Stations essence, distributeurs de billets... Qu'est-ce que le "shimming", cette arnaque à la carte bleue qui sévit en région parisienne ?

Après le "skimming", voici le "shimming". C'est la dernière arnaque à la carte bleue repérée en Ile-de-France. Dans un message posté le 30 juin sur X, la police nationale indique en effet que "quatre individus qui sévissaient à Vitry sur Seine (91) depuis l'Espagne ont été interpellés et 9000€ saisis", dans le cadre d'une "nouvelle escroquerie à la carte bancaire".

Une affaire dont Le Parisien s'était d'ailleurs fait l'écho. D'après les forces de l'ordre, cette arnaque "consiste à piéger les lecteurs de carte pour pirater les données bancaires des victimes" et "les stations essence et les distributeurs de billets sont les plus touchés".

En réalité, cette technique n'est pas toute neuve précise la Banque de France. Son rapport de l'Obersatoire de la sécurité des moyens de paiement en 2023 en faisait déjà état. Il y est indiqué que : "le préjudice financier lié à ce type d'attaque est estimé à 36 000 euros en 2023, en baisse par rapport à 2022 (50 000 euros)." La Banque de France précise à franceinfo que cette escroquerie est toutefois loin d'être la plus répandue. "La complexité technique du dispositif limite encore les attaques", peut-on lire également dans ce même rapport.

Une technique qui s'attaque à la puce

La tromperie a également été repérée par Signal-Arnaque, un site communautaire dédié aux arnaques d'internet et qui a communiqué dessus sur les réseaux sociaux. "Le principe est de poser sur un lecteur de carte (par exemple sur un distributeur de billets ou une pompe à essence) un dispositif qui enregistre les données de toutes les cartes qui y passent", explique l'organisation sur X.

Le procédé ressemble fortement au "skimming", une pratique bien connue depuis des années, mais il se distingue par un détail technologique. "La différence est mince : là où le skimming enregistrait les données via la piste magnétique de la carte, le shimming utilise la puce de la carte", développe Signal-Arnaques. La Banque de France confirme et précise que le matériel utilisé est "un peu similaire au skimmer dans son intégration dans un automate" mais celui-ci "intercepte les données de la puce de la carte bancaire, dont son code confidentiel".

Signaler "tout mouvement anormal"

Contactée, la police nationale indique que cette escroquerie semble pour l'heure, encore rare et concentrée à Paris et sa petite couronne. La difficulté réside toutefois dans le fait qu'il est très difficile pour le commun des mortels de détecter une anomalie sur un lecteur de carte. Signal-Arnaques préconise ainsi de surveiller régulièrement ses comptes bancaires et "de se signaler auprès de sa banque en cas de mouvement anormal". Le site rappelle en effet que les banques, dans ce cas-là, sont tenues de vous rembourser, "conformément au Code monétaire et financier".

La Banque de France rappelle au passage que "contre le skimming ou le shimming, il appartient aux gestionnaires de distributeurs de billets et de stations-service d'être vigilants contre l'installation par des tiers de dispositif externe frauduleux (lecteur, caméra, clavier…)."