Depuis mars dernier, plus de 1 000 détenteurs français de carte bancaire ont vu leur numéro piraté. Parmi les banques touchées : le Crédit Lyonnais et... le Trésor public.
Depuis le mois de mars, sur chaque nouveau relevé de compte qu’ils reçoivent, un millier de clients de banques françaises - peut-être davantage - voient apparaître une succession de paiements suspects effectués via leur carte bancaire. Des paiements dont ils n’ont aucun souvenir. Les sommes débitées sont très variables : de quelques centaines à plusieurs milliers de francs. Et elles correspondent toutes à des achats de cassettes vidéo et de DVD effectués sur des sites Web américains spécialisés dans la vente par correspondance.
Depuis début juillet, de plus en plus de victimes de ces ponctions indélicates vont se plaindre auprès de leurs banques. Où l’on n’a guère d’explications à leur fournir. Les guichetiers se contentent en général de faire opposition sur la carte et de mettre en place une procédure de remboursement. À la Trésorerie générale de la coopération, une division du Trésor public réservée aux coopérants, il est même arrivé qu’un employé de cette banque d’...tat refuse de fournir de nouvelles cartes. Motif invoqué : "Nous sommes incapables de vous en garantir la sécurité..."
"Ce genre de problèmes arrive de plus en plus fréquemment"
Que ce soit auprès du groupement cartes bancaires (GIE-CB, qui réunit plus de 170 banques) ou directement auprès des banques, il est difficile d’obtenir des réponses claires. Le GIE-CB "a bien entendu parler de l’histoire", mais assure être incapable de fournir une liste exacte des banques visées et encore moins une estimation des sommes détournées. "Vous savez, ce genre de problèmes arrive de plus en plus fréquemment", s’excuse-t-on. Un policier spécialiste de la sécurité informatique commente : "Les banques n’ont pas envie que tout le monde sache que le système actuel de télépaiement sur Internet est totalement poreux."
L’explication des vols est en fait assez banale. Elle est fournie par Dominique Dallo, chef du bureau des opérations de trésorerie et des moyens de paiement du Trésor public, à Bercy. À une date non-précisée, mais probablement en début d’année, le fichier clientèle d’un site américain de vente de vidéos a été piraté. Le ou les hackers ont récupéré une liste de numéros de cartes bancaires. Chaque séquence de ces numéros a une signification précise (comme ceux de la Sécu). À partir d’une de ces séquences, les hackers ont pu identifier l’agence où est enregistré le compte correspondant. Grâce à cette même séquence, ils ont inventé une série de vrais faux numéros de cartes. Faux, parce qu’ils ont été générés par les machines des pirates informatiques. Vrais, parce que ce sont les numéros de cartes bien réelles. Ce qui fait que la plupart des victimes n’ont jamais posé leur souris sur les sites auprès desquels ont été passés les ordres d’achat !
Pendant les contrôles, le piratage continue
Bercy ne peut donner avec certitude que deux noms de banques concernées par la fraude : le Trésor public (une centaine de clients) et le Crédit Lyonnais. Dominique Dallo admet quant à lui qu’"il est très probable que d’autres banques soient face à la même situation, y compris à l’étranger." Bref, c’est le brouillard complet. Selon la bonne vieille technique du doigt mouillé, le Trésor public avance un total d’"un millier de comptes touchés" en France, toutes banques confondues. Une estimation d’autant plus hasardeuse que quelque part dans le monde, le ou les hackers sont toujours en activité et continuent à receler paisiblement leurs cassettes et leurs DVD.
Le Trésor public envisage une parade : faire changer la série de chiffres qui permet d’identifier les agences des nouvelles cartes qu’il va émettre. Selon Dominique Dallo, c’est un rafistolage auquel les banques seront réduites "tant que des lecteurs de cartes bancaires ne seront pas systématiquement raccordés aux ordinateurs."