Grâce au Dark Web, il est de plus en plus facile de récupérer des numéros de cartes volés et de les utiliser pour des achats en ligne. Même les gamers se laissent tenter. Mais les forces de l’ordre n’ont pas dit leur dernier mot.
Contrairement à ce que l’on pourrait penser, la fraude à la carte bancaire en ligne n’est pas un usage qui se limite au monde de la délinquance chevronnée. De plus en plus de personnes ordinaires transgressent la loi pour arrondir leurs fins de mois ou faire des achats qui sortent de l’ordinaire (chaîne Hi-Fi, smartphones…). « Cette démocratisation de la fraude à la carte bancaire en ligne se voit dans les statistiques. Le nombre de tentatives de fraude à partir de cartes bancaires françaises est passé de 2 millions en 2016 à 3,4 millions en 2017 », explique Cyril Piat, colonel à la Gendarmerie nationale, à l’occasion du FIC 2019. Les chiffres pour 2018 ne seront disponibles qu’en juillet prochain. Ils risquent d’être encore plus élevés. « Il y a un domaine de l’e-commerce qui connaît beaucoup d’usages frauduleux, ce sont les jeux vidéo. Les achats d’armures magiques et d’autres biens immatériels sont souvent fait avec des numéros de carte bancaire détournés », ajoute-t-il.

Plusieurs facteurs expliquent cette prolifération. Il y a tout d’abord la multiplication des vols de données par phishing, ce qui est probablement la principale origine des numéros de cartes bancaires en circulation. Le mode opératoire de cette arnaque est souvent le même : un e-mail invite l’internaute à rentrer des données sur une fausse page de connexion sous un motif fallacieux. « Une première page affiche un formulaire pour l’identifiant et le mot de passe. Une seconde page demande d’entrer les données de la carte bancaire », précise Cyril Piat.

Des conseils et des guides à foison
Une autre « source d’approvisionnement » est le piratage direct. En dépit d’une norme assez contraignante (PCI DSS), il arrive que certaines bases de données gérées par les marchands ne soient pas assez bien sécurisées. Par ailleurs, certains groupes, comme Magecart, ont développé des techniques permettant de siphonner ces données sensibles directement depuis le site web e-commerce, au moment même où elles sont renseignées par l’internaute. Enfin, il arrive aussi que les données de cartes bancaires soient dérobées puis revendues par une personne interne à l’entreprise.

Le second facteur qui contribue à cette démocratisation est le Dark Web où l’on peut trouver non seulement des places de marché pour acquérir des numéros de cartes volés (voir ci-dessus), mais aussi des guides pour savoir comment les utiliser sans se faire coincer. C’est surtout très utile pour le cas de l’achat frauduleux d’un bien matériel qui nécessite de donner une adresse postale. « Il existe toute une communauté criminelle qui prodigue des conseils en ligne et pousse à la transgression. Sur l’un de ces sites, nous avons dénombré pas moins de 1 400 fils de discussion sur le sujet », souligne le colonel. Finalement, pour connaître les tenants et aboutissants d’une telle fraude, il suffit de télécharger Tor Browser et de consacrer quelques heures à traîner sur des forums. Rien de bien compliqué.

Haro sur les gros fraudeurs
Jusqu’à présent, la répression contre ce type de fraude n’a pas été simple, car les montants du préjudice sont relativement faibles, de quelques dizaines à quelques centaines d’euros. Même si les forces de l’ordre arrivent à identifier l’auteur d’une fraude, cela ne sert à pas grand-chose. Face au juge, le pire qui pourrait lui arriver est un rappel à la loi. Toutefois, la création en juin 2018 de la plate-forme de signalement Percev@l a un peu changé la donne. A ce jour, ce site a recueilli plus de 77 748 signalements correspondants à plus de 300 000 usages frauduleux. C’est suffisamment important pour permettre de détecter, par recoupement d’informations, les gros fraudeurs ou les réseaux de fraudeurs.

Le second facteur qui contribue à cette démocratisation est le Dark Web où l’on peut trouver non seulement des places de marché pour acquérir des numéros de cartes volés (voir ci-dessus), mais aussi des guides pour savoir comment les utiliser sans se faire coincer. C’est surtout très utile pour le cas de l’achat frauduleux d’un bien matériel qui nécessite de donner une adresse postale. « Il existe toute une communauté criminelle qui prodigue des conseils en ligne et pousse à la transgression. Sur l’un de ces sites, nous avons dénombré pas moins de 1 400 fils de discussion sur le sujet », souligne le colonel. Finalement, pour connaître les tenants et aboutissants d’une telle fraude, il suffit de télécharger Tor Browser et de consacrer quelques heures à traîner sur des forums. Rien de bien compliqué.

Haro sur les gros fraudeurs
Jusqu’à présent, la répression contre ce type de fraude n’a pas été simple, car les montants du préjudice sont relativement faibles, de quelques dizaines à quelques centaines d’euros. Même si les forces de l’ordre arrivent à identifier l’auteur d’une fraude, cela ne sert à pas grand-chose. Face au juge, le pire qui pourrait lui arriver est un rappel à la loi. Toutefois, la création en juin 2018 de la plate-forme de signalement Percev@l a un peu changé la donne. A ce jour, ce site a recueilli plus de 77 748 signalements correspondants à plus de 300 000 usages frauduleux. C’est suffisamment important pour permettre de détecter, par recoupement d’informations, les gros fraudeurs ou les réseaux de fraudeurs.

Ainsi, dans le cadre d’une enquête en cours au sein de la Gendarmerie, Percev@l a permis de relier plus de 15 signalements pour révéler une assez grande opération de blanchiment. « Les délinquants se connectent sur des sites de jeu en ligne et se retrouvent tous autour d’une table de jeu qui sera alimentée par des paiements frauduleux. A la fin de la partie, chacun repart avec de l’argent blanchi », explique Cyril Piat. L’enquête n’est pas encore terminée, mais elle a d’ores et déjà permis d’identifier quatre ou cinq personnes pour un préjudice total de plus de 100 000 euros répartis sur une vingtaine de victimes.

Si cette technique d’enquête permet d’aller plus loin, elle ne permettra pas de réprimer la fraude dans son ensemble. Il est probable que les petits fraudeurs isolés et occasionnels continueront de passer à travers les mailles du filet. Si le préjudice est faible, personne ne s’intéressa à eux, sauf s’il s’agit de faire un exemple comme cela arrive de temps en temps. Côté utilisateurs, un bon moyen d’éviter les problèmes est d’utiliser des numéros de cartes bancaires à usage unique, comme le proposent les services « e-Carte Bleue » des banques. Certes, ce service est payant, mais il permet d’éviter les mauvaises surprises.

Rappelons que pour ce genre de fraude, le propriétaire de la carte se fera toujours rembourser, à condition de détecter assez rapidement les paiements frauduleux. Le premier réflexe est alors de faire opposition, puis de signaler les transactions frauduleuses à la banque.