e-skimming carte bancaire : éviter la fraude invisible

Main tenant une carte bancaire devant un ordinateur portable affichant une page de paiement en ligne

Quand une carte mène à des opérations inconnues

Vous saisissez votre carte pour régler un achat en ligne, et quelques jours plus tard votre compte affiche des opérations que vous n’avez jamais faites. Ce n’est pas forcément le fruit d’un mot de passe compromis : les fraudeurs ont sophistiqué leurs techniques et savent maintenant voler vos coordonnées bancaires sans laisser de trace visible.

Skimming et shimming : manipulations à la pompe et au guichet

Pendant des années, le skimming a opéré au guichet et à la pompe : un boîtier collé sur la fente du distributeur copie la bande magnétique pendant qu’une mini‑caméra ou un faux clavier enregistre le code PIN. Certaines de ces installations envoient ensuite les données par Bluetooth au fraudeur, qui n’a même plus besoin de revenir les récupérer.

L’arrivée des cartes à puce EMV a rendu ce clonage plus délicat, mais les criminels ont riposté avec le shimming : une feuille ultrafine glissée dans le lecteur qui intercepte les échanges entre la puce et le terminal. Il est quasi indétectable à l’œil nu.

En juin 2025, la police nationale a interpellé quatre individus à Vitry‑sur‑Seine qui avaient piégé des terminaux dans une station‑service. Les données volées servaient à effectuer des retraits à Madrid et Barcelone. Lors de la perquisition, 9 000 euros en liquide ont été saisis.

Comment le shimming alimente des retraits frauduleux

Les données récupérées par le shimmer servent souvent à créer des cartes à bande magnétique de substitution et à retirer de l’argent dans des pays où les terminaux acceptent encore ce mode de paiement. Selon la Banque de France, le préjudice financier lié au shimming en 2023 s’élevait à 36 000 euros, chiffre encore modeste mais en hausse et révélateur d’une propagation progressive de la technique.

E‑skimming : le boîtier malveillant devient code

Le grand saut, cependant, se passe en ligne. L’e‑skimming transpose le boîtier frauduleux dans le code : des lignes de JavaScript injectées sur la page de paiement d’un site marchand capturent numéro de carte, date d’expiration et cryptogramme au moment où vous les tapez.

Ces scripts envoient ensuite les informations vers un serveur contrôlé par les attaquants. Ni le client ni le commerçant ne s’en aperçoivent, car la page paraît normale et la transaction aboutit.

Réflexes simples pour limiter la fraude

Face à cette menace invisible, quelques réflexes simples réduisent fortement le risque : privilégier les paiements tokenisés (Apple Pay, Google Pay), activer la double authentification 3D Secure quand elle est proposée, vérifier régulièrement ses relevés et signaler immédiatement toute opération suspecte. Pour les commerçants, tenir à jour les CMS et auditer les pages de paiement évite qu’un script malveillant ne s’y glisse.

Les fraudeurs n’ont pas besoin d’être vus pour vider un compte ; ils ont juste changé de terrain et d’outils. Comprendre comment ils opèrent reste la première ligne de défense.

Publié le : 10 juin 2026

Panne Meta : Facebook, Instagram et Messenger hors service

Le chef de la sécurité d'Android claque la porte de Google

1 2 3 … 123 Suivant »

Cyberattaque invisible : des cartes bancaires vidées en ligne