● Les Numériques Télécom 📅 15/04/2026 à 22:05

Carte bancaire : cette menace invisible qui peut vider votre compte (et comment s'en protéger)

Cybersécurité 👤 Alexandre Nardo
Illustration
Carte bancaire : cette menace invisible qui peut vider votre compte (et comment s'en protéger) Par Alexandre Nardo Publié le 15/04/26 à 22h05 Nos réseaux : Suivez-nous Commenter 6 © Shutterstock / pspn - Carte bancaire : cette menace invisible qui peut vider votre compte (et comment s'en protéger) Distributeurs trafiqués, pages de paiement infectées par du code invisible : le skimming, cette technique qui consiste à copier les données d’une carte bancaire à l’insu de son propriétaire, a migré du monde physique vers le web. Le principe reste le même depuis vingt ans : intercepter les informations de votre carte entre le moment où vous la sortez et celui où la transaction arrive à la banque. Ce qui change, ce sont les méthodes.Du faux clavier au shimmer invisibleLe skimming classique vise les distributeurs automatiques de billets (DAB) et les terminaux de paiement en station-service. Les fraudeurs fixent un boîtier de lecture par-dessus la fente où l’on insère la carte. Ce boîtier copie les données de la bande magnétique. En parallèle, une caméra miniature filmée au-dessus du clavier, ou un faux pavé numérique collé sur le vrai, enregistre le code PIN. Certains dispositifs transmettent les données volées par Bluetooth : le fraudeur n’a même plus besoin de revenir récupérer son matériel.Le "shimming", l’évolution redoutable de la puce EMVL’adoption des cartes à puce EMV a compliqué la tâche. La puce génère un code unique à chaque transaction, ce qui rend la copie bien plus difficile qu’avec une simple bande magnétique. Mais les fraudeurs se sont adaptés. Leur réponse s’appelle le « shimming » : un dispositif de l’épaisseur d’une feuille de papier, glissé à l’intérieur du lecteur, qui intercepte les données échangées avec la puce. Il est impossible à détecter à l’œil nu.© Shutterstock / Shane BriannDes données volées pour des cartes de "fallback"Cloner directement une puce reste très difficile. Ce que font les criminels avec les données récupérées par le shimmer, c’est fabriquer des cartes à bande magnétique contrefaites et les utiliser dans des pays où les terminaux acceptent encore ce mode de paiement. En juin 2025, la police nationale a interpellé quatre individus à Vitry-sur-Seine (Val-de-Marne) qui avaient piégé des terminaux dans une station-service. Les données volées servaient à effectuer des retraits à Madrid et Barcelone. Lors de la perquisition, 9 000 euros en liquide ont été saisis. D’après la Banque de France, le préjudice financier lié au shimming restait encore modeste en 2023 (36 000 euros sur l’année), mais la technique se propage.Le skimming se déplace en ligne : la menace numériqueL’e-skimming transpose la logique du boîtier physique dans le monde du e-commerce. Ici, pas de caméra ni de faux clavier : les pirates injectent quelques lignes de code JavaScript dans la page de paiement d’un site marchand. Quand vous saisissez votre numéro de carte, sa date d’expiration et le cryptogramme, le script capture ces informations et les envoie vers un serveur contrôlé par les attaquants. Ni le client ni le commerçant ne s’en aperçoivent.© Shutterstock / Rawpixel.comMagecart et l’attaque des services tiersLes groupes criminels qui pratiquent ce type d’attaque sont regroupés sous le nom générique de "Magecart", en référence à la plateforme e-commerce Magento qu’ils ciblaient initialement. Leurs méthodes se sont complexifiées. Plutôt que de pirater un site à la fois, ils s’attaquent désormais aux fournisseurs de services tiers, comme les outils d’analyse web ou les plugins publicitaires intégrés sur des milliers de sites à la fois. En compromettant un seul de ces services, ils infectent d’un coup tous les sites qui l’utilisent. En 2024, l’exploitation d’une faille baptisée "CosmicSting" dans la plateforme Adobe Commerce a entraîné l’infection d’environ 11 000 sites marchands. Sur l’année, 269 millions de numéros de cartes volées ont été publiés sur le dark web. Des sites français figuraient parmi les victimes, selon les chercheurs d’ANY.RUN qui ont documenté la campagne en 2025. À lire également : Dites adieu à la carte bancaire : la nouvelle façon de retirer vos espèces arrive partout en France Des scripts cachés dans des images ou des pages 404Les techniques de camouflage progressent aussi. Des scripts malveillants ont été découverts cachés à l’intérieur de fichiers images (des favicons, ces petites icônes d’onglet de navigateur), ou déguisés en outils légitimes comme Google Analytics ou Meta Pixel. Plus récemment, des attaquants ont exploité les pages d’erreur 404 de sites marchands. Le code malveillant était placé dans la page "Page introuvable", rarement surveillée par les outils de sécurité. Quand un client remplissait le formulaire de paiement, le script capturait ses données puis affichait un faux message d’expiration de session pour justifier un rechargement de page. Pendant que l’acheteur croyait à un bug banal, ses informations bancaires partaient vers un serveur distant.Comment limiter les risques et se protéger efficacementSécuriser ses achats sur InternetAu distributeur ou en station-service, le réflexe le plus efficace est de privilégier le paiement sans contact. Puisque vous n’insérez pas votre carte dans le lecteur, ni le skimmer ni le shimmer ne peuvent intervenir. Si vous devez insérer votre carte, couvrez le clavier avec votre main libre en tapant le code. Choisissez de préférence les distributeurs situés à l’intérieur des agences bancaires, moins exposés. En station, les pompes les plus proches du bâtiment sont généralement les moins visées. Et si quelque chose semble anormal sur le lecteur (pièce qui bouge, traces de colle, autocollant de sécurité décollé), ne l’utilisez pas.Sécuriser ses achats sur InternetEn ligne, la parade la plus simple est de dédier une carte à vos achats sur Internet, avec un plafond bas. Plusieurs banques françaises proposent des cartes virtuelles à usage unique : le numéro généré expire après une transaction, ce qui rend les données inutilisables même si elles sont interceptées. Activez les notifications de transaction par SMS ou par application pour repérer immédiatement un débit suspect. Méfiez-vous des sites marchands qui affichent des pop-ups inhabituels au moment du paiement, ou dont l’adresse déclenche un avertissement de sécurité dans votre navigateur. Et évitez d’enregistrer votre numéro de carte dans les navigateurs ou les applications, surtout si vous êtes connecté à un Wi-Fi public.© Shutterstock / PeopleImagesLes nouvelles obligations pour les e-commerçantsPour les commerçants qui gèrent un site e-commerce, la norme PCI DSS 4.0, obligatoire depuis mars 2025, impose désormais de tenir un inventaire des scripts exécutés sur les pages de paiement et de mettre en place des systèmes d’alerte en cas de modification non autorisée. Concrètement, cela veut dire surveiller chaque bout de code tiers chargé sur la page de paiement et vérifier régulièrement qu’il n’a pas été altéré.Les boîtiers collés sur les distributeurs reculent à mesure que le sans-contact se généralise. Mais c’est sur le web que la fraude se déplace désormais : en 2024, les attaques Magecart ont progressé de 103 % en six mois. Le marché mondial de la protection contre le skimming devrait peser près de 7 milliards de dollars d’ici 2030. Côté particuliers, le sans-contact et les cartes virtuelles restent les meilleurs remparts. Et surveiller ses relevés, un réflexe que rien ne remplace. Suivez toute l'actualité des Numériques sur Google Actualités et sur la chaîne WhatsApp des Numériques Envie de faire encore plus d'économies ? Découvrez nos codes promo sélectionnés pour vous.
← Retour