne, avec près de 450 € estimés sur le compte qui lui est rattaché.
La preuve, en vidéo. On l’a fait.

Comment mes numéros de carte ont-ils été piratés ? 💳

On pense trop souvent à des voleurs très organisés, à des mafias étrangères, à des hackers experts en informatique qui pirateraient des sites Internet populaires, mais la réalité est souvent beaucoup plus banale. Les vols de numéros de carte se produisent le plus souvent…

Dans la vie de tous les jours

  • Dans les magasins, au restaurant ou au téléphone (assurances, hôtels, locations) : autant de moments où vos numéros de carte sont exposés à des tiers. Et la plupart du temps, c’est dans ces petits achats du quotidien que tout commence.
    Un caissier indélicat, votre carte bancaire à la main, se tourne vers son terminal de paiement. Puis il saisit discrètement son smartphone et en profite pour faire rapidement une photo de votre carte.
  • Lorsque vous communiquez vos numéros de carte à un opérateur au téléphone, l’employé peut noter les informations sur un bout de papier qu’il emportera chez lui. C’est plus rare car beaucoup plus encadré.
    Dans ces deux cas, le voleur pourra revendre vos numéros de carte sur le Darknet pour 5 € à 100 €.
  • Au distributeur ou à la station essence, des fraudeurs, plus téméraires, insèrent un dispositif dans les machines automatiques. Au moment où vous insérez votre carte, le faux lecteur, appelé “skimmer”, lit sa bande magnétique et copie ses informations. Là encore, vous n’avez rien vu.
  • Chez soi. C’est sans doute la plus désagréable des sources de vol de numéros de carte, mais c’est un cas courant : un proche, un employé de maison ou un visiteur ouvre votre portefeuille et note vos numéros de carte.

Sur Internet

La technique d’hameçonnage, communément appelée “phishing”est la méthode la plus répandue. Un faux e-mail des Impôts, de l’Assurance Maladie ou d’EDF vous informe que vous avez droit à un remboursement. Vous y croyez et vous ne faites pas attention à l’adresse e-mail de l’expéditeur : vous cliquez sur le lien et vous entrez vos numéros de carte pour recevoir votre dû. Sans le savoir, vous venez de transmettre vos numéros de carte à un pirate. Vous ne recevrez bien sûr jamais d’argent. Par contre, lui, vous en prendra.

Toutes les techniques de phishing ne sont pas aussi grossières. Certains vont jusqu’à créer une activité avec un vrai site e-commerce qui livre la marchandise, mais celui-ci ne sert en réalité que de façade pour collecter des numéros de cartes bancaires. Et vous aurez du mal à identifier le site responsable si vous payez régulièrement sur des sites Internet.

Le piratage de sites marchands mal sécurisés est l’autre célèbre méthode de vol de numéros de carte bancaire sur Internet. Car même si c’est interdit, certains sites de vente en ligne sauvegardent les numéros de carte de leurs clients dans leurs bases de données. Des pirates peuvent alors s’y introduire afin de récupérer ces numéros. Lorsque de célèbres enseignes sont concernées, celles-ci préviennent leurs clients. Mais le temps qu’elles s’en rendent compte, il est trop tard. Le mal est déjà fait. Et lorsque ce sont de plus petits sites e-commerce qui sont concernés, vous ne serez bien souvent pas prévenu. Eux-mêmes ne s’en apercevront peut-être jamais.

Quelle que soit la technique de vol utilisée, l’objectif du voleur bien organisé est le plus souvent de revendre vos numéros de carte à un autre fraudeur qui l’utilisera pour payer en ligne
Car il sera alors impossible de remonter jusqu’à lui. Il pourra continuer à voler des numéros de carte sans risquer de se faire prendre.

Pour les vendre à un bon prix, il va tenter de collecter des informations sur vous, en plus des numéros de la carte. Comme votre nom, votre adresse postale, votre numéro de téléphone, mais aussi votre solvabilité.
Il va aller jusqu’à tester la carte en faisant des petits achats ou des autorisations qui ne seront pas visibles sur le relevé de compte (à part pour les porteurs de cartes qui notifient instantanément de chaque tentative). Il pourra ainsi apporter la preuve à l’acheteur que la carte fonctionne, sans que vous sachiez qu’une fraude est en cours.
Il peut donc s’écouler un laps de temps important entre le vol et l’usage frauduleux de vos numéros de carte.

Comment le pirate utilise-t-il mes numéros de carte ? 💸

Une fois vos numéros de carte revendus à un fraudeur, ce dernier l’utilise pour effectuer des achats :

  • En saisissant vos numéros de carte dans un formulaire de paiement sur Internet. Le fraudeur effectuera des achats à l’envie en variant les montants et les sites de vente en ligne, pour ne pas être repéré par les commerçants. Plutôt qu’effectuer un paiement conséquent d’un seul coup, un fraudeur expérimenté préférera réaliser des achats plus standards sur plusieurs sites, pour ne pas éveiller les soupçons.
  • En se servant de vos numéros de carte pour alimenter un portefeuille virtuel. Le fraudeur utilisera ces relais pour payer comme bon lui semble sur Internet, pour effectuer des paiements mobiles en sans contact en magasin, ou pour virer votre argent vers son compte bancaire. Il pourra également envoyer de l’argent à l’étranger (avec Western Union, par exemple).

Les fraudeurs multiplient ces transactions jusqu’à épuisement de votre compte, jusqu’à atteindre le plafond de la carte, ou jusqu’à ce que vous y fassiez opposition.

Pourquoi est-ce si facile pour un pirate ? 💻

Parce que chacun des maillons de la chaîne a ses propres failles :

  • Les sites de vente en ligne ne sécurisent pas toujours l’étape du paiement (avec des procédures comme le 3DSecure, qui consiste à envoyer un code par SMS au porteur de la carte afin de s’assurer que c’est bien lui qui effectue l’achat sur Internet). Ils craignent, à juste titre, de perdre des clients en imposant trop d’étapes d’authentification au moment de l’achat.
  • Les banques n’envoient pas toujours ce code d’authentification par SMS pour sécuriser un achat Internet lorsque le site le demande. Certaines banques demandent parfois seulement la date de naissance du porteur. Une information qui est disponible publiquement et facilement accessible pour un pirate.
    Aussi, les banques n’affichent les paiements effectués par carte sur le relevé bancaire de leurs clients que 48h après qu’ils aient eu lieu.
  • Nous, titulaires de cartes, ne demandons pas à notre banque d’imposer systématiquement une “double authentification” (3DSecure) pour chaque achat en ligne effectué avec notre carte bancaire. Et nous ne faisons pas assez attention à qui peut avoir accès aux numéros inscrits sur notre carte.