Une fraude, appelée le shimming, permet à des hackeurs de vider les comptes bancaires de leurs victimes à leur insu. Pour cela, ils insèrent un dispositif dans la fente d’un distributeur automatique, capable de récupérer les données bancaires des utilisateurs lorsqu’ils y introduisent leur carte.
Comme le relatait Le Parisien il y a une dizaine de jours, quatre personnes – soupçonnées d’avoir manipulé les terminaux de paiement d’une station-service à Vitry-sur-Seine (Val-de-Marne) – ont été interpellées le 13 juin dernier. Des shimmers avaient été placés sur les terminaux de cette station-service, ce qui avait permis aux malfaiteurs de récupérer les données bancaires des clients, puis d’extraire des sommes conséquentes via des distributeurs de billets depuis l’Espagne.
Le dispositif enregistre les données de toutes les cartes
Il est fort probable que cette station-service de Vitry ne soit pas la seule à avoir été piégée, a indiqué le parquet de Paris au Parisien. Outre les stations-service, des distributeurs de billets pourraient eux aussi avoir été équipés de ce dispositif illégal. Une source policière a indiqué à nos confrères que le préjudice était en cours d’évaluation.
L’arnaque au « shimming » : une escroquerie qui s’en prend à votre carte bancaire et dont n’importe qui peut en être victime tant elle est difficile à détecter.
On vous en explique le principe et comment la déjouer. 🔽— Signal-Arnaques (@SignalArnaques) June 27, 2025
Concrètement, ce dispositif appelé shimmer est un petit appareil électronique pouvant s’insérer dans n’importe quel lecteur de cartes à puce. Signal Arnaques explique sur X que celui-ci, une fois posé « sur un lecteur de carte (par exemple sur un distributeur de billets ou une pompe à essence) », enregistre alors « les données de toutes les cartes qui y passent ». Ces informations, y compris le code saisi par la victime, sont ensuite transmises à des hackeurs opérant à distance.
Pas d’incidence sur le bon fonctionnement de la carte bancaire
Dans le dernier rapport de son Observatoire de la sécurité des moyens de paiement, la Banque de France précise qu’une « copie des données de la piste magnétique sera alors réalisée par le matériel sans que cela n’ait une quelconque implication sur le bon fonctionnement de la carte bancaire ».
Des cartes contrefaites sont alors créées par les malfaiteurs, et celles-ci sont ensuite utilisées « pour des paiements de proximité ou des retraits pour lesquels la lecture de la puce est facultative, comme pour les paiements aux péages autoroutiers ou dans les pays où la carte à puce est encore peu déployée (pays d’Amérique ou d’Asie du Sud-Est) », détaille encore la Banque de France, soulignant que les données usurpées « peuvent aussi être utilisées pour des paiements à distance, principalement sur les sites de e-commerce non européens qui n’ont pas mis en œuvre l’authentification forte du porteur de la carte ».
« Difficile à détecter »
Cette arnaque est d’autant plus pernicieuse qu’elle est « difficile à détecter », car, comme l’indique Signal Arnaques, ces dispositifs peuvent être « très discrets ». L’association américaine National Cybersecurity Alliance recommande toutefois quelques gestes de prudence pour éviter de se faire piéger. Le premier consiste à inspecter attentivement le lecteur de carte avant d’y insérer votre carte bancaire. Si celui-ci présente des éléments endommagés, mal ajustés ou des excroissances inhabituelles, cela peut indiquer qu’il a été trafiqué.
L’agence de cybersécurité conseille par ailleurs d’opter pour le paiement sans contact lorsque cela est possible, ou de régler ses achats via le portefeuille numérique de son smartphone (Apple Pay ou Google Pay).
De surcroît, il est important de surveiller ses comptes attentivement et régulièrement. Et si vous êtes victime d’une telle escroquerie, il faut signaler sans délai tout mouvement suspect à votre banque, comme le conseille encore Signal Arnaques, qui précise : « Vous devez alors être remboursé conformément au Code monétaire et financier. »
« La complexité technique du dispositif limite encore les attaques »
Pour autant, nul besoin de sombrer dans l’angoisse, étant donné que le préjudice financier lié à ce type d’attaque était estimé, en 2023, à 36.000 euros, d’après les données de l’Observatoire de la sécurité des moyens de paiement. Un chiffre en baisse par rapport à l’année précédente, où le montant s’élevait à 50.000 euros. Comparé aux arnaques à la carte bancaire, qui avoisinaient les 500 millions d’euros en 2023, ce montant reste dérisoire. De plus, la Banque de France souligne que « la complexité technique du dispositif limite encore les attaques ».
Notons enfin que le shimming n’est pas tout à fait la même chose que le skimming. « La différence est mince : là où le skimming enregistrait les données via la piste magnétique de la carte, le shimming utilise la puce de la carte », mentionne Signal Arnaques.
Comment pouvez-vous nous aider à vous tenir informés ?
Epoch Times est un média libre et indépendant, ne recevant aucune aide publique et n’appartenant à aucun parti politique ou groupe financier. Depuis notre création, nous faisons face à des attaques déloyales pour faire taire nos informations portant notamment sur les questions de droits de l'homme en Chine. C'est pourquoi, nous comptons sur votre soutien pour défendre notre journalisme indépendant et pour continuer, grâce à vous, à faire connaître la vérité.