Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
Le site de Michel Bouffioux

Fraude électronique (02/09/2010)

Publié le 8 Septembre 2010 par Michel Bouffioux in Paris Match Belgique

Les cartes de banque belges pourraient être mieux sécurisées. Mais...

 

- Enquête évoquée sur le plateau de "L'info confidentielle Paris Match" sur RTL-TVI, le dimanche  29 août 2010 et publiée dans l'hebdomadaire "Paris Match" (Belgique), le 2 septembre 2010 -

 

michel-skimming1Depuis le début de l'année, notre pays connaît une véritable épidémie de «skimming», une fraude oui consiste à copier la piste magnétique et le code secret des cartes de banque utilisées dans les distributeurs de billets. Les comptes des victimes sont ensuite vides par des retraits opères hors du continent européen. Pour son retour sur RTL-TVI dimanche dernier, «L'Info confidentielle Paris Match» a démontré que cette forme de criminalité pourrait être mieux combattue en Belgique.

 

Légende de la photo : Spécialisé dans la lutte contre les fraudes aux moyens de paiement, le commissaire Sébastien Desseilles (photo) de la Police judiciaire fédérale nous montre un skimmer et des «white» cards saisies par ses services. Deux bandes de Bulgares qui faisaient du «skimming» ont encore été arrêtées le week-end dernier en Région bruxelloise.

 

La scène est banale. Trois employés d'une société bruxelloise décident d'aller casser la croûte ensemble sur le temps de midi. Patrice Bernard est l'un d'eux. «Cela se passait à Woluwe Saint-Lambert, le 7 juin dernier. Avant de nous rendre au restaurant, un collègue s'est arrêté devant un distributeur de billets pour effectuer un retrait. J'en ai profité pour faire de même et mon autre collègue également. Sur le moment, cela ne nous avait pas interpellés, mais un homme était devant le distributeur quand nous sommes arrivés. Il nous a laissé passer et, quand on est partis, on a vu qu'il revenait vers l'appareil. Le 10 juin, en voulant effectuer un nouveau retrait, j'ai été stupéfait en recevant le message «solde insuffisant». En me connectant à mon PC Banking, j'ai constaté qu'au travers d'une dizaine de retraits effectués depuis des distributeurs situés à Toronto (Canada), on m'avait volé l'équivalent de 1370 euros ! Mes deux autres collègues ont connu des préjudices semblables. Il a donc fallu faire bloquer ces cartes et déposer plainte à la police. Heureusement, une semaine plus tard, nos banques respectives nous remboursaient sans faire la moindre difficulté».

 

Une histoire parmi bien d'autres. Quelques jours auparavant, le 29 mars, un habitant de Woluwe Saint-Lambert connaissait une mésaventure identique en prélevant de l'argent au même distributeur. Maurice Sornin, c'est de lui qu'il s'agit, explique que «dès le lendemain de ce retrait, des opérations frauduleuses étaient effectuées à Toronto et à North York. Et il y en a eu encore deux dans les jours suivants. Au total, on m'a dérobé un peu plus de 900 euros. Heureusement, je n'ai pas eu de mal à établir que j'étais de bonne foi. A peu près au même moment où l'on retirait de l'argent de mon compte depuis un distributeur canadienne payais un plein de diesel près de Mons».

 

Carte bloquée, plainte déposée à la police, suivie d'un remboursement rapide du préjudice par sa banque, ce Bruxellois s'en tire avec seulement quelques désagréments. Quoique. Un compte vide pendant quelques jours, cela peut être très ennuyant pour certaines familles où chaque euro compte pour faire face aux charges. Par ailleurs, on soulignera aussi qu'à huit jours d'intervalle, les quatre victimes évoquées ont utilisé le même distributeur de billets à Woluwe Saint-Lambert. Et, renseignements pris, le distributeur en question a été «piégé» à de nombreuses reprises sur une période de plusieurs semaines.

 

«Quand j'ai déposé plainte, un policier m'a dit qu'il y avait déjà eu des dizaines de victimes à cet endroit», s'étonne Patrice Bernard. Une source dans lapolice de la zone concernée précise : «Pas loin de cent cinquante plaintes ont été déposées depuis le mois de janvier 2010. Elles sont toutes relatives à des fraudes opérées à partir de ce distributeur et d'un autre se trouvant dans la commune de Woluwe Saint-Lambert». Outre le fait qu'ils ont été trafiqués à plusieurs reprises sur une longue période, ces deux appareils ont pour particularité de se trouver sur la façade extérieure d'agences de banque.

 

«Sans doute est-il plus sûr de retirer de l'argent dans les self-banks qui se situent à l'intérieur des agences», indique un policier local qui a traité ces dossiers. Mais cet espoir doit aussitôt être tempéré par le grand spécialiste de la lutte contre le skimming au sein de la DR5 de la section financière de la Police judiciaire fédérale, nous avons nommé le commissaire Sébastien Desseilles. «Les selfs sont moins touchés, mais les bandes spécialisées dans ce type de criminalité s'y attaquent tout de même», nous dit-il.

 

Quel est l'ampleur du phénomène ?

D'après des données communiquées naguère au Parlement par le ministre de l'Intérieur, 177 faits de skimming ont été repérés par la police en 2005, 313 en 2006, 332 en 2007. Selon Asrid Kaisin, la porte-parole de la Police fédérale, «depuis le début de l'année, on en a constaté une augmentation importante dans toute la Belgique. Alors qu'on en avait noté 639 en 2008 et 859 en 2009» (NDLR: d'un point de vue statistique, ces «faits» correspondent à une fraude constatée, laquelle peut comporter de nombreuses victimes). Impossible de chiffrer précisément le préjudice financier global que ces activités criminelles occasionnent pour les banques, lesquelles n'ont légalement d'autre choix que de rembourser les clients volés au travers de telles fraudes. «Nous ne disposons d'aucune statistique à cet égard», déclare Pamela Renders, la porte-parole de Febelfin, l'organe représentatif des banques belges. L'occasion de rappeler ce principe général qui trouve à s'appliquer dans toutes les organisations : ce qui est mesuré est ce sur quoi elles ont l'envie ou l'obligation de communiquer, et inversement. Cela dit, on imagine qu'avec une moyenne de 1 000 euros par victime, la facture doit être relativement salée.

 

Comment procèdent les voleurs ?

«Contrairement à ce qu'on pourrait imaginer, ce n'est pas très compliqué», explique le commissaire Desseilles. «La lecture de la bande magnétique qui se trouve sur les cartes de banque n'implique pas la mise en oeuvre d'une haute technologie. Les fraudeurs disposent de fournisseurs qui fabriquent des faux lecteurs "habillés" en fonction du design des distributeurs visés. Sur le terrain, des petites mains sont chargées de les coller sur les appareils. Quand c'est fait, le clone va copier les données de chaque carte introduite. Pour parfaire l'opération, les voleurs doivent aussi disposer du code secret de chaque carte copiée: une mini-caméra enregistrera donc les mouvements de la main du client en train de le former. Les données sont stockées et récupérées de diverses manières (clé usb, bluetooth) pour être transférées sur un ordinateur et envoyées par le Net à des complices qui se trouvent dans des pays (Etats-Unis, Canada, Thaïlande...) où les distributeurs de billets fonctionnent encore par la seule reconnaissance de la bande magnétique. Ils y introduiront ce qu'on appelle une «white card», un bout de plastique sur lequel est apposée une copie de la bande magnétique et le numéro de code qui lui correspond (voir photo). Tout cela va très vite et rares sont les détenteurs de cartes qui se rendent compte de la fraude autrement qu'en constatant que leur solde est insuffisant lors d'une transaction».

 

Ne pourrait-on pas mieux sécuriser ce système de carte bancaire ?

Que les promoteurs en soient les autorités fédérales ou les banques, il tombe sous le sens qu'une véritable campagne d'information devrait être orchestrée pour informer le public de l'existence de ce type de fraude et de la manière de s'en prémunir. «II est utile de connaître quelques petites astuces», explique un policier de la zone Nord de Bruxelles, dont la brigade judiciaire a déjà démantelé plusieurs bandes spécialisées dans le skimming. «Quand on se trouve devant un distributeur de billets, il peut s'avérer utile d'observer les leds vertes se trouvant au niveau de la fente où la carte bancaire doit être introduite et de vérifier qu'il n'y a pas un point foncé qui pourrait correspondre à un copieur de bande magnétique. De plus, il faut cacher systématiquement le code pin lors de son introduction, en utilisant de préférence la main se trouvant du côté de la fente où la carte est introduite dans l'appareil».

 

Mais pour l'heure, les campagnes d'information se limitent aux communiqués de presse des services de police qui, régulièrement, se livrent à des arrestations. Comme en juin dernier, lorsque quatre Bulgares ont été arrêtés à la suite d'une enquête conjointe de la DR 5-MOP (Means of payments) de la Police fédérale et de la Police locale de Schaerbeek. Dans un appartement était alors découvert tout le matériel nécessaire à cette fraude: 1 PC portable, 2 skimmers et leurs câbles de connexion, des mini-caméras, un cahier de retranscription des codes pin, des adresses d'agences bancaires, des collants double face, etc. Quant à la police de Bruxelles-lxelles, elle a arrêté treize personnes se livrant à ces activités délictueuses l'année dernière. Dans ces services de terrain, l'expérience enseigne que ces escrocs sont essentiellement originaires de pays de l'Est et plus souvent encore des environs de Sinistré, une ville située dans le nord-est de la Bulgarie. «Là-bas, il n'est guère plus difficile de trouver un fournisseur de skimmer qu'un boulanger», ironise un enquêteur.

 

Et si on supprimait carrément la piste magnétique ?

Comme l'explique le commissaire Desseilles, «en Belgique, tous les terminaux et distributeurs de billets reconnaissent les cartes bancaires et leurs codes secrets via la puce électronique (NDLR: conformément au standard international de sécurité des cartes de paiement, la norme dite EMV (Europay Mastercard Visa) qui tire son nom des organismes fondateurs). Et c'est la même chose dans toute la zone Euro. La généralisation de ce système depuis 2007 a fortement accru la sécurité. C'est grâce à la puce que les "white cards" fabriquées par les fraudeurs ne peuvent pas être utilisées dans les distributeurs belges». Dès lors se pose la question de l'utilité de la piste magnétique. Si elle était retirée des cartes bancaires, le skimming ne disparaîtrait-il pas avec elle ?

 

L'idée est simple et tellement évidente qu'on peut s'étonner qu'elle n'ait pas encore été mise en œuvre.

Quoique. Chez certains émetteurs de cartes, on avance clairement dans cette direction. VP country manager Bénélux de Visa, Michiel Wielhouwer nous explique que «Visa lance un nouveau produit européen de débit à la pointe de la technologie et résistant à la fraude. Appelée V PAY, cette carte fonctionnera presque exclusivement avec la puce électronique. Certes, elle aura encore une bande magnétique, mais celle-ci ne comportera plus aucune donnée de paiement et ne sera plus utilisée pour procéder aux transactions. Ce qui empêchera toute possibilité de skimming». Une sorte de compromis car, explique M. Wielhouwer, «la bande magnétique reste nécessaire pour avoir accès aux distributeurs automatiques de billets».

 

Y aurait-il alors un obstacle sur le plan technologique pour se passer totalement de la piste magnétique sur toutes les cartes en circulation ?

«Pas du tout, la puce et la piste magnétique font double emploi»,nous dit, sur le ton de la confidence, une source trouvée chez un fabricant de distributeurs de billets. Désirant rester anonyme «pour des raisons commerciales», ce cadre estime que «la balle est dans le camp de banques. En Belgique, la piste magnétique est encore activée dans les distributeurs comme double sécurité (fallback) s'il devait y avoir une défaillance de la puce. Mais au regard de la fiabilité des technologies actuelles, ce n'est pas vraiment utile. La piste est aussi utilisée pour permettre l'ouverture de certains "selfs", mais là encore, d'autres technologies pourraient intervenir. Evidemment, le passage à la carte sans piste magnétique aurait un coût généré par la modification de certains logiciels et matériels et par celui de l'émission de nouvelles cartes (NDLR: II y en a plus de dix millions en circulation actuellement en Belgique). C'est peut-être ce qui fait réfléchir les banques. Sans doute calcule-t-elle le coût de la fraude comparé à celui d'un passage intégral à la puce».

 

Deployment manager France chez NCR, l'un des principaux fabricants de distributeurs de billets, Gilbert Louard confirme ce point de vue, avec cependant quelques nuances. «Vu les performances de la puce électronique, l'émission de cartes sans piste magnétique est tout à fait possible. Mais de telles cartes seraient utilisables uniquement dans la zone EMV, ce qui pose problème,vu les accords internationaux d'interopérabilité et de réciprocité obligeant les banques européennes à laisser les pistes magnétiques actives pour que les cartes soient utilisables dans les zones non-EMV, comme aux Etats-Unis où les acteurs économiques concernés rechignent encore à faire l'investissement du passage à la puce électronique. Les consommateurs des zones les mieux protégées sont en quelques sorte les victimes de cet immobilisme».

 

Selon ce spécialiste de NCR, il est toutefois envisageable de prendre le problème par l'autre bout. «Sans devoir remettre en cause la piste magnétique, certaines banques françaises proposent des mesures préventives efficaces à leurs clients. Ces derniers ont l'opportunité de décider que leur carte ne sera utilisable que dans un certain nombre de pays prédéterminés. Partout ailleurs dans le monde, les transactions faites à partir des données figurant sur la piste magnétique sont impossibles. Ces barrières pouvant évidemment être levées à la demande, en fonction de voyages à l'étranger du titulaire de la carte». Si les victimes belges dont nous avons raconté les mésaventures au début de cet article avaient bénéficié de telles mesures de précaution, les prélèvements d'argent sur leurs comptes depuis le Canada ou les Etats-Unis auraient été impossibles. Nous avons donc demandé à Febelfin si certaines banques belges proposaient ou envisageaient de proposer à leurs clients de telles solutions qui limiteraient fortement l'impact du skimming. «On évalue sans cesse les mesures à prendre pour accroître la sécurité», nous a répondu laconiquement la porte-parole de l'Association des banques.

 

Quelque chose nous dit que les bandes qui se livrent au skimming peuvent encore espérer des jours heureux en se rendant dans ce plat pays qui est le nôtre.

 

michel-skimming2 

Légende de la photo : Point de repère

A l'arrière du «skimmer», on distingue la tête de copiage de la piste magnétique (voir flèche rouge). Mais l'utilisateur du distributeur peut aussi la repérer. Voyez le point sombre qui apparaît dans les lumières vertes qui entourent la fente d'introduction de la carte.

 

 

 

Commenter cet article