Améliore révolue, l’idée de filer jusqu’à un distributeur pour retirer 50 € reste un réflexe du quotidien. Pourtant, au même moment où vous tapez tranquillement votre code, un petit boîtier peut enregistrer votre carte et votre n secret. Résultat : sur un simple tour de distributeur, votre compte se vide de plusieurs centaines d’euros sans que vous n’ayez encore posé le pied dehors. Comment se construit une telle arnaque et que faire pour la déjouer ?
Qu’est-ce qui rend le distributeur si dangereux ?
À Amiens, Jade Bouvet, 21 ans, trébuche en pleine rue après avoir réalisé cinq retraits. Elles imagine un moment de fatigue. Sauf qu’au total, 1 350 € ont filé de son compte entre 2 h et 5 h du matin alors qu’elle dormait. Comment ? Une fausse façade fixée sur le DAB de la gare a capturé la bande magnétique de sa carte et la caméra posée dans le plafond a saisi son code. Un scénario de plus en plus fréquent en France : en 2023, plus de 11 000 dossiers d’arnaques par « skimming » ont été déposés auprès des banques, un bond de 34 % en un an.
L’astuce a d’abord étalé ses racines aux États-Unis, puis a traversé l’Atlantique dans les valises d’escrocs passés maîtres en micro-électronique. Aujourd’hui, les outils tiennent dans une boîte d’allumettes et se posent en dix secondes. Le faux lecteur vibre à peine quand la carte est glissée ; le lecteur original, lui, travaille en parallèle, si bien que l’opération paraît parfaitement normale.
Quelles sont les trois méthodes qui sévissent le plus ?
Le classique : le skimming et ses jumelles
C’est la paire vedette : un lecteur superposé + une micro-caméra. Le lecteur lit la bande, la caméra récupère le code. Ensemble, ces données fabriquent une carte clonée qui fonctionnera dans d’autres DAB ou sur Internet.
Le clavier fantôme
Plus discret encore : un faux clavier se pose directement sur le vrai. Chaque touche pressée est enregistrée instantanément. L’oeuf de Christophe Colomb : la carte n’est pas copiée, le code suffit chez les e-commerçants qui n’exigent pas le cryptogramme visuel.
Le crochet blindeur
Autre variante, le décrochage du distributeur : les fraudeurs scotchent un fil métallique dans la fente. La carte est avalée, l’utilisateur repart bredouille et croit à un incident technique. Les arnaqueurs récupèrent la carte à la tombée de la nuit et l’exploitent avant que la banque n’ait eu le temps de la bloquer.
Comment se déroule véritablement l’attaque minute par minute ?
Guillaume Ramos, ex-analyste de la brigade financière, raconte comment il a coincé un réseau en mai dernier à Lyon : « L’équipier pose le skimmer entre 19 h 15 et 19 h 20 . Il a déjà repéré un distributeur à faible angle de vidéosurveillance. Le lendemain, il revient vers 4 h avec trois cartes clonées : il retire en six minutes 1 680 € à des centaines de kilomètres de là avant de rejoindre l’Espagne. » Selon lui, l’invasion dure en moyenne trente-quatre heures : le temps qu’un client réclame, que la banque procède à l’examen de l’appareil, que la police territoriale daigne intervenir.
Ou trouve-t-on ces faux équipements ?
Un tour sur certaines places de marché sombres suffit : faux lecteur à 300 €, micro-caméra 4K à 120 €, faux clavier transparent à 190 €. Le kit complet ne dépasse pas 600 €, remboursé en une seule nuit de retraits illicites. Selon Interpol, les fournisseurs passent surtout par la Hongrie, la République tchèque et la Géorgie : des pièces montées en atelier clandestin et expédiées en enveloppe standard.
Peut-on repérer une arnaque rien qu’en regardant la machine ?
Oui, à condition de ne pas filer tête baissée. Les signes sont parfois grossiers : couleur délavée du plastique autour du lecteur, épaisseur anormale, fissure, composants mal alignés. Dans un distributeur Axa Banque près de Bordeaux, un simple éclairage laiteux aiguillé d’un smartphone a suffi à attirer l’attention d’Adèle Versini : « Le rectangle n’était pas parallèle. J’ai reculé doucement et prévenu la police municipale. » Le dispositif illégal a été saisi ; l’enquête a révélé qu’il contenait déjà 57 numéros de carte.
Quelles habitudes quotidiennes limitent vraiment les risques ?
- Préférer les DAB à l’intérieur des agences : ils sont plus surveillés, refoulés par des sas sécurisés et surveillés 24 h/24.
- Utiliser son corps pour surplomber le clavier et couvrir la main gauche lors de la frappe.
- Tirer légèrement sur le lecteur avant d’insérer la carte ; un lecteur légitime ne bouge pas.
- Parier sur l’application bancaire : la majorité des banques offrent une carte virtuelle et des retraits sans contact en affichant un QR-Code unique.
Clara Phan, 38 ans, a claqué des doigts : « Mon appli me fait apparaître un code de retrait valable dix minutes. Je retire mon argent puis le code devient caduque. J’ai même désactivé ma carte physique : impossible de l’utiliser hors paiement sans contact. »
Quels dispositifs bancaires se cachent derrière le mot « remboursement » ?
Lorsque le détournement est avéré, la réponse des banques est encadrée par la loi : elles ont au maximum quinze jours ouvrables pour créditer le montant litigieux. Si la fraude est avérée, l’intégralité est remboursée. Si la victime a commis une « négligence grave » (code écrit sur une note collée sur la carte ou baby-foot à longueur de journée), elle peut être redevable jusqu’à 150 €.
Les plus rapides ? Selon un sondage Ipsos publié en mars, BNP Paribas et Crédit Mutuel figurent en tête avec des délais médians de 12 jours. À l’autre bout du classement, certaines néo-banques exigent jusqu’à cinq semaines d’enquête interne, période où le compte est bloqué partiellement.
Que fait la police quand elle se saisit du dossier ?
En 2022, la plate-forme de signalement de la gendarmerie nationale a créé une case sécurisée « DAB-SOS » où chaque photo ou vidéo prise sur place est transmise instantanément via messagerie sécurisée. Un algorithme compare les images avec un catalogue de faux équipements, ce qui accélère l’enquête. Au Mans, un simple témoignage vidéo TikTok – tourné par un lycéen qui avait flairé le danger – a permis l’interpellation de trois Roumains en possession de 153 cartes clonées.
Comment les fournisseurs de DAB mettent-ils la barre plus haute ?
Depuis deux ans, les fabricants NCR et Wincor ont intégré un système de lecteur infrarouge qui mesure l’épaisseur du plastique inséré. Toute anomalie déclenche un message de sécurité sur l’écran et enregistre les images de la façade. À Toulouse, un test grandeur nature sur huit distributeurs a blanchi 132 000 retraits sans réussir à faire accepter un seul faux lecteur.
A retenir
Combien de temps faut-il pour vérifier un distributeur ?
Trois secondes suffisent : observez le lecteur, tirez doucement, regardez autour de vous.
Une carte bloquée est-elle garantie remboursée ?
Oui, sauf en cas de négligence avérée retenue par la banque.
Le retrait sans carte est-il vraiment plus sûr ?
C’est la solution ayant le taux le plus faible de fraude : 0,0003 % seulement en 2023 selon le Comité des cartes bancaires.
Les DAB de supermarché sont-ils plus dangereux ?
Oui. Les MVDR (les DAB de commerces) sont la cible favorite, avec 61 % des pièges relevés contre 8 % pour ceux installés en façade d’agences.
Conclusion
Retirer de l’argent fait partie des gestes du quotidien, exactement comme acheter un pain. Mais aujourd’hui, la menace flotte au-dessus de votre carte. Le bon réflexe : prendre toujours cinq secondes pour scrupuleusement examiner la machine, couvrir le clavier et, si possible, adopter les outils sans contact. Un examen minutieux et un peu de bon sens suffisent pour rendre les escrocs inoffensifs.