Qu'est-ce que le shimming, cette redoutable arnaque qui vole votre argent dans les stations-service?
Un automobiliste fait le plein de sa voiture dans une station-service TotalEnergies à Faches-Thumesnil près de Lille, dans le nord de la France, le 10 août 2023 (photo d'illustration). - Sameer Al-DOUMY / AFP
Vous faites tranquillement votre plein en station-service. Et dans le même temps des malfaiteurs dérobent vos coordonnées bancaires pour retirer votre argent depuis l'Espagne. C'est la désagréable expérience arrivée à des clients d'une station-essence de Vitry-sur-Seine, dans le Val-de-Marne.
Le Parisien décrit le mode opératoire de quatre individus de nationalité roumaine, suspectés d'être impliqués dans cette escroquerie ayant pu faire de nombreuses victimes. Ils ont été arrêtés le 13 juin dernier par les policiers de la brigade des fraudes aux moyens de paiement (BFMP).
Ces derniers avaient auparavant été alertés par le Groupement des cartes bancaires, qui avait détecté des activités suspectes aux terminaux de paiement de cette station service. Un shimmer, ou skimmer, y avait été installé.
Un dispositif placé sur les terminaux de paiement
De quoi s'agit-il? Concrètement, c'est un dispositif qui peut être placé sur des terminaux de point de vente. Et enregistrer secrètement les informations des cartes de crédit et de débit qui y passent, grâce aux bandes magnétiques de ces cartes.
Le site d'information spécialisé LeMagIT explique même qu'il en existe visant des sites Internet, comme des sites de commerce en ligne. Ces implants logiciels volent les données bancaires des clients faisant des achats sur cette plateforme. La compagnie aérienne British Airways avait notamment été victime d'un skimmer en 2018, volant les coordonnées de 380.000 de ses clients.
Dans la station-service de Vitry-sur-Seine, le shimmer transmettait en temps réel les informations bancaires à des complices des quatre personnes arrêtées. Lesquels se trouvaient en Espagne, et parvenaient à retirer simultanément de l’argent dans des distributeurs. À Barcelone, ainsi qu'à Madrid.
C'est à partir de ces retraits et transactions frauduleux que les enquêteurs sont parvenus à remonter le réseau. Et atteindre donc les quatre Roumains en région parisienne. Ils ont été interpellés dans l’Essonne, et la police a également effectué des perquisitions au domicile ainsi que dans les voitures des suspects.
Utiliser le sans contact pour éviter cette arnaque
Ils y ont trouvé le matériel nécessaire au "shimming". Ce qui laisse imaginer que ces malfaiteurs ont piraté d'autres stations-service que celle de Vitry-sur-Seine, même s'il est encore tôt pour évaluer l'ampleur de cette escroquerie, l'enquête étant toujours en cours.
Cette arnaque est d'autant plus redoutable qu'elle est quasiment indétectable. Un article de la National Cybersecurity Alliance explique en effet que les shimmers sont insérés dans la fente de lecture des cartes à puce des distributeurs automatiques ou des terminaux de paiement. Ce qui rend leur détection difficile.
Malgré tout, l'agence de cybersécurité donne quelques conseils pour éviter de se faire escroquer lorsque vous devez faire un paiement sur le terminal d'une station-service.
D'abord, vous pouvez essayer d'inspecter le lecteur de carte. Vous pourriez y repérer des signes de falsification: des protubérances inhabituelles, ou des pièces abîmées, signes que le terminal a été manipulé et trafiqué.
Mais surtout, quand vous le pouvez, optez pour le paiement sans contact. "Lorsque vous appuyez votre carte pour payer, vous réduisez le risque de shimming". Ou alors, encore mieux, votre porte-feuille numérique depuis votre smartphone (Apple Pay ou Google Pay).