Sécurité des cartes bancaires : Différence entre versions

De Vulgum Techus
Aller à : Navigation, rechercher
(Page créée avec « '''Lien court''' vers cette page : http://vt.cx/SCB<br/> '''QR code''' vers cette page : http://vt.cx/SCB.qr<br/> <br/> <html> <script type="text/javascript"><!-- ... »)
 
(Articles externes - Français)
 
(77 révisions intermédiaires par un utilisateur sont masquées)
Ligne 1 : Ligne 1 :
'''[[Lien court]]''' vers cette page : http://vt.cx/SCB<br/>
+
<!-- Links checked 12/04/19 -->
'''[[QR code]]''' vers cette page : http://vt.cx/SCB.qr<br/>
+
[[Catégorie:Banque]]
<br/>
+
[[Catégorie:Consommation]]
 +
[[Catégorie:Juridique]]
 +
[[Catégorie:Police]]
 +
[[Catégorie:Sécurité]]
 +
'''[[Lien court]]''' vers cette page : https://vt.cx/SCB
 +
'''[[QR code]]''' vers cette page : https://vt.cx/SCB.qr
 
<html>
 
<html>
<script type="text/javascript"><!--
+
<script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
google_ad_client = "ca-pub-3341840374417340";
+
<!-- VT2 -->
/* VT2 */
+
<ins class="adsbygoogle"
google_ad_slot = "6349432125";
+
    style="display:inline-block;width:468px;height:60px"
google_ad_width = 468;
+
    data-ad-client="ca-pub-3341840374417340"
google_ad_height = 60;
+
    data-ad-slot="6349432125"></ins>
//-->
+
<script>
</script>
+
(adsbygoogle = window.adsbygoogle || []).push({});
<script type="text/javascript"
+
src="http://pagead2.googlesyndication.com/pagead/show_ads.js">
+
 
</script>
 
</script>
 
</html>
 
</html>
<br/>
 
  
* Masquer les codes de sécurité ou cryptogrammes visuels
+
= [[Lexique]] =
 +
* '''[[ATM]]''' : sigle anglais pour ''automated teller machine'' = ''DAB''
 +
* '''[[automated teller machine]]''' : anglais de distributeur automatique de billet
 +
* '''code PIN''' : traduction de l'anglais ''PIN'' code,  code à 4 chiffres indispensable pour authentifier la '''[[carte bancaire]]''' insérée dans un ''DAB''
 +
* '''cryptogramme visuel''' : ensemble de chiffres inscrits au recto ou au version de  la carte bancaire permettant de la sécuriser (voir plus bas)
 +
* '''[[DAB]]''' : sigle de '''[[distributeur automatique de billets]]'''
 +
* '''PIN''' : sigle anglais de personal identification number ou numéro personnel d'identification
 +
* '''shimmer''' : dispositif très fin inséré dans la fente d'un ''DAB'' pour copier  de la puce des '''[[cartes bancaires]]'''
 +
* '''skimmer''' : dispositif espion inséré dans la fente d'un ''DAB'' en vue de copier à la volée, et de manière illicite, les cartes qui y sont insérées
 +
* '''terminal de paiement électronique''' : dispositif fixe ou mobile permettant la lecture de la '''[[carte bancaire]]''' et la saisie du ''code PIN'' dans le cadre d'un paiement
 +
* '''TPE''' : sigle de ''terminal de paiement électronique''
 +
 
 +
= Présentation =
 +
La carte bancaire est une cible privilégiée des hackers et escrocs car elle présente de nombreux points faibles qu'il est assez simple d'exploiter comme le décrivent de nombreux articles compilés plus bas. Les points de vulnérabilité sont :
 +
* Clonage de carte bancaire
 +
* Utilisation frauduleuse des informations d'une carte bancaire
 +
* Exploitation du paiement sans contact pour débiter une carte bancaire à l'insu de son propriétaire
 +
 
 +
= Clonage de [[carte bancaire]] =
 +
Le clonage d'une carte bancaire est l'opération qui consiste à faire une copie de la piste magnétique d'une carte bancaire sur une autre carte support. Utilisé en conjonction avec le Code PIN, le duplicata de la carte bancaire fonctionnera de la même manière et particulièrement dans les distributeur de billet (DAB). Le clonage s'obtient à partir de dispositifs qui peuvent être :
 +
* Skimmer + caméra (ou sur-clavier) : installés sur un DAB, le skimmer copie la piste magnétique pendant qu'une micro caméra, un film sensible posé sur le clavier ou une '''[[photo]]''' infrarouge, capte le code PIN
 +
*  Terminal de paiement électronique (TPE) piraté : celui-ci est un terminal de paiement standard dans lequel a été greffé un dispositif copiant la piste magnétique de la carte bancaire et le code PIN
 +
Pour tenter de diminuer les risques de clonage d'une carte bancaire, quelques pistes :
 +
* Éviter les paiements par carte bancaire pour des petits montants dans des endroits peu sûr et particulièrement dans certains pays.
 +
* Passer en revue les DAB avant d'y insérer la carte bancaire. Les points de contrôle sont :
 +
** Fente d'introduction de la carte bancaire. Rien d'inséré, rien d'ajouté, rien qui semble ne pas faire partie du DAB
 +
** clavier : rien d'apposé dessus, il est bien intégré au DAB
 +
** Le DAB est adossé à une banque ouverte ou fermée. Le risque que le piégeage du DAB se fasse aux heures d'ouverture de la banque est plus faible
 +
* Toujours masquer ses doigts lors de la saisie du code PIN et mettre ses doigts sur les touches non utilisées pour tromper un éventuel dispositif infrarouge (voir vidéo ci-dessous)
 +
 
 +
= [[Vidéos]] =
 +
{| class="wikitable"
 +
|-
 +
! iPhone ATM PIN code hack !! Ingenico Bluetooth ISC250 Skimmer
 +
|-
 +
| {{#Widget:YouTube|id=8Vc-69M-UWk}} || {{#Widget:YouTube|id=6hJ3zWB7hCo}}
 +
|-
 +
! Comment un Skimmer inséré fonctionne (1) !! Comment un Skimmer inséré fonctionne (2)
 +
|-
 +
| {{#Widget:YouTube|id=Nlx_GDeaEtI}} || {{#Widget:YouTube|id=Y0cfYcWpL70}}
 +
|-
 +
|}
 +
 
 +
= Utilisation frauduleuse des informations de [[cartes bancaires]] =
 +
Les informations permettant de commander à distance sur un '''[[site Internet]]''' sont :
 +
* Nom et prénom du titulaire de la carte bancaire
 +
* Numéro de la carte bancaire
 +
* Date d'expiration de la carte bancaire
 +
* Code de sécurité ou cryptogramme visuel de la carte bancaire
 +
Les moyens pour capter ces informations à l'insu du titulaire de la carte bancaire sont :
 +
* Recopie visuelle ou de mémoire des informations de la carte bancaire
 +
* Photo ou photocopie recto/version de la carte bancaire
 +
* Vol de données d'un site sur lesquelles elles sont mémorisées à des fins de paiement automatiques
 +
Pour tenter de diminuer les risques de vol d'identifiants d'une carte bancaire, quelques pistes :
 +
* Éviter d'enregistrer les codes des carte bancaire sur les '''[[sites de vente en ligne]]''' comme '''[[Amazon]], [[Apple]]''', etc., quitte à devoir les ressaisir à chaque commande
 +
* Ne jamais écrire laisser traîner sa '''[[carte de crédit]]'''
 +
* Ne payer par carte bancaire que sur des sites sécurisés par '''[[SSL]]'''
 +
* Éviter de laisser un tiers (vendeur, commerçant, serveur, caissier) manipuler la carte bancaire
 +
* Masquer les codes de sécurité ou cryptogrammes visuels à l'aide d'un adhésif fin et opaque
 +
Il est maintenant prouvé que l'absence de centralisation des essais infructueux d'achat par carte bancaire permet à des escrocs très bien organisés de tester toutes les combinaisons de dates d'expiration et de CVV pour une carte bancaire donnée via des '''[[sites de vente en ligne]]'''. Le meilleur moyen d'éviter cela, aujourd'hui, est le recours à une confirmation d'achat par '''codes''' tel que le pratiquent certaines '''[[banques]]''' (ex. Verified by Visa, '''[[Mastercard]]''' SecureCode, Certicode par '''[[La Banque Postale]]''', etc.)
 +
 
 +
== [[Liens]] utiles ==
 +
* [https://www.mastercard.com/ca/merchant/fr/solutions/securecode/securecode.html mastercard.com]  '''Mastercard SecureCode'''
 +
* [https://www.visa.fr/je-suis-particulier/je-paie-sur-internet/verified-by-visa visa.fr] '''Verified by Visa'''
 +
 
 +
= [[Vidéos]] =
 +
{| class="wikitable"
 +
|-
 +
! Les arnaques aux distributeurs automatiques de billets (DAB) !! Skimmer installé en 10 secondes à l'insu de la caissière
 +
|-
 +
| {{#Widget:YouTube|id=R6FhiogMv94}} || {{#Widget:YouTube|id=fdKrSQUV5qU}}
 +
|}
 +
 
 +
= Cryptogramme visuel ou code de sécurité =
 +
Ensemble de chiffres inscrits au recto ou au version de  la carte bancaire permettant de la sécuriser
 
** '''Visa''' : '''CVV''' & '''CVV2''' = '''Card Verification Value''' ou '''Card Validation Code'''
 
** '''Visa''' : '''CVV''' & '''CVV2''' = '''Card Verification Value''' ou '''Card Validation Code'''
 
** '''Eurocard MasterCard''' :  '''CVC''' & '''CVC1''' = '''Card Verification Code'''
 
** '''Eurocard MasterCard''' :  '''CVC''' & '''CVC1''' = '''Card Verification Code'''
Ligne 25 : Ligne 101 :
 
<br/>
 
<br/>
 
[[Fichier:Cryptogrammes-visuels-cartes-de-credit-130413.jpg]]
 
[[Fichier:Cryptogrammes-visuels-cartes-de-credit-130413.jpg]]
<br/><br/>
 
* Ne s'en servir que sur des sites sécurisés par '''SSL''' ([[Comment s'assurer qu'une transaction est sécurisée]])
 
* Éviter de laisser le commerçant manipuler la carte.
 
* Éviter les distributeurs automatique de billets ('''DAB''') très isolés
 
* Vérifier qu'aucun dispositif ('''skimmer''' par exemple) n'est installé sur le clavier et/ou la fente d'insertion de la '''[[carte bancaire]]'''
 
* Vérifier que le clavier est bien celui du '''DAB''' et non un clavier superposé
 
* Masquer la main qui tape le code pour éviter tout enregistrement par une micro caméra dissimulée
 
<br/>
 
{{#Widget:YouTube|id=R6FhiogMv94}}
 
<br/>
 
  
= Liens externes - Français =
+
= [[Liens]] utiles =
* [http://www.clubic.com/mag/article-730483-1-securite-moyens-paiement.html Clubic - 24/10/14] '''Sécurité bancaire''' : se prémunir des risques du '''nfc''' et des nouvelles fraudes
+
* [https://krebsonsecurity.com/all-about-skimmers/ Krebs on Security] All About '''Skimmers'''
* [http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-720035-groupe-pirates-russes-vole-1-2-identifiants-web.html Clubic - 06/08/14] Un groupe de '''pirates russes''' aurait volé '''1,2 milliard d'identifiants''' sur le '''[[Web]]'''
+
 
* [http://www.nextinpact.com/news/88119-dominos-pizza-pirate-noms-coordonnees-et-mots-passe-dans-nature.htm NEXT INpact - 13/06/14] '''Domino's Pizza''' piraté : '''noms, coordonnées''' et '''[[mots de passe]]''' dans la nature
+
= Articles externes - Français =
* [http://www.leparisien.fr/high-tech/orange-les-donnees-personnelles-de-800-000-clients-piratees-02-02-2014-3552193.php Le Parisien - 03/02/14] '''Orange''' : les '''données personnelles''' de '''800.000 clients''' piratées
+
* [https://www.lemondeinformatique.fr/actualites/lire-des-chercheurs-de-visa-alertent-sur-un-skimmer-bancaire-avec-anti-forensic-77094.html Le Monde Informatique - 15/11/19] Des chercheurs de Visa alertent sur un skimmer bancaire avec anti-forensic
* [http://www.france24.com/fr/20140121-coree-sud-vol-historique-donnees-bancaires-carte-credit-criminalite-informatique/ France 24 - 21/01/14] La '''Corée du Sud''' ébranlée par un vol historique de '''données bancaires'''
+
* [https://www.onb-france.com/actualites/absence-de-negligence-grave-de-lutilisateur-de-services-de-paiement-en-ligne Office Notarial la Baillargues - 09/02/19] Absence de négligence grave de l'utilisateur de services de paiement en ligne
* [http://www.france24.com/fr/20140113-target-hack-piratage-ram-scrapper-cybercriminalite/ France 24 - 13/01/14] Aux '''États-Unis''', le hold-up numérique du siècle
+
* [https://www.undernews.fr/hacking-hacktivisme/formjacking-comment-les-cybercriminels-volent-les-donnees-bancaires-des-clients-sur-les-sites-e-commerce.html Undernews - 21/02/19] Formjacking – Comment les cybercriminels volent les données bancaires des clients sur les sites e-commerce
* [http://www.nextinpact.com/news/85156-snapchat-46-millions-comptes-utilisateurs-dans-nature.htm NEXT INpact - 02/01/14]'''Snapchat''' : '''4.6 millions''' de comptes utilisateurs dans la nature
+
* [https://www.cbanque.com/carte-bancaire/actualites/60997/carte-bancaire-quand-la-securite-devient-une-option-payante cbanque - 08/12/16] carte bancaire : quand la '''[[sécurité]]''' devient une option payante
* [http://www.challenges.fr/economie/20130919.CHA4491/la-verite-sur-les-grandes-oreilles-de-la-dgse.html Challenges - 20/09/13] Comment les '''services de renseignement français''' surveillent ce qui se dit sur le '''net''' et au '''téléphone'''
+
* [https://www.nextinpact.com/news/102378-carte-bancaire-visa-informations-recuperables-par-force-brute-societe-nous-repond.htm Next Inpact - 05/12/16] '''[[Carte bancaire Visa]]''' : des informations récupérables par force brute, la '''[[société]]''' nous répond
* [http://www.capital.fr/finances-perso/dossiers/alerte-aux-nouvelles-fraudes-internet-quelles-banques-vous-protegent-le-mieux-851245 Capital - 14/06/13] Alerte aux '''nouvelles fraudes Internet'''  : quelles banques vous protègent le mieux  ?
+
* [http://www.leparisien.fr/faits-divers/derriere-la-porte-ils-clonaient-les-cartes-bancaires-26-08-2016-6069737.php Le Parisien - 26/08/16] Derrière la porte, ils clonaient les '''[[cartes bancaires]]'''
* [http://www.leparisien.fr/faits-divers/l-informaticien-voyeur-s-etait-branche-sur-leur-webcam-prison-avec-sursis-08-06-2013-2878619.php Le Parisien - 08/06/13] L''''informaticien''' voyeur s'était branché sur leur '''[[webcam]]''' : prison avec sursis
+
* [https://www.latribune.fr/entreprises-finance/banques-finance/paiement-en-ligne-la-lutte-contre-la-fraude-a-la-carte-bancaire-s-intensifie-477731.html La Tribune - 22/08/15] Paiement en ligne : la lutte contre la fraude à la carte bancaire s'intensifie
* [http://www.capital.fr/bourse/actualites/les-geants-d-internet-accuses-de-renseigner-le-fbi-et-la-nsa-849309 Capital - 07/06/13] Les géants d''''internet''' accusés de renseigner le '''FBI''' et la '''NSA'''
+
* [http://www.leparisien.fr/faits-divers/les-cyberflics-dejouent-une-redoutable-escroquerie-a-la-carte-bancaire-28-11-2014-4330379.php Le Parisien - 28/11/14] Les cyberflics déjouent une redoutable escroquerie à la carte bancaire
* [http://www.capital.fr/bourse/actualites/microsoft-et-le-fbi-s-attaquent-a-un-reseau-de-cybercriminalite-848999 Capital - 06/06/13] '''Microsoft''' et le '''FBI''' s'attaquent à un réseau de cybercriminalité
+
* [https://www.clubic.com/sante/article-730483-1-securite-moyens-paiement.html Clubic - 24/10/14] Sécurité bancaire : se prémunir des risques du nfc et des nouvelles fraudes
* [http://www.capital.fr/a-la-une/actualites/coup-de-filet-apres-une-gigantesque-fraude-a-la-carte-bancaire-841968 Capital - 10/05/13] Coup de filet après une gigantesque '''fraude''' à la '''[[carte bancaire]]'''
+
* [https://www.capital.fr/economie-politique/coup-de-filet-apres-une-gigantesque-fraude-a-la-carte-bancaire-841968 Capital - 10/05/13] Coup de filet après une gigantesque fraude à la carte bancaire
* [http://lorraine.france3.fr/2013/01/28/arnaques-aux-distributeurs-de-billets-4-bulgares-interpelles-189387.html France 3 - 28/01/13] Arnaques aux '''distributeurs de billets''' : 4 bulgares interpellés en Lorraine
+
* [https://france3-regions.francetvinfo.fr/grand-est/2013/01/28/arnaques-aux-distributeurs-de-billets-4-bulgares-interpelles-189387.html France 3 - 28/01/13] Arnaques aux distributeurs de billets : 4 '''[[bulgares]]''' interpellés en Lorraine
 +
 
 +
= Articles externes - Anglais =
 +
* [https://hackaday.com/2019/11/15/credit-card-skimmers-evolve-shimmers-are-here/ hackaday - 15/11/19] Credit Card Skimmers Evolve – Shimmers Are Here
 +
* [https://www.pcmag.com/article/328010/how-to-spot-and-avoid-credit-card-skimmers PC Mag - 06/02/19] How to Spot and Avoid Credit Card Skimmers
 +
* [https://www.extremetech.com/computing/267160-criminals-have-found-a-way-to-replace-the-chips-on-credit-cards ExtremeTech - 09/04/18] Criminals Have Found a Way to Replace the Chips on Credit Cards
 +
* [https://www.pcmag.com/article2/0,2817,2469560,00.asp PC Mag - 15/02/18] How to Spot and Avoid Credit Card Skimmers
 +
* [https://techcrunch.com/2018/02/08/new-credit-card-skimmer-worked-in-plain-sight-at-aldi-stores/ The Tech Crunch - 08/02/18] New credit card skimmer worked in plain sight at Aldi stores
 +
* [https://www.cnet.com/how-to/credit-card-skimmers-thieves-are-getting-smarter-you-can-too-hacker/ cnet - 01/10/17] Credit card thieves are getting smarter. You can, too
 +
* [https://www.cbc.ca/news/canada/british-columbia/shimmers-criminal-chip-card-reader-fraud-1.3953438 CBC - 26/01/17] Move over skimmers, shimmers are the newest tool for stealing '''[[credit card]]''' info
 +
* [https://techxplore.com/news/2016-12-seconds-hack-credit-card.html TechXplore - 01/12/16] How it takes just six seconds to hack a '''[[credit card]]'''
 +
* [https://krebsonsecurity.com/2016/10/self-checkout-skimmers-go-bluetooth/ Krebs on Security - 14/10/16] Self-Checkout Skimmers Go '''[[Bluetooth]]'''
 +
* [http://krebsonsecurity.com/2016/09/secret-service-warns-of-periscope-skimmers/ Krebs on Security - 13/09/16] Secret Service Warns of "Periscope" Skimmers
 +
* [https://elie.net/blog/security/how-to-physically-secure-your-credit-card/ Elie - 07/16] 5 easy ways to bulletproof your credit cards against identity theft
 +
* [https://www.theverge.com/2015/10/9/9486715/fbi-vulnerability-chip-credit-card The Verge - 09/10/15] The FBI warns of weaknesses in chip-and-sign '''[[credit card]]''' systems
 +
* [https://krebsonsecurity.com/2015/08/chip-card-atm-shimmer-found-in-mexico/ Krebs on Security - 11/08/2015] Chip Card ATM Shimmer Found in '''[[Mexico]]'''
 +
* [https://techcrunch.com/2015/03/18/skimmers-now-are-now-grabbing-your-credit-card-data-at-the-door/ Tech Crunch - 18/03/15] Skimmers Are Now Grabbing Your Credit Card Data At The Door
 +
* [https://techcrunch.com/2014/12/01/new-atm-skimmers-connect-to-the-card-reader-via-a-nearly-invisible-hole/ Tech Crunch - 01/12/14] New ATM Skimmers Connect To The Card Reader Via A Nearly Invisible Hole
 +
* [https://techcrunch.com/2018/02/08/new-credit-card-skimmer-worked-in-plain-sight-at-aldi-store Tech Crunch - 22/08/14] This New Card Skimmer is Almost as Thin as a '''[[Credit Card]]'''
 +
* [https://www.tweaktown.com/news/39586/underground-markets-for-stolen-data-as-organized-as-real-businesses/index.html TweakTown - 11/08/14] Underground markets for stolen data as organized as real businesses
  
= Liens externes - Anglais =
+
= Articles [[Vulgum Techus]] =
* [http://techcrunch.com/2014/08/22/this-new-card-skimmer-is-almost-as-thin-as-a-credit-card Tech Crunch - 22/08/14] This New Card '''Skimmer''' is Almost as Thin as a '''[[Credit Card]]'''
+
* [[carte bancaire]]
* [http://www.tweaktown.com/news/39586/underground-markets-for-stolen-data-as-organized-as-real-businesses/index.html TweakTown - 11/08/14] Underground markets for '''stolen data''' as organized as real businesses
+
* [[NFC]]
* [http://www.tweaktown.com/news/39089/cnet-attacked-by-russian-hackers-more-than-1-million-users-affected/index.html TweakTown - 15/07/14] '''CNET''' attacked by '''Russian hackers''', more than '''1 million''' users affected
+
* [[Identifier la banque d'origine d'une carte bancaire]]
* [http://www.theinquirer.net/inquirer/news/2331138/360-million-stolen-personal-details-are-found-online The Inquirer - 27/02/14] '''360 million''' stolen personal details are found online
+
* [[lecteurs de cartes bancaires pour smartphones]]
* [http://www.brightsideofnews.com/news/2014/2/16/kickstarter-website-hacked2c-user-data-stolen.aspx Bright Side of News - 16/02/14] '''Kickstarter''' Website '''Hacked''', User Data Stolen
+
* [[Produits qu'il ne faut pas acheter d'occasion]] <span style="color: #FF0000;">'''''Hyper hot !'''''</span>
* [http://www.tweaktown.com/news/34460/retailer-target-hit-by-data-breach-40-million-customers-affected/index.html TweakTown - 19/12/13] '''Retailer''' Target hit by data breach, '''40 million''' customers affected
+
* [http://krebsonsecurity.com/all-about-skimmers/ Krebs on Security] All About '''Skimmers'''
+
* [http://nodebtanymore.org/credit-card-skimmers-keep-your-eye-on-your-atm-card/ No Dept Anymore - 05/12/08] '''[[Credit Card]] Skimmers''' – Keep Your Eye on Your '''[[ATM]] card'''
+
  
 
= Commentaires =  
 
= Commentaires =  

Version actuelle en date du 16 novembre 2019 à 01:05

Lien court vers cette page : https://vt.cx/SCB
QR code vers cette page : https://vt.cx/SCB.qr

Lexique

  • ATM : sigle anglais pour automated teller machine = DAB
  • automated teller machine : anglais de distributeur automatique de billet
  • code PIN : traduction de l'anglais PIN code, code à 4 chiffres indispensable pour authentifier la carte bancaire insérée dans un DAB
  • cryptogramme visuel : ensemble de chiffres inscrits au recto ou au version de la carte bancaire permettant de la sécuriser (voir plus bas)
  • DAB : sigle de distributeur automatique de billets
  • PIN : sigle anglais de personal identification number ou numéro personnel d'identification
  • shimmer : dispositif très fin inséré dans la fente d'un DAB pour copier de la puce des cartes bancaires
  • skimmer : dispositif espion inséré dans la fente d'un DAB en vue de copier à la volée, et de manière illicite, les cartes qui y sont insérées
  • terminal de paiement électronique : dispositif fixe ou mobile permettant la lecture de la carte bancaire et la saisie du code PIN dans le cadre d'un paiement
  • TPE : sigle de terminal de paiement électronique

Présentation

La carte bancaire est une cible privilégiée des hackers et escrocs car elle présente de nombreux points faibles qu'il est assez simple d'exploiter comme le décrivent de nombreux articles compilés plus bas. Les points de vulnérabilité sont :

  • Clonage de carte bancaire
  • Utilisation frauduleuse des informations d'une carte bancaire
  • Exploitation du paiement sans contact pour débiter une carte bancaire à l'insu de son propriétaire

Clonage de carte bancaire

Le clonage d'une carte bancaire est l'opération qui consiste à faire une copie de la piste magnétique d'une carte bancaire sur une autre carte support. Utilisé en conjonction avec le Code PIN, le duplicata de la carte bancaire fonctionnera de la même manière et particulièrement dans les distributeur de billet (DAB). Le clonage s'obtient à partir de dispositifs qui peuvent être :

  • Skimmer + caméra (ou sur-clavier) : installés sur un DAB, le skimmer copie la piste magnétique pendant qu'une micro caméra, un film sensible posé sur le clavier ou une photo infrarouge, capte le code PIN
  • Terminal de paiement électronique (TPE) piraté : celui-ci est un terminal de paiement standard dans lequel a été greffé un dispositif copiant la piste magnétique de la carte bancaire et le code PIN

Pour tenter de diminuer les risques de clonage d'une carte bancaire, quelques pistes :

  • Éviter les paiements par carte bancaire pour des petits montants dans des endroits peu sûr et particulièrement dans certains pays.
  • Passer en revue les DAB avant d'y insérer la carte bancaire. Les points de contrôle sont :
    • Fente d'introduction de la carte bancaire. Rien d'inséré, rien d'ajouté, rien qui semble ne pas faire partie du DAB
    • clavier : rien d'apposé dessus, il est bien intégré au DAB
    • Le DAB est adossé à une banque ouverte ou fermée. Le risque que le piégeage du DAB se fasse aux heures d'ouverture de la banque est plus faible
  • Toujours masquer ses doigts lors de la saisie du code PIN et mettre ses doigts sur les touches non utilisées pour tromper un éventuel dispositif infrarouge (voir vidéo ci-dessous)

Vidéos

iPhone ATM PIN code hack Ingenico Bluetooth ISC250 Skimmer
Comment un Skimmer inséré fonctionne (1) Comment un Skimmer inséré fonctionne (2)

Utilisation frauduleuse des informations de cartes bancaires

Les informations permettant de commander à distance sur un site Internet sont :

  • Nom et prénom du titulaire de la carte bancaire
  • Numéro de la carte bancaire
  • Date d'expiration de la carte bancaire
  • Code de sécurité ou cryptogramme visuel de la carte bancaire

Les moyens pour capter ces informations à l'insu du titulaire de la carte bancaire sont :

  • Recopie visuelle ou de mémoire des informations de la carte bancaire
  • Photo ou photocopie recto/version de la carte bancaire
  • Vol de données d'un site sur lesquelles elles sont mémorisées à des fins de paiement automatiques

Pour tenter de diminuer les risques de vol d'identifiants d'une carte bancaire, quelques pistes :

  • Éviter d'enregistrer les codes des carte bancaire sur les sites de vente en ligne comme Amazon, Apple, etc., quitte à devoir les ressaisir à chaque commande
  • Ne jamais écrire laisser traîner sa carte de crédit
  • Ne payer par carte bancaire que sur des sites sécurisés par SSL
  • Éviter de laisser un tiers (vendeur, commerçant, serveur, caissier) manipuler la carte bancaire
  • Masquer les codes de sécurité ou cryptogrammes visuels à l'aide d'un adhésif fin et opaque

Il est maintenant prouvé que l'absence de centralisation des essais infructueux d'achat par carte bancaire permet à des escrocs très bien organisés de tester toutes les combinaisons de dates d'expiration et de CVV pour une carte bancaire donnée via des sites de vente en ligne. Le meilleur moyen d'éviter cela, aujourd'hui, est le recours à une confirmation d'achat par codes tel que le pratiquent certaines banques (ex. Verified by Visa, Mastercard SecureCode, Certicode par La Banque Postale, etc.)

Liens utiles

Vidéos

Les arnaques aux distributeurs automatiques de billets (DAB) Skimmer installé en 10 secondes à l'insu de la caissière

Cryptogramme visuel ou code de sécurité

Ensemble de chiffres inscrits au recto ou au version de la carte bancaire permettant de la sécuriser

    • Visa : CVV & CVV2 = Card Verification Value ou Card Validation Code
    • Eurocard MasterCard : CVC & CVC1 = Card Verification Code
    • American express : CID = Card ID
    • Les trois derniers chiffres au dos des cartes Visa et Eurocard/Mastercard
    • Les quatre chiffres au recto des cartes American Express


Cryptogrammes-visuels-cartes-de-credit-130413.jpg

Liens utiles

Articles externes - Français

Articles externes - Anglais

Articles Vulgum Techus

Commentaires

blog comments powered by Disqus

Récupérée de « https://www.vulgumtechus.com/index.php?title=Sécurité_des_cartes_bancaires&oldid=49007 »