Arnaques à la carte bancaire: Protégez-vous!

Cet article est le numéro 7 sur 8 de la série sécurité informatique

C’est maintenant de notoriété publique: les cartes bancaires ne sont pas assez sécurisées. Cela paraît incroyable, mais pourtant presque rien n’est fait pour améliorer la situation. Pourquoi? Je n’en ai pas la certitude, mais je pense que cela leur coûte moins cher de rembourser systématiquement les clients ayant subi des prélèvement indus, plutôt que d’investir pour améliorer la sécurité. D’autant qu’une partie de ces paiements n’est probablement jamais détectée par des clients négligents qui ne font pas leurs comptes, ou atteints de la célèbre phobie administrative… Ou les deux, comme moi.

Alors OK, pourquoi pas, mais cela renvoie en gros la responsabilité de la sécurisation et du contrôle au client final. Et quand cela vous arrive, le préjudice subi n’est pas que financier. Cela peut complètement pourrir vos vacances, ou votre rendez-vous restau-capote.

Et on ne peut pas y faire grand-chose: le simple fait de posséder une carte bancaire vous rend vulnérable. Car je vais peut-être briser un mythe, mais le fait de ne pas faire d’achats par Internet ne vous protège en rien. Cela réduit juste un tout petit peu les risques. Vous allez comprendre pourquoi.

Personne n’est à l’abri

Le problème de la carte bancaire, ce n’est pas l’objet en lui-même, du moins ce n’est pas le problème principal. Alors certes, il y a toujours cette fameuse bande magnétique, aussi facile à copier que l’était une cassette audio. Mais aujourd’hui, en France du moins, on ne peut plus en faire grand-chose car la grosse majorité des lecteurs utilise la puce électronique bien plus sécurisée. Celle-ci souffre aussi de quelques faiblesses de sécurité, mais l’exploitation de ces faiblesses exige encore des moyens et compétences qui ne sont pas à la portée des petits arnaqueurs.

Le vrai problème est plus simple que ça. Il est que pour effectuer un achat, nous n’avons pas besoin de la carte en elle-même, les numéros qui sont dessus suffisent. Toute personne ayant accès à ces numéros peut commander ce qu’il veut à vos frais, sur des sites internet (et c’est probablement de là que vient la confusion) ou même par téléphone ou encore par courrier.

Alors certes, ils ne peuvent pas acheter des biens qu’ils feraient livrer chez eux (je dois expliquer pourquoi ou ça va?). Mais rien ne les empêche de réaliser des transactions qui ne nécessitent pas de dévoiler leur identité, comme par exemple acheter des bitcoins, qu’ils pourront ensuite utiliser à leur gré.

Vous l’avez donc compris, l’essentiel de la sécurisation de votre carte bancaire consiste à protéger l’accès aux informations écrites sur celle-ci. Et c’est là que les grands groupes de carte bancaire, Visa et Mastercard en première ligne entretienne le flou, en insistant sur la sécurité lors des paiements sur Internet. Oui, il faut s’assurer que la transaction se fasse en HTPPS, et pour s’en assurer le petit verrou doit être visible dans la barre d’adresse de votre navigateur. Mais franchement, l’interception via le réseau de vos coordonnées bancaires, même si elles étaient transmises en clair nécessiterait quelques moyens, certes pas insurmontables (écoute du réseau WIFI auquel vous êtes connecté), mais il y a tellement plus simple.

Se méfier des inconnus

Là où vous avez le plus de chance de vous faire intercepter vos numéros de carte bancaire IRL, c’est quand vous sortez votre carte de votre portefeuille. Des vendeurs peu recommandables ont déjà été surpris ayant disposé des petites caméras qui filmaient discrètement recto/verso toutes les cartes tendues par leurs clients. Mais il y a sûrement des tas d’autres occasions où vous pourriez vous faire subtiliser vos numéros.

On en arrive donc à notre premier conseil: Ne perdez JAMAIS de vue votre carte bancaire. Vous aurez d’ailleurs sans doute remarqué que de plus en plus, nous n’avons plus à donner notre carte au commerçant, mais nous l’insérons nous-même dans le terminal de paiement. C’est avant tout une mesure de sécurité.

 

Sur les boutiques en ligne, le risque de se faire intercepter les informations au moment d’un paiement est très faible. Par contre il est beaucoup plus fréquent que les boutiques soient « piratées », et qu’elles se fassent subtiliser des fichiers contenant les informations de l’ensemble de leurs clients. De la même manière que pour un commerce physique, il n’est pas rare que le vol de ce type d’information vienne de « l’intérieur » de la boutique, ce qui est techniquement beaucoup plus simple. C’est pour cela que les consortiums de cartes bancaires recommandent de privilégier les enseignes connues. Elles sont plus exigeantes sur leur sécurité interne et externe, car elles auraient plus à perdre en terme d’image en cas de piratage de grande ampleur. Toutefois, personne ne peut garantir une sécurité absolue. On est purement dans une relation de confiance envers les sites sur lesquels on fait des paiements.

Les conseils que l’on peut tirer de ce constat sont donc: privilégiez des vendeurs en ligne qui ont une bonne notoriété, et n’acceptez pas l’enregistrement de vos informations de paiement par le site.

Oui je sais, c’est pourtant pratique, mais il faut savoir ce que l’on veut. Sur une boutique où on ne commande qu’une fois ou deux par an, ce n’est pas le bagne.

Vous avez compris maintenant ce que vous pouvez faire pour réduire le risque d’utilisation frauduleuse de votre carte. Rassurez vous (façon de parler), il y a d’autres moyens pour les pirates de plumer vos comptes, mais vous ne pouvez rien y faire. Donc vérifiez régulièrement vos comptes, et signalez toute transaction suspecte.

 

Il reste un dernier risque dont vous pouvez vous protéger assez facilement:

Les pickpockets sans contact

C’est la grosse nouveauté de ces dernières années: le paiement sans contact. C’est en train de se généraliser, et quasiment toutes les cartes émises en sont désormais pourvues. Pour l’instant, les paiements de ce type sont limités à 20€, mais on voit bien que tout est prévu pour faire bouger cette limite. Les terminaux proposent de payer sans contact même quand le montant dépasse 20€. Je pense que d’ici peu, chacun pourra définir le plafond de paiement sans contact de sa carte.

Alors c’est vrai, c’est très pratique, puisqu’il n’y a aucun code à saisir. Le problème, c’est qu’il n’y a aucun code à saisir, donc toute personne en possession de votre carte pourra effectuer des tas d’achats de moins de 20€, de manière anonyme. Le conseil de ne jamais perdre de vue votre carte n’en est que renforcé.

Mais il y a plus grave: rien n’empêche une personne malveillante de se pointer par exemple dans un métro bondé avec un dispositif de paiement sans contacts portatif, et de prélever en toute discrétion 20€ à tous les passagers qu’il frôle.

Porte carte sécurisé Secrid
Porte carte sécurisé Secrid

Il est assez facile de se prémunir de ce risque, en utilisant un porte-carte qui bloque le champ magnétique. Moi j’utilise celui-ci depuis 3-4 ans, qui est très pratique, mais il en existe des beaucoup plus basiques. Vous allez voir que ça va devenir le petit cadeau à la mode des prochains mois. Prenez les devants!

 

Et vous avez-vous déjà eu des mésaventures avec votre carte bancaire?

 

 

 

Enregistrer

Enregistrer

Enregistrer

Laissez un commentaire