Piratage
Nos cartes bancaires sous le feu des attaques
Publié le : 22/10/2019
Chaque année, 10 à 15 % des acheteurs en ligne sont victimes de fraudes à la carte bancaire. Un chiffre qui augmente autant que l’ingéniosité des bandits du Net… Voici leurs techniques, et nos conseils pour s’en protéger.
Tentez l’expérience. Rendez-vous sur le site haveibeenpwned.com et renseignez votre adresse mail. Vous découvrirez tout de suite si elle a été « compromise », c’est-à-dire si elle a été enregistrée sur un ou des sites ayant fait l’objet d’une fuite de données. Si c’est le cas, leur liste s’affichera instantanément. Vous saurez aussi quels éléments détiennent désormais des pirates : votre téléphone, votre localisation géographique, l’adresse IP de votre ordinateur… « Ces informations peuvent maintenant être revendues pour vous en extorquer d’autres, au premier rang desquelles vos données bancaires », détaille Bertrand Trastour, directeur commercial de Kaspersky, une société spécialisée dans la cybersécurité.
Une fois en possession de votre adresse mail, les cybercriminels utilisent plusieurs techniques pour récupérer vos données. La première, le phishing (ou hameçonnage), est monnaie courante. Les attaques avec des logiciels espions, autre menace, se répandent via le piratage d’adresses mail. Celles-ci ont augmenté de 15,9 % entre 2017 et 2018, selon Kaspersky. Même si le vol physique des données (un individu les recopie, par exemple au moment où vous payez) reste toujours une source d’inquiétude, d’autres modes d’attaque numérique se sont développés en parallèle, tels que le piratage direct des serveurs des e-commerçants et des banques, ou les tentatives d’espionnage et de phishing ciblant les téléphones mobiles.
Des supermarchés virtuels de données volées
Bilan : en 2018, un million de vols de données bancaires ont été recensés en France. Depuis plusieurs années, celles-ci sont disponibles dans des « supermarchés » virtuels destinés à leur revente. Avec un tarif bien défini : de quelques euros pour un package simple (numéro de carte et date de validité) jusqu’à plusieurs centaines pour un dossier complet (numéro de carte, date de validité, cryptogramme, identité du titulaire, numéro de téléphone, adresse, empreinte digitale…). Plus les données sont détaillées, plus elles prennent de la valeur sur les marchés noirs (dark markets) du Web, car il sera alors plus facile d’utiliser frauduleusement les cartes. C’est d’ailleurs ce qui explique que l’on peut se faire pirater, aujourd’hui, même avec des systèmes d’authentification renforcée comme 3D Secure. Contre tous ces risques, des contre-feux sont peu à peu mis en place par les banques et les commerçants. « Nous développons des systèmes d’analyse informatique permettant aux entreprises de détecter des anomalies dans les transactions en ligne (risques de paiement frauduleux, usurpation d’identité, etc.). Au premier semestre 2019, nous avons détecté 277 millions de tentatives d’attaque contre les 6 000 sites que nous protégeons », précise ainsi Carine Cartaud, directrice France et Europe du Sud de ThreatMetrix. Malgré tout, ces dispositifs ne sont pas infaillibles ; la vigilance des particuliers reste donc indispensable.
1. Hameçonner les victimes avec du phishing
Le particulier reçoit un e-mail contrefait à en-tête d’un organisme connu. Croyant répondre à une demande en bonne et due forme, il envoie en fait ses données bancaires au pirate.
« Bonjour, nous rencontrons des difficultés avec votre facturation. Il est possible que vous deviez mettre à jour vos données de paiement. » Récemment, nombre d’abonnés Netflix, plateforme spécialisée dans la diffusion de films et de séries, ont reçu un e-mail à en-tête de l’entreprise les invitant à cliquer sur un lien pour renseigner leurs données bancaires. Or la chaîne californienne n’a pas envoyé ce courriel… Cette attaque avec du phishing est l’une des dernières recensées. La technique, ici : le pirate se fait passer pour une société ou un organisme connu (Orange, le Trésor public…) et vous envoie un message. Ce dernier s’avère alarmiste (« Votre compte va expirer », « On est en train de pirater vos données », etc.) ou, au contraire, allègue un prétendu remboursement ou gain dans le but d’obtenir de votre part vos coordonnées de carte bancaire.
Comment se protéger
Ne donnez jamais vos numéros de carte bancaire en réponse à un e-mail, quel qu’il soit. Les organismes officiels vous demanderont toujours de vous connecter par les moyens habituels (notamment en tapant l’adresse de leur site dans la barre du navigateur), et non en cliquant sur un lien du message. Sinon, vous risquez d’atterrir sur un site miroir qui récupérera frauduleusement vos données bancaires. Si vous avez été piraté, vous devez faire immédiatement opposition, le phishing constituant l’une des rares situations où les banques peuvent refuser de rembourser. En effet, si la loi les oblige à recréditer immédiatement les opérations de paiement non autorisées dès lors que celles-ci ont été signalées, il y a une exception : la négligence grave du particulier. Or, selon la Cour de cassation, répondre à un e-mail d’hameçonnage peut en être une… Encore faut-il que l’établissement bancaire en apporte la preuve, ce qui est, en pratique, loin d’être toujours le cas.
2. Envoyer un logiciel espion par e-mail
L’internaute reçoit un message frauduleux contenant une pièce jointe. En ouvrant celle-ci, il télécharge un logiciel espion qui peut dérober ses données personnelles.
Les experts en informatique le répètent à longueur de temps : si vous n’êtes pas assuré de la provenance d’un message, ne l’ouvrez pas ! Et téléchargez encore moins ses pièces jointes. Pas seulement parce qu’il peut s’agir d’un phishing. Si votre adresse mail a été piratée, vous risquez aussi d’être la cible de courriels contenant des logiciels malveillants, dits malwares : virus, vers, chevaux de Troie… Ces derniers s’installent sur l’ordinateur quand vous cliquez sur une pièce jointe, puis ils collectent des informations et les renvoient au pirate. Certains de ces programmes, appelés keyloggers, capturent par exemple des mots de passe en enregistrant les touches pressées sur le clavier. C’est ainsi que vous « livrez », sans même vous en rendre compte, les données d’un RIB que vous aviez transféré sur votre ordinateur ou les numéros de votre carte bancaire utilisée lors d’un paiement en ligne sur un site.
Comment se protéger
N’ouvrez jamais les messages douteux. Indice : les e-mails frauduleux sont souvent adressés de façon impersonnelle (« Monsieur, Madame ») et continuent de contenir des fautes d’orthographe. Parallèlement, vous devez absolument protéger votre ordinateur en effectuant les mises à jour des logiciels proposées par les éditeurs et en téléchargeant un antivirus. Enfin, ne stockez ni mots de passe ni données personnelles sur votre ordinateur. Si, un jour, vous recevez un code de validation pour un achat que vous n’avez pas effectué, contactez immédiatement votre banque ; il est probable qu’un escroc soit en train de vider votre compte. On constate en effet qu’aujourd’hui, les pirates parviennent non seulement à récupérer les adresses mail et les données des cartes, mais aussi à obtenir les numéros de validation des achats. Ils peuvent, par exemple, se faire passer pour votre établissement bancaire et vous réclamer un code envoyé par SMS. Autre technique très utilisée : la duplication de la carte SIM du téléphone mobile. Le pirate qui possède vos coordonnées bancaires et votre adresse mail s’adresse à votre opérateur (SFR, Orange, Free…) pour en obtenir un double et se faire envoyer les codes de validation. Si, subitement, vous n’avez plus de réseau sur votre smartphone, appelez tout de suite votre agence pour la prévenir et, éventuellement, rejeter les prochaines transactions.
3. Intercepter une communication
Le particulier se connecte via un wifi public (ouvert) sur un site d’achat en ligne. Sa communication est interceptée, et les informations sur sa carte bancaire sont « aspirées » par le cybercriminel.
Des pirates un peu chevronnés réussiront à capter des communications sur Internet et en profiteront pour saisir, au passage, les données bancaires échangées (identifiants, mots de passe, numéros de carte…). Lorsque vous communiquez sur le Web, la connexion est relativement protégée par votre identifiant et votre mot de passe, et par le fait que la navigation est ensuite cryptée. Il n’en va pas de même avec les wifi gratuits, dits « ouverts » (sans mot de passe), accessibles dans un nombre croissant de lieux publics (parcs, gares, aéroports…). Sur ces réseaux, point de communication codée ; les hackers peuvent intercepter les flux et s’emparer de vos données personnelles.
Comment se protéger
Évitez d’effectuer des achats en vous connectant à un wifi gratuit. Sinon, pensez à télécharger au préalable (par exemple, si vous anticipez un voyage à l’étranger) un Virtual Private Network (VPN) sur l’ordinateur. Ce programme masque les communications et les rend beaucoup plus difficiles à décrypter, un peu comme si elles passaient à l’intérieur d’un tunnel.
4. Infiltrer le webmarchand ou la banque
L’internaute fait un achat sur un site de e-commerce. Un fraudeur s’introduit dans le serveur informatique du webmarchand où sont stockées les données bancaires de ses clients, et les vole.
« Je me suis fait pirater mon compte Cdiscount avec mon adresse mail et mon mot de passe. Puis l’usurpateur a effectué 17 commandes (pour 2 480 €) en environ 30 minutes avec ma carte de crédit enregistrée sur ce site soi-disant sécurisé. Je m’en suis rendu compte le lendemain matin à 5 heures, car j’avais reçu par e-mail toutes les confirmations de commande. Huit d’entre elles m’ont été débitées », confie Stéphane, qui a depuis déposé une demande de remboursement à sa banque, la BNP. Des hackers se sont effectivement introduits dans la base de données du e-commerçant Cdiscount, récupérant ainsi les identifiants, mots de passe et numéros bancaires de centaines de ses clients. La liste des sites qui auraient subi de telles attaques ne cesse de s’allonger dans le monde : British Airways, Cuir Center, Coinmama… Des banques, notamment au Bangladesh, auraient également été touchées. En France, aucune offensive contre des serveurs bancaires n’a, pour l’heure, été répertoriée.
Comment se protéger
Ne vous servez jamais de la fonction « enregistrement des données bancaires pour une utilisation ultérieure » sur les sites marchands. Dans la mesure du possible, réalisez les transactions avec des e-cartes bleues ou une carte bancaire à cryptogramme dynamique (changeant). Si vous apprenez que l’une des plateformes sur lesquelles vous avez effectué des achats a été piratée, modifiez le plus rapidement possible votre identifiant et votre mot de passe.
5. Pirater le smartphone
Le particulier ouvre un SMS douteux lui demandant de renseigner ses données bancaires (phishing), ou bien il télécharge sur son téléphone une application qui contient un logiciel espion.
Selon le ministère de l’Intérieur, « des cybercriminels se spécialisent dans les attaques de téléphones mobiles, qu’ils savent souvent bien moins sécurisés que des ordinateurs de bureau ». Infiltration de logiciels espions et phishing sévissent ici. L’une des dernières fraudes à la carte bancaire contre laquelle Que Choisir a mis en garde ses lecteurs concernait des SMS émanant soi-disant des services des douanes. Le message (en fait, un hameçonnage) invitait les destinataires à payer la TVA pour recevoir leur colis.
Comment se protéger
Ne confiez jamais vos données bancaires après avoir reçu un SMS ou un e-mail les demandant. Installez un antivirus sur votre smartphone et ne téléchargez pas d’applications, notamment gratuites, depuis des stores autres que Google Play et Apple Store (sites sécurisés d’achat d’applis). Elles peuvent être vecteurs de logiciels malveillants.
6. Piéger le distributeur automatique de billets
Des pirates installent sur un distributeur automatique de billets (DAB) un système enregistrant la piste magnétique des CB. En introduisant sa carte bancaire, le particulier se la fait copier.
Enfin, les méthodes traditionnelles – comme l’escroc copiant les chiffres aperçus sur votre carte – ont toujours cours, confirment les gendarmes de Perceval, qui centralisent les signalements de détournement de données bancaires. Plus développé, le skimming (« clonage ») consiste à copier des cartes via un distributeur, un terminal de paiement (TPE) ou un automate sur lequel le pirate a fixé un lecteur de bande magnétique invisible. Numéros et dates d’expiration se retrouvent alors enregistrés sur des cartes vierges servant à effectuer des retraits dans des pays n’utilisant pas de puce (tels les États-Unis). Certains escrocs parviennent aussi, grâce à une caméra, à capturer votre code confidentiel lorsque vous retirez de l’argent.
Comment se protéger
Les techniques du skimming s’étant perfectionnées, il est devenu quasiment impossible pour un particulier de détecter l’installation d’un lecteur de bande magnétique dans un distributeur de billets. La seule précaution (toute relative) à prendre est de masquer votre code lorsque vous le tapez… et de consulter régulièrement vos comptes pour dénoncer le plus vite possible des paiements frauduleux. Contre le vol physique des données, pensez à cacher votre cryptogramme avec une pastille collante et ne quittez pas des yeux votre carte au moment de payer.
Ayez les bons réflexes
. Si votre banque propose ce service, installez une alerte (par e-mail ou SMS) de tout paiement dépassant un certain montant.
. Prévenez tout de suite votre banque pour contester des opérations frauduleuses et faire opposition sur la carte.
. Déposez un signalement sur la plateforme Perceval, qui centralise les plaintes en France.
Notre étude
Les pirates ciblent surtout la carte bancaire
Quel type de fraude les particuliers rencontrent-ils le plus ? Comment la découvrent-ils ? En août 2019, l’Observatoire de la consommation de l’UFC-Que Choisir a mené l’enquête auprès d’abonnés à notre newsletter.
Sandrine Girollet
Lire aussi
Cybergendarmes – Comment les pirates sont traqués
source : quechoisir.org