Cette année, l’été a pris un goût amer pour Julie Vernet, chargée de communication de 34 ans. Un dimanche comme les autres, en payant son plein d’essence près de la porte de Montreuil, elle n’a pas remarqué cette minuscule puce à peine plus large qu’un euromillimètre. Trois jours plus tard, après avoir déjeuné au bureau, elle reçoit une alerte SMS : « Débit de 412 euros sur votre compte chèque. Opération effectuée à Shenzhen. » Le shimming, technique de fraude ultra-discrète, venait de lui ruiner la récréation.
Qu’est-ce que le shimming et pourquoi parle-t-on de lui maintenant ?
Le mot « shimmer » vient de l’anglais « to shim », littéralement « caler », comme on glisse une rondelle entre deux planches. Ici, l’espace est celui que laisse un lecteur de carte avant et après l’insertion. Le shimmer est donc un micro-pont électronique placé au-dessus du connecteur de puce. Il n’a besoin que de quelques millisecondes pour copier l’ensemble du dialogue entre la carte et la machine. Les faits sont revenus au goût du jour cet été, alors que le service répression des fraudes de la Préfecture de police de Paris note une flambée de 32 % des signalements dans la petite couronne par rapport à 2022.
À Vanves, Mehdi Kazandjian, agent technique dans un centre télécom, a capté les premiers indices : « Je remarquais que ma carte refusait systématiquement de sortir une première fois, puis marchait au deuxième essai. Je n’ai compris qu’après mon opération : 1 800 euros de montres connectées achetées depuis Miami. J’étais le même jour en formation sur site ! » L’incident, anodin à ses yeux au départ, est rapproché par les enquêteurs d’un modus operandi très caractéristique : l’insertion douteuse — suffisamment courte pour ne pas alerter, suffisamment longue pour lier le shimmer à la puce.
Comment les fraudes au shimmer se déroulent-elles en pratique ?
Les shimmers ressemblent à de fines feuilles d’aluminium pliées en accordéon. La partie sensible, un microcontrôleur espion, se loge juste derrière la prise de contact. Dès qu’une carte est introduite, le composant capte la tension électrique, acte l’échange de données et les stocke. Rien ne se voit : ni faux clavier, ni fausse façade, pas même un haut-parleur qui sifflerait. Le dispositif est si peu encombrant que, dans 70 % des cas, seul un agent en uniforme l’ayant vu installé peut le différencier d’un fil normal.
Trois étapes ensuite :
- le vol des données dans un délai de trois jours à deux semaines ;
- la fabrication d’une carte-réplique ou l’usage direct des numéros pour des achats en ligne ;
- le débit sur le compte avant que la victime ne remarque la supercherie.
À Clichy-sous-Bois, le GIGN-ouest — unité spécialisée de la BRIF — a démantelé en juin un atelier improvisé dans une cave. Sur place, 1 200 cartes vierges, 14 ordinateurs et deux imprimantes à haute résolution attendaient les enregistrements récupérés par leurs shimmers plantés la veille sur des bornes de recharges de trottinettes électriques.
Pourquoi les pertes restent modestes… mais le danger est réel ?
En 2023, le centre commun de surveillance de la Banque de France recense 36 000 euros de pertes dues au seul shimming. À côté du demi-milliard général des fraudes à la carte, l’impact paraît faible, presque anecdotique. Pourtant, cette somme dissimule des cas individuels parfois lourds : maximum constaté sur une seule victime : 4 700 euros. L’infléchissement s’explique par l’arrivée de la 3-D Secure version 2 et la généralisation du sans-contact lissé sur 50 euros. On parle moins, mais on s’agace plus : les fraudes sont moins fréquentes, mais toujours capables de ruiner le budget d’une famille en une journée.
À Rosny-sous-Bois, Raphaël Boisaubert, père au foyer et bénévole pour Emmaüs, doit rembourser mensuellement 150 euros d’échéances pendant trente mois après avoir vu 4 300 euros « s’envoler » lors d’un week-end où lui et son épouse campaient dans le Morbihan sans réseau. « Mon conseiller m’a dit « c’est rare » ; moi, c’était 100 % de mon salaire ! » souligne-t-il.
Quelle est l’efficacité des solutions mises en place ?
Banques et fabricants de terminaux ont emboîté le pas rapidement. Particulièrement remarquable : la carte à cryptogramme dynamique lancée par BNP Paribas. Chaque code de trois chiffres change toutes les 60 minutes via un micro-écran intégré. Même si les données côté puce sont phagocytées, le cryptogramme devient invendable au-delà d’une heure. Une version plus simple coûte aujourd’hui moins de 3 euros à produire, contre 14 euros en 2020.
Deux autres mesures gagnent du terrain :
- les bornes intelligentes qui, dès qu’elles détectent un objet totalisant plus de 0,9 mm d’épaisseur entre le lecteur et l’insert, refusent la transaction et se verrouillent. Pour l’instant, 8 000 distributeurs en Seine-Saint-Denis bénéficient de ce dispositif ;
- les alertes instantanées dès 1 euro réglé hors de France métropolitaine, impossibles à désactiver, et accompagnées d’un chauffe-téléphone + mail si le montant dépasse 100 euros.
Le résultat ? Trois shimmers découverts par semaine en juillet, un chiffre en chute de moitié depuis février. Mais attention : face à l’augmentation des paiements à 50 euros sans code, les fraudeurs passent eux aussi au sans-contact persistant : terminaux sans fil truqués dans le métro, sacs à dos dotés d’antennes. Adaptation contre adaptation.
Où et quand faut-il redoubler de vigilance ?
Certaines fréquentations sont plus à risque que d’autres en Île-de-France :
- les stations-service de bords d’autoroute où des faux caissiers remplacent les vrais la nuit ;
- les distributeurs automatiques de billets entre minuit et 5 h, heures où la vidéosurveillance est en « mode résumé » sur les écrans ;
- les parkings à barrière, ces lieux où le billet papier et la carte bancaire se côtoient, et où les visiteurs, pressés, baissent la garde.
L’équipe sécurité de l’enseigne Q-Park, à Paris-Est, a détecté en mars un shimmer颜色 dans la boîtier d’un bip de contrôle ultrason : « N’importe qui pouvait le scotcher en 10 secondes, là où le lecteur parle à la barrière », résume Coline Armand, responsable sureté.
Quelles actions simples peut-on mettre en place chaque jour ?
Être attentif, c’est vite dit. Concrètement :
- Mouvement suspect = mouvement refusé. Si la carte refuse une première fois puis accepte sans que vous ne voyiez message d’erreur, mieux vaut changer de borne ou payer autrement.
- Adopter le sans-contact avec modération. Au-dessus de 100 euros, tapez le code dos à la caméra et masquez l’écran de votre carte à l’oeil d’une éventuelle caméra fait-main.
- Activer la géolocalisation de l’app mobile de votre banque. Vous recevrez un push si votre carte est utilisée à plus de 300 km de votre téléphone en moins de deux heures.
- En fin de journée, prenez 30 secondes pour cocher vos derniers débits en bus ou au métro : la majorité des victimes découvrent la fraude entre 48 h et 15 jours plus tard.
Selon le syndicat UFC-Que Choisir, les remboursements arrivent en moyenne 5,7 semaines après la plainte, mais l’enquête se limite souvent à un mail de courtoisie. Donc agir vite, c’est raccourcir la procédure : remplir la déclaration en ligne avec photo du reçu et capture d’écran de l’alerte suffit le plus souvent.
Que font la police et la Banque de France pour briser les réseaux ?
Depuis 2022, la Brigade de répression de la délinquance astucieuse (BRDA) centralise tous les dossiers « shimmer ». Son chef, le commissaire Gilles Verrier, souligne : « Nous avons constitué une base de données partagée avec 14 pays européens ; on échange les photos de shimmers retrouvés, leurs circuits d’achat, leurs heures d’activité. » En juin, une opération conjointe entre la BRDA et la police judiciaire roumaine a mené à l’arrestation d’un « artisan » de Bucarest livreur principal de shimmers dans le nord de la France.
Du côté de la Banque de France, les laboratoires LISIS fabriquent désormais des pastilles de test rouge. Chaque nouvelle borne est mise en contact avec cette fausse carte. Si la pastille change de couleur, c’est la urgence pose zero : la borne est immédiatement fermée. Résultat, 12 % des distributeurs concernés seraient déjà équipés, pour une mise en réseau complète envisagée courant 2025.
A retenir
Qu’est-ce qui différencie le skimming du shimming ?
Le skimming copie la piste magnétique tandis que le shimming pirate la puce sécurisée. Le matériel est plus fin et plus difficile à détecter.
Combien de temps dispose-t-on pour se rendre compte d’une fraude shimmer ?
Les débits suivent souvent la détection d’un à quinze jours. Plus on est rapide à constater et signaler, plus le remboursement est souple. La carte est bloquée en 30 secondes 24 h/24 en tapant l’app de sa banque depuis le téléphone.
Peut-on être remboursé même si aucun shimmer n’a été saisi ?
Oui. Lorsque la victime saisit les faits avant tout paiement contestable et que le site qui héberge eu une activité anormale dans les 24 heures, la charge de la preuve bascule sur la banque.
Le shimming va-t-il s’éteindre sous peu ?
Peu probable. Les fraudeurs gagnent 200 à 400 euros par carte détournée, soit 20 fois le coût d’un shimmer. Tant ce rapport reste avantageux, le jeu perdure.
Conclusion
Julie a été remboursée dans les six semaines grâce à une déclaration flash sur l’application de sa banque. Mehdi, lui, n’a révélé la fraude que trop tard ; il a pu récupérer 1 300 euros sur 1 800, la différence étant considérée comme un défaut de vigilance. Ces histoires sonnent comme des anecdotes, jusqu’à ce qu’elles deviennent la vôtre. Le shimmer est discret, le remboursement lent, la prévention gratuite. Tout est donc affaire d’habitude. Checking de 20 secondes chaque soir, code dynamique partout, refus d’un terminale douteux : trois gestes pour combattre cette puce qui n’a qu’un millimètre d’avance.