Вы находитесь на странице: 1из 40

Dlits sur les GAB

Aot

Vue densemble de la situation en Europe et rgles dor pour les viter

09

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Au sujet de lENISA
LAgence europenne charge de la scurit des rseaux et de linformation (ENISA) est une
agence europenne qui a t cre afin damliorer le fonctionnement du march intrieur.
LENISA est un centre dexcellence en matire de scurit des rseaux et de linformation pour les
tats membres et les institutions de lUnion. Elle prodigue conseils et recommandations et agit
comme une centrale dinformations en matire de bonnes pratiques. En outre, elle facilite les
contacts entre les institutions europennes, les tats membres, les entreprises prives et les
acteurs de lindustrie.
Coordonnes:
Pour toute information gnrale ou concernant la sensibilisation la scurit de linformation,
veuillez nous contacter ladresse lectronique suivante:
Courriel: Isabella Santa, Responsable Sensibilisation awareness@enisa.europa.eu
Internet: http://www.enisa.europa.eu/

Avertissement juridique
Nous tenons signaler que cette publication reflte le point de vue et les interprtations des
auteurs et diteurs, sauf avis contraire. Ce document ne doit pas tre considr comme une
action de lENISA ou de ses organes, sauf sil est adopt conformment au rglement (CE)
n 460/2004 instituant lENISA. Cette publication ne reflte pas ncessairement ltat actuel des
choses et est, de ce fait, susceptible de faire lobjet de mises jour.
Les sources tierces sont cites chaque fois que cela est ncessaire. LENISA ne peut tre tenue
responsable du contenu des sources externes, y compris les sites web externes cits dans cette
publication.
Cette publication a un objectif purement ducatif et informatif. Ni lENISA, ni quiconque agissant
en son nom, ne peut tre tenu responsable de lusage qui pourrait tre fait des informations
contenues dans la prsente publication.
Reproduction autorise, moyennant mention de la source.
Agence europenne charge de la scurit des rseaux et de linformation (ENISA), 2009

Secure USB Flash Drives

June

Dlits sur les GAB:

Vue densemble de la situation en Europe et


rgles dor pour les viter

Aot 2009

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Remerciements
Plusieurs personnes ont soutenu ce travail et y ont contribu directement ou indirectement de
diverses faons. Les informations comprennent des contributions de diffrents membres de la
communaut de la sensibilisation (AR Community) de lENISA.
LENISA tient remercier les membres de lAR Community et leurs organisations, ADICAE, Arjen de
Landgraaf dE-Secure-IT, Daniel Blander dInfoSecurityLab Inc., David Barroso de S21sec, Fabio
Guasconi de @ Mediaservice.net S.r.l., Fabrizio Cirilli, Gerasimos Ntouskas de KPMG Limited,
INTECO, Joao Brites Moita, Lachlan Gunn de European ATM Security Team Ltd, Neal Ysart de PwC,
Sissel Thomassen dInfoSecure, William Beer de PwC, Yves Le Roux de CA, qui ont apport
llaboration de ce document de prcieuses contributions, de la documentation et un soutien diligent.
Enfin, nous tenons remercier toutes les personnes qui ont contribu llaboration de ce document
par leurs analyses informelles, leur perspective intressante, leurs observations, suggestions et
solutions. Nous souhaitons notamment remercier les membres de la European ATM Security Team.
Bien que cette liste ne soit videmment pas exhaustive, le contenu prsent ici ne pourrait tre ni
complet ni correct sans leur contribution.

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Table des matires


AU SUJET DE LENISA ............................................................................................................. 2
REMERCIEMENTS .................................................................................................................... 4
TABLE DES MATIERES ......................................................................................................... 5
RESUME .............................................................................................................................. 7
PARTIE 1: LES GAB ET LEURS IMPLICATIONS EN TERMES DE SECURITE ............................ 9
GAB................................................................................................................................... 10
DEFINITION .........................................................................................................................10
UTILISATION DES DISTRIBUTEURS AUTOMATIQUES: LE PANORAMA EUROPEEN...............................................10
DELITS SUR LES GAB ET LEUR IMPACT FINANCIER EN EUROPE ........................................ 11
PERTES ESTIMEES DANS LE MONDE ENTIER ......................................................................................12
QUELQUES INCIDENTS RECENTS DANS LE MONDE ...............................................................................12
TYPES DE DELITS SUR LES GAB ........................................................................................ 12
DEFINITION .........................................................................................................................12
VOL DES INFORMATIONS CONTENUES SUR LA CARTE BANCAIRE ...............................................................13
Card skimming ................................................................................................................................................. 14
Faux distributeurs de billets ............................................................................................................................. 16
Card trapping ................................................................................................................................................... 16
Vol par distraction ou vol manuel ................................................................................................................. 17
Shoulder surfing............................................................................................................................................... 17
Quitter une opration en cours ........................................................................................................................ 17
Cash trapping .................................................................................................................................................. 18
ATTAQUES INFORMATIQUES ET VIA RESEAU .....................................................................................18
Attaques sur les distributeurs via le rseau ..................................................................................................... 18
Virus et logiciels malveillants ........................................................................................................................... 18
Hameonnage ................................................................................................................................................. 19
Vols de codes confidentiels ............................................................................................................................. 19
ATTAQUES PHYSIQUES CONTRE LES GAB .......................................................................................19
IMPLICATIONS EN TERMES DE SECURITE ......................................................................... 19
QUE SE PASSE-T-IL LORSQUE LES DONNEES DUN UTILISATEUR ONT ETE SUBTILISEES? ...................................19
RISQUES ET DANGERS .............................................................................................................20
IMPLICATIONS POUR LES TITULAIRES DE CARTE EN TERMES DE SECURITE ....................................................21
Protection de carte........................................................................................................................................... 21
Protection personnelle ..................................................................................................................................... 21
Protection du code confidentiel ........................................................................................................................ 22
Dtails des cartes bancaires et linternet ......................................................................................................... 22
Autres prcautions de scurit ........................................................................................................................ 22
Conservez le numro durgence de la banque porte de main .................................................................... 22
PARTIE 2: RGLES DOR .................................................................................................... 23
REGLES DOR POUR REDUIRE LES DELITS SUR LES GAB ................................................... 24
CONCLUSIONS .................................................................................................................. 27
ANNEXE ............................................................................................................................ 29

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

UTILISATION DES GAB ET FRAUDE: ETUDES DE CAS .........................................................30


CHYPRE ............................................................................................................................. 30
Incidents rcents survenus Chypre .............................................................................................................. 30
Risques et dangers ......................................................................................................................................... 31
ITALIE .............................................................................................................................. 32
Mthodes utilises lors des attaques .............................................................................................................. 32
PORTUGAL .......................................................................................................................... 34
Le rseau de GAB ........................................................................................................................................... 34
Risques et niveaux de fraude .......................................................................................................................... 35
Vers un environnement plus sr ...................................................................................................................... 36
REFERENCES ET LECTURES CONSEILLEES..........................................................................37

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Rsum
Le nombre de guichets automatiques bancaires (GAB) augmente chaque anne en Europe. On en
trouve de plus en plus dans de nombreux endroits autres que les banques, comme les commerces
de proximit, les aroports, les stations-service, les gares ferroviaires, les grands magasins, etc.
Avec la hausse du nombre de GAB en Europe, une augmentation considrable du nombre total de
dlits sur les GAB a t observe, les pertes totales se montant 485,15 millions deuros en 2008.
Le crime organis est lorigine dun grand nombre de ces attaques, et la rcession est considre
comme un facteur probable de cette augmentation. Par consquent, lindustrie des GAB a fait de la
scurit des utilisateurs et de la protection contre la fraude une priorit majeure afin de maintenir la
confiance lgard du systme.
Le prsent livre blanc vise offrir une srie de recommandations afin de sensibiliser les utilisateurs
aux diffrents types de risques auxquels ils sexposent lorsquils recourent un GAB, ainsi que des
conseils sur la manire de les identifier et de les contrer. LENISA estime que la sensibilisation des
utilisateurs aux risques constitue le premier moyen de dfense dans la lutte contre les dlits sur les
GAB, et quelle peut entraner une rduction significative des attaques et des fraudes sur les GAB. Il
convient de former et de conseiller les citoyens sur les moyens de rduire ces risques en prenant les
prcautions ncessaires lors de lutilisation dun distributeur automatique (comme composer leur
code confidentiel labri des regards) et en tant attentifs aux moindres signes daltration ou
dactivit suspecte proximit dun GAB.
Les dlits sur les GAB sont en constante volution, au mme titre que les mesures requises pour les
contrler. Le prsent document ne peut couvrir tous les risques lis lutilisation des GAB, pas plus
quil ne peut offrir des conseils complets sur la manire de les utiliser en toute scurit. Il doit au
contraire tre vu comme un point de dpart utile et ncessaire la sensibilisation gnrale des
utilisateurs aux risques auxquels ils sexposent en utilisant les GAB, dans lUnion europenne comme
ailleurs dans le monde, la scurit des donnes et aux bonnes pratiques de lindustrie. LENISA
sengage fournir aux utilisateurs de GAB des informations instructives sur les vulnrabilits
potentielles et invite instamment les banques, les institutions financires, les systmes de paiement
et les services chargs de faire appliquer la loi fournir des informations et des conseils
supplmentaires lchelon national dans les tats membres de lUE.
Le prsent document ne porte aucunement sur les conditions lgales rgissant linstallation,
lexploitation et la maintenance des GAB, le traitement des oprations effectues sur les GAB ou la
circulation et la distribution des billets de banque.
Enfin, le prsent document ne contient aucun avis ou conseil en matire de conformit, de
disponibilit et defficacit des systmes ou dispositifs susceptibles dtre utiliss pour prvenir ou
empcher les attaques sur les GAB.

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

PARTIE 1: LES GAB ET LEURS IMPLICATIONS EN


TERMES DE SECURITE

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

10

GAB
Dfinition
Un guichet automatique bancaire (aussi appel GAB, DAB ou distributeur automatique de billets) est
un dispositif informatis qui offre aux clients dune institution financire la possibilit deffectuer des
oprations bancaires sans avoir passer par un employ de banque ou un prpos au guichet.
La plupart des GAB actuels identifient lutilisateur par le biais de la carte
en plastic que celui-ci insre dans lappareil. La carte peut contenir une
bande magntique ou une puce indiquant un numro de carte unique et
diverses informations de scurit, telles quune date dexpiration et un
code dauthentification de la carte (CVC, de langlais card validation
code). Lutilisateur sidentifie en composant un code confidentiel (PIN).
Au moyen dun guichet automatique, les utilisateurs peuvent
leurs comptes bancaires afin deffectuer des retraits
(ventuellement avec une carte de crdit). Ils peuvent aussi
solde de leurs comptes, acheter des crdits tlphoniques
payer leurs factures, etc.

accder
despces
vrifier le
prpays,

Utilisation des distributeurs automatiques: le panorama europen


En 2008, lEAST
nombre de GAB
nombre total de
France et Italie.
prcdente.

(European ATM Security Team) a estim 383 951 et plus de 1,5 million le
en Europe et dans le monde respectivement (1). Soixante-douze pour cent du
GAB europens se situent dans cinq pays: Royaume-Uni, Espagne, Allemagne,
Le nombre total de GAB europens a grimp de 6 % par rapport lanne

Graphique 1: Nombre de GAB en Europe. Source: EAST & EPC.


(1) https://www.european-atm-security.eu/Welcome%20to%20EAST/
Selon un sondage ralis en mai-juin 2009 par lEAST sur lutilisation des GAB, 49% des personnes interroges
avaient une connaissance basique des risques et dangers probables mais avaient besoin de davantage
dinformations, tandis que 14% ntaient pas srs des risques et dangers et apprcieraient de recevoir des
conseils sur la manire de les identifier.

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Dlits sur les GAB et leur impact financier en Europe


Avec la hausse du nombre de distributeurs automatiques, une augmentation considrable du nombre
de dlits sur les GAB a t observe. Un rcent rapport de lEAST affirme quen 2008, les dlits lis
la fraude au GAB en Europe ont grimp de 149% comparativement lanne prcdente. Daprs le
rapport, cette augmentation de la fraude aux GAB est lie avant tout une croissance spectaculaire
des attaques de type skimming. En 2008, un total de 10 302 cas de vol de donnes a t signal en
Europe. Plus grave encore, de rcents rapports signalent des dlits qui sappuient sur des logiciels
malveillants sophistiqus et aisment disponibles (2) qui ont infect les rseaux de distributeurs
automatiques et les GAB directement.
Selon ce mme rapport, les agressions
physiques sur les utilisateurs de distributeurs
automatiques en Europe ont chut de 29%,
essentiellement en raison dune baisse du
nombre de vols signals. Par contre, les cas
dagressions physiques sur les GAB mmes
ont augment de 32%. Si les pertes
financires dues ces attaques sont
infrieures celles provoques par dautres
dlits sur les GAB, lesdites attaques
continuent
de
proccuper
vivement
lindustrie.
Graphique 2: Attaques frauduleuses lies aux GAB par nombre dincidents en 2008 (anne complte).
Source: EAST & EPC

Malgr laugmentation spectaculaire du nombre dincidents, les pertes relles dues la fraude nont
progress que de 11% par rapport lanne prcdente. Les pertes dues la fraude au GAB sont
restes significatives et une perte totale de quelque 500 millions deuros a t signale lan dernier
en dpit des mesures prises dans tous les pays dEurope. La figure 3 illustre de faon dtaille la
rpartition de ces pertes.
Sur cette perte, prs de 400 millions
deuros sont dus des pertes
internationales, qui sont le rsultat de
fraudes commises en dehors des
frontires nationales par des criminels
qui utilisent des donnes de cartes
voles.
Ces
pertes
ont
lieu
essentiellement hors dEurope en raison
principalement du dploiement de la
technologie EMV (3) en Europe.

Graphique 3: Attaques frauduleuses lies aux GAB par pertes totales


signales en 2008 (anne complte). Source: EAST & EPC

(2) Un logiciel malveillant est un logiciel conu pour infiltrer ou endommager un systme informatique sans le
consentement en connaissance de cause du dtenteur.
(3) EMV est une norme dinteropration de cartes CI et de terminaux de point de vente capables et de GAB,
destine authentifier les paiements par carte de crdit et de dbit. Le sigle EMV se compose des initiales
dEuropay, MasterCard et VISA, les trois socits qui ont coopr afin de mettre au point la norme.

11

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

12

Pertes estimes dans le monde entier


Les services secrets amricains estiment que les pertes annuelles dues la fraude au GAB se
montent un total denviron 1 milliard de dollars, ou 350 000 USD par jour, en 2008.
En 2007, le cot de la fraude la carte de crdit et de dbit au Royaume-Uni a atteint le niveau
record de 535 millions de livres. LAPACS signale que la fraude la carte a augment de 14%
en 2008, pour atteindre prs de 610 millions de livres. La fraude spcifique au GAB a grimp de 31%
et reprsentait 45,7 millions de livres de pertes en 2008.
Quelques incidents rcents dans le monde
Les dlits sur les GAB continuent de se produire dans le monde entier. Des incidents sont signals
non seulement en Europe, mais aussi en Asie-Pacifique, dans les Amriques, en Afrique, en Russie et
au Moyen-Orient. Quelques exemples:

500 000 USD ont t vols dans une banque australienne au moyen dun dispositif de copie
install sur un distributeur automatique de Melbourne (4);

des dispositifs capables de scanner les donnes des cartes bancaires et de crdit ont t
installs sur des GAB lextrieur dun supermarch du Royaume-Uni (5);

Melbourne, dix GAB ont t utiliss pour cloner des cartes et voler plus dun million dUSD
sur diffrents comptes bancaires (6);

Staten Island, 500 000 USD ont t vols plus de 250 victimes en plaant des camras
directement sur le clavier du distributeur et en filmant les victimes pendant quelles
composaient leur code confidentiel (7);

environ 4 000 pages de donnes relatives des cartes de crdit chypriotes ont t trouves
sur un ordinateur appartenant des voleurs (8).

Types de dlits sur les GAB


Dfinition
Les guichets automatiques attirent les criminels parce quils offrent un accs direct des devises,
sous la forme de billets de banque, voire, dans certains cas, aux informations personnelles de
lutilisateur, qui peuvent tre mises profit en vue dun vol didentit. Si un GAB peut contenir un
montant important de devises, les cartes bancaires, elles, peuvent donner aux voleurs laccs aux
(4) ATM scam nets Melbourne thieves $ 500,000 [Melbourne: une arnaque aux distributeurs rapporte
500 000 dollars aux escrocs], 24 mars 2009, disponible sur
http://www.atmmarketplace.com/article.php?id=10808 (dernire visite le 20 avril 2009).
(5) Shoppers are targeted in ATM scam [Les acheteurs pris pour cible dans une fraude aux distributeurs
automatiques], BBC News, 11 mars 2006, disponible sur
http://news.bbc.co.uk/2/hi/uk_news/england/tees/4796002.stm (dernire visite le 20 avril 2009).
(6) Australian police suspect Romanian gang behind $ 1 million ATM scam [Un million de dollars dtourns aux
distributeurs: la police australienne souponne une bande de Roumains], 14 avril 2009, disponible sur
http://www.atmmarketplace.com/article.php?id=10883 (dernire visite le 20 avril 2009).
(7) ATMs on Staten Island rigged for identity theft; bandits steal $500G [Distributeurs de Staten Island
trafiqus pour vol didentit: les escrocs dtournent 500 000 dollars], 11 mai 2009, disponible sur
http://www.nydailynews.com/news/ny_crime/2009/05/11/2009-0511_automated_theft_bandits_steal_500g_by_rigging_atms_with_pinreading_gizmos.html#ixzz0J8qBVdar&D
(8) ATM scam targets hundreds of credit cards [Des centaines de cartes de crdit victimes dune arnaque aux
distributeurs], New Europe, n 793, 4 aot 2008, disponible sur http://www.neurope.eu/articles/89221.php
(dernire visite le 20 avril 2009).

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

13

comptes bancaires, lesquels peuvent aisment dpasser la valeur des devises contenues dans un
seul GAB. Pour autant quils aient aussi obtenu le code confidentiel, les criminels peuvent utiliser une
carte vole pour retirer de largent dun compte bancaire hauteur du retrait maximal journalier
autoris, ou jusqu ce que la banque mettrice bloque la carte. Si les voleurs continuent de sen
prendre aux distributeurs automatiques et aux devises quils contiennent, ils se sont de plus en plus
concentrs sur les manires de recueillir les donnes des cartes bancaires et daccrotre leurs gains.
Il existe trois types fondamentaux dattaques sur les GAB:

les tentatives de vol visant les donnes de la carte bancaire dun utilisateur;

les attaques informatiques et rseau contre les GAB afin de recueillir les donnes des cartes
bancaires;

les attaques physiques sur le GAB.

Vol des informations contenues sur la carte bancaire


La principale finalit des dlits sur les GAB est le vol des donnes enregistres sur les cartes
bancaires. Jusquil y a peu, les cartes bancaires utilisaient une bande magntique pour conserver des
informations permettant didentifier le titulaire et un code confidentiel permettant de les authentifier
et deffectuer des oprations au guichet automatique. Malheureusement, les informations contenues
dans la bande magntique sont faciles copier et falsifier. En consquence, les voleurs se sont
concentrs sur les moyens de recueillir ces informations.
Cette lacune a t partiellement comble par lintroduction en Europe des cartes intelligente EMV
(aussi appeles cartes puce). Selon lEAST, 90 % des distributeurs europens rpondent prsent
aux normes EMV.

European ATM % EMV Compliance


100

100 100 100 100 100 100 100 100 100 100 100 100 100 100 100

97

96

94

(As at 31st December 2008)


93

93

90

90
82

80

82
74

72

71

70
60

58
54

52

50
40

39

30
20
10
0

en
m
a
Fi rk
nl
an
Fr d
an
Li Ir ce
ec el
h an
Lu ten d
xe ste
m in
bo
ur
g
N
et Ma
he lt
rla a
n
N ds
or
w
Po ay
rt u
Sl ga
ov l
e
S n
Sw we ia
itz den
er
la
nd
C
ze U
ch K
Re
Au p
s
Sl tria
ov
R aki
om a
a
Be ni a
lg
i
Es um
to
n
C ia
y
G pru
er s
m
a
G ny
re
Bu ece
lg
ar
ia
Ita
Sp ly
H ain
un
ga
Po ry
la
n
La d
Li tvi
th a
ua
Ic nia
el
an
d

Graphique 4: Part (en %) des GAB europens rpondant aux normes EMV. Source; EAST & EPC.

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

14

Bien que ces cartes contiennent aussi une bande magntique, cette dernire seule ne suffit pas
permettre quune opration ait lieu un GAB au moyen dun lecteur de carte modifi afin de lire les
puces EMV (except si lmetteur de la carte autorise une telle opration). Les copies frauduleuses
de ces cartes EMV ne peuvent donc pas tre utilises pour retirer du liquide sur des distributeurs aux
normes EMV.
Comme les cartes aux normes EMV seront utilises dans la plus grande partie de lEurope dici la
fin 2010, il sensuit que les criminels devront utiliser les cartes falsifies en dehors de lEurope et
dans les pays o les distributeurs automatiques ne sont pas quips de lecteurs aux normes EMV.
Dici l toutefois, la menace des cartes bancaires falsifies reste relle.
Card skimming
Le card skimming (vol de donnes par copie frauduleuse de carte) consiste prlever au GAB les
donnes contenues sur la bande magntique et le code confidentiel au moyen dun lecteur de carte
modifi appel skimming device. Ce dispositif de copie frauduleuse est plac sur le distributeur de
telle sorte que sa prsence est cache mais quil peut capturer les informations contenues sur la
bande magntique de la carte et le code confidentiel de lutilisateur. Lutilisateur insre sa carte dans
le distributeur sur lequel un dispositif de copie frauduleuse a t plac, effectue une opration
normale et reprend sa carte. Il quitte le GAB sans savoir que sa carte a t force. Les
informations subtilises sont utilises afin de produire des cartes falsifies et deffectuer ensuite des
retraits de devises frauduleux. Le titulaire de la carte ne prend conscience des faits que lorsque des
oprations ou des retraits non autoriss sont effectus sur son compte bancaire. Comme les
dispositifs de copie sont trs sophistiqus et souvent difficiles dtecter, ils compromettent de
nombreuses cartes.
Les criminels utilisent plusieurs mthodes diffrentes, et le code confidentiel est obtenu soit grce
une petite camra de surveillance, soit au moyen dune fausse grille recouvrant le clavier. La
technologie sans fil Blue Tooth (9) est de plus en plus utilise pour transmettre les dtails de la carte
bancaire et le code confidentiel un ordinateur portable situ distance. Ces informations peuvent
ensuite tre envoyes facilement partout dans le monde afin de permettre la production rapide de
cartes falsifies.
Mthodes classiques de vol de donnes
Un petit dispositif de copie frauduleuse (skimming device) plac lentre du lecteur de carte (ou
un faux panneau plac sur le lecteur de carte), avec une fausse grille sur le clavier (ou une petite
camra de surveillance) pour voler le code confidentiel.

(9) La technologie Blue Tooth permet aux dispositifs lectroniques de communiquer entre eux au moyen dune
liaison radio de courte porte.

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Illustration 5:
dEAST

reproduite

avec

lautorisation

Illustration 6: reproduite avec lautorisation dEAST

Un faux panneau frontal complet est plac


sur le tableau du GAB.

Illustration 7: reproduite avec lautorisation dEAST

Un dispositif de copie frauduleuse est plac


dans un lecteur de carte conu pour ouvrir la
porte du vestibule dune banque (en gnral,
la camra utilise pour recueillir les codes
PIN sera situe au-dessus des GAB, dans le
vestibule).

Illustration 8: reproduite avec lautorisation dEAST

15

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

16

Les dispositifs de copie frauduleuse peuvent


galement tre monts ct du vrai lecteur
de carte du distributeur, avec un petit
panneau disant Insrez dabord votre carte
ici; cela nest toutefois pas trs frquent en
Europe.

Illustration 9: reproduite avec lautorisation de la police de


Naples

Faux distributeurs de billets


Les criminels placent de faux distributeurs dans les centres commerciaux et proximit, ainsi que
dans dautres lieux publics. Ils ressemblent de vrais guichets automatiques, et certains distribuent
mme des billets. Toutes les cartes utilises sur ces machines sont copies, et le code confidentiel
est obtenu partir du clavier. Ces machines ntant relies aucun rseau, les criminels peuvent les
placer partout o il existe une source dlectricit.
Cas rcent de card skimming
En avril 2009, un employ de Microsoft g de 33 ans vivant New York City sest arrt la
banque Chase la plus proche pour y retirer du liquide afin de payer son coiffeur. Au moment
dinsrer sa carte, il a remarqu une lgre rsistance. Lcran la inform que la machine ne pouvait
pas lire sa carte. Il a donc ressay. Mais la seconde fois aussi, le distributeur a affich un message
derreur.
Il tait sur le point de renoncer, lorsquune
pense la effleur. Il avait entendu parler de
dispositifs que les fraudeurs placent
lextrieur des lecteurs de carte sur les GAB
et, mme si cela lui paraissait peu probable, il
sest demand si ce ntait pas la cause de
son problme. En tirant sur le plastique vert
entourant la goulotte dintroduction de carte,
il sest aperu quil se dtachait facilement.
Derrire un miroir supplmentaire proximit
de la machine, il a galement trouv une
camra dissimule dirige droit sur le clavier,
afin denregistrer les codes confidentiels
saisis par les utilisateurs (10).
Illustration 10: Vol de donnes magntiques.

Card trapping
Le card trapping (pigeage de carte) consiste capturer physiquement la carte dans le GAB, tout en
subtilisant le code confidentiel de lutilisateur au moyen de diverses mthodes. Lorsque lutilisateur
quitte le GAB sans sa carte, celle-ci est ensuite rcupre par les voleurs et utilise pour effectuer
des retraits frauduleux ou des achats (en magasin, par tlphone ou en ligne). En gnral, une seule
carte est perdue dans chaque attaque, et les criminels doivent rcuprer tout le dispositif chaque fois
(10) http://abcnews.go.com/Technology/Business/story?id=7434509&page=1

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

quune carte est pige. Rcemment toutefois, on a retrouv un dispositif de pigeage de carte
pouvant rester en place pendant un certain temps et permettant de rcuprer les cartes piges
sans avoir tre enlev.
La variante la plus frquente est appele collet marseillais (ou Lebanese Loop en anglais). Les
voleurs placent un dispositif muni dune boucle de ruban adhsif, de cble ou de fil rsistant sur le
lecteur de carte dun distributeur automatique. La carte peut de la sorte tre insre et lue par le
GAB, mais pas restitue. Les criminels obtiennent le code confidentiel en regardant par-dessus
lpaule de lutilisateur lorsquil saisit son code (shoulder surfing). Ils rcuprent ensuite la carte
aprs que la victime a quitt le GAB en tant convaincu que la machine a retenu sa carte pour
dautres raisons.
Diverses techniques sont utilises pour subtiliser le code confidentiel du titulaire de la carte, comme
recourir des camras vido, offrir des conseils et distraire lutilisateur pendant quil saisit son code.
Un autre type de pige carte est appel Algerian V.
Vol par distraction ou vol manuel
La pratique est semblable celle du card trapping, la diffrence quau lieu dtre capture par un
collet ou autre type de pige, la carte est retire du lecteur par les criminels eux-mmes. Aprs avoir
observ la saisie du code confidentiel, un groupe de criminels distrait lutilisateur et annule
lopration. Pendant que deux complices distraient lutilisateur (souvent en laissant tomber un billet
et en lui demandant sil lui appartient), un troisime criminel presse la touche Stop et prend la carte
de lutilisateur. Lorsque ce dernier reporte son attention sur le distributeur, il se voit informer que la
machine est dfectueuse et ne peut lui restituer sa carte.
Shoulder surfing
La mthode du shoulder surfing est utilise par les criminels pour obtenir un code confidentiel, en
gnral lorsquils pigent ou volent les cartes en distrayant lutilisateur. Se tenant derrire la
victime, le criminel lit le code confidentiel que ce dernier saisit; il le mmorise, le note ou lenregistre
aussitt dans un tlphone mobile.
Quitter une opration en cours
Dans ce cas, le voleur termine une opration inacheve aprs que la victime a quitt le guichet
automatique. En gnral, le criminel persuade la victime, pendant une opration, que le distributeur
est hors service, ou il loigne la victime du distributeur par diffrents moyens alors quelle tait sur
le point de retirer de largent.
Un incident rcent aux tats-Unis
Deux hommes ont vol 1 800 USD en liquide des utilisateurs sans mfiance moins dune demiheure aprs leur avoir subtilis leur carte bancaire au milieu dune opration. Dans lun des trois vols
connus, la police pense que les criminels ont parcouru moins de deux mtres jusqu un distributeur
proche et ont retir 900 USD en trois oprations distinctes, avant que les victimes fassent bloquer
leur carte par la banque. Ailleurs, les deux criminels ont vol 900 USD travers des oprations par
carte de crdit et des retraits de liquide dans la demi-heure qui a suivi le vol de la carte.
La police pense que le premier complice observe utilisateur du GAB saisir son code, quil lenregistre
aussitt dans un tlphone mobile. Le second dlinquant distrait ensuite la victime en laissant
tomber un billet de 20 USD ses pieds et en lui tapant sur lpaule pour lavertir. Pendant ce temps,

17

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

18

le premier vole la carte jecte par la machine. La carte vole est utilise dans une autre machine.
La victime ne comprend pas pourquoi le distributeur automatique na pas restitu la carte (11).
Cash trapping
Les criminels placent sur la goulotte de
sortie des billets un dispositif qui bloque
ces derniers lintrieur lorsquun
utilisateur tente deffectuer un retrait.
Lutilisateur sen va en pensant que la
machine est dfectueuse ou entre dans la
banque pour signaler lincident, et
pendant ce temps les voleurs viennent
rcuprer les billets.
Attaques informatiques et via rseau
Illustration 11: reproduite avec lautorisation dEAST

Linternet offre accs et connectivit dans


le monde entier. Il permet chacun de nous dtre en contact avec des personnes du monde entier.
Il permet aussi aux voleurs daccder aux systmes et aux individus. Cette menace se manifeste de
la mme faon.
Attaques sur les distributeurs via le rseau
Les GAB communiquent avec les systmes bancaires au moyen dune connexion rseau. Certaines
de ces connexions utilisent des rseaux privs et des protocoles de rseau propres, mais le plus
souvent ces connexions se font prsent par linternet au moyen de protocoles de rseau standard.
Les voleurs utilisent des programmes informatiques (logiciels malveillants) pour attaquer le GAB afin
dy accder travers une faille du logiciel ou de lordinateur. Une fois quils ont accs au GAB, les
voleurs installent un logiciel qui recueille les donnes des cartes et les codes confidentiels. Un
distributeur qui a t trafiqu nest pas physiquement diffrent dun autre qui ne la pas t et,
souvent, les utilisateurs nauront pas conscience du danger.
Virus et logiciels malveillants
Les GAB utilisent aujourdhui des systmes dexploitation disponibles largement et du matriel vendu
dans le commerce. Par consquent, ils sont susceptibles dtre infects par des virus et autres
logiciels malveillants. Le logiciel malveillant est inject dans le GAB travers des attaques via rseau
ou au moyen dautres dispositifs infects. Une fois install sur le GAB, le logiciel malveillant recueille
les donnes des cartes et les codes confidentiels.
Incident rcent
En avril 2009, on a dcouvert que les GAB de Russie avaient t infects au moyen dun logiciel
malveillant sophistiqu. Celui-ci tait capable non seulement de recueillir les donnes des cartes
mais aussi le code confidentiel. Si la machine dun seul vendeur de GAB spcifique a t attaque
avec succs, des rapports des services de renseignements reus en mars ont fait tat de tentatives
visant infecter les distributeurs dautres vendeurs (12).
(11) Robinson G., Bondi banks scam: ATM alert [Fraude dans les banques de Bondi: alerte dans les
distributeurs automatiques], The Sydney Morning Herald, octobre 2008, disponible sur
http://www.smh.com.au/news/national/bondi-banks-scam-atmalert/2008/10/09/1223145514492.html?sssdmh=dm16.338950 (dernire visite le 2 juillet 2009).
(12) http://www.atmsecurity.com/monthly-digest/atm-security-monthly-digest/atm-fraud-and-security-digestmarch-2009.html

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Hameonnage
La fraude et les arnaques recourant la communication par courrier existent depuis de nombreuses
annes. Avec lapparition du courrier lectronique et de linternet, ce type de fraude sest diffus
rapidement dans le monde entier sous le nom de phishing (hameonnage). La fraude par
hameonnage vise persuader lutilisateur de communiquer le numro et le code confidentiel de sa
carte bancaire. Les voleurs envoient un courrier lectronique en se faisant passer pour une banque
et en prtendant que les donnes relatives au compte sont incompltes ou que lutilisateur doit
mettre jour les donnes relatives son compte afin dviter la fermeture de celui-ci. Lutilisateur
est invit cliquer sur un lien et suivre les instructions donnes. Or, le lien est frauduleux et dirige
lutilisateur vers un site cr par les criminels et conu de manire ressembler un site de la
banque de lutilisateur. Sur le site, lutilisateur est invit saisir des donnes sensibles telles que le
numro et le code confidentiel de la carte. Les informations sont recueillies par les voleurs et
utilises pour crer des cartes falsifies, retirer des fonds du compte de la victime et effectuer des
achats.
Vols de codes confidentiels
Les voleurs recourent des techniques de programmation sophistiques (13) pour forcer laccs aux
sites internet hbergs sur le rseau dune institution financire. Grce cet accs, les voleurs
pntrent dans les systmes de la banque pour localiser la base de donnes des GAB. Ils recueillent
les numros de carte et, si ncessaire, modifient les codes confidentiels des cartes quils comptent
utiliser. Les voleurs revendent ensuite les cartes et leurs donnes dautres criminels. Ceux-ci
crent des cartes au moyen des informations subtilises et les utilisent pour retirer de largent des
comptes lis. Les premiers voleurs reoivent en gnral un pourcentage des gains.
Incident rcent
En janvier et fvrier 2008, les services secrets amricains ont rvl quils enqutaient sur deux
effractions lune lencontre dOmniAmerican Credit Union et lautre contre Global Cash Card. En
avril et mai 2008, des dlits de mme nature ont t dcouverts lencontre de Symmetrex,
processeur doprations, et la 1st Source Bank. Les cartes de Symmetrex taient utilises par
MetaBank. elles seules, ces deux enseignes ont enregistr des pertes relles de plus 4 millions de
dollars (14).
Attaques physiques contre les GAB
Les attaques physiques contre les GAB visent forcer laccs aux devises contenues dans le coffre
du distributeur ou le botier de scurit du GAB. Les mthodes les plus frquentes sont notamment
les attaques par voiture, les explosifs (gaz et autres) et la dcoupe (p.ex. scie circulaire, chalumeau,
lance thermique, foreuse couronne diamanteuse). Le vol peut galement avoir lieu au moment du
rapprovisionnement ou de lentretien du distributeur. Le personnel est braqu alors quil apporte
des devises dans un distributeur ou quil les emporte, ou lorsque le coffre du GAB est ouvert et les
tiroirs-caisse remplacs.

Implications en termes de scurit


Que se passe-t-il lorsque les donnes dun utilisateur ont t subtilises?

(13) Les voleurs utilisent des techniques dinjection SQL.


(14) http://garwarner.blogspot.com/2009/03/bank-hacking-exposed-analyzer-affadavit.html

19

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

20

Les numros de carte et les codes confidentiels subtiliss peuvent tre utiliss de multiples faons
par les voleurs. Les donnes des cartes concernes peuvent tre utilises soit pour faire des retraits
du compte bancaire li, soit pour effectuer des achats dans des points de vente au dtail, sur
linternet ou par tlphone. De fausses cartes de crdit et de dbit peuvent tre fabriques et
utilises par dautres individus.
Les criminels agissent en gnral en bandes hautement organises, et parfois pour le compte de
vastes organisations criminelles. On note une augmentation rcente du nombre dassociations de
malfaiteurs venant de ltranger pour se livrer ces fraudes.
Risques et dangers
Rsumer les risques et dangers potentiels susceptibles de se poser aux citoyens la suite dun dlit
perptr avec succs sur un distributeur automatique est une tche ambitieuse. En effet, un tel dlit
peut non seulement donner aux criminels un accs non autoris au compte bancaire de la victime,
mais il peut aussi offrir aux criminels les informations et outils ncessaires pour commettre une
gamme tendue de dlits allant de la simple usurpation didentit des fraudes didentit plus
complexes telles que le piratage de compte.
Pour illustrer cela, il y a lieu de considrer lventail croissant de services gnralement offerts
travers le compte bancaire utilis via un GAB. Si, par exemple, les donnes ainsi que le code
confidentiel de votre carte de dbit sont subtiliss, le criminel peut alors tre en mesure non
seulement daccder aux fonds de votre compte, mais aussi deffectuer diverses oprations de
gestion de compte visant spcifiquement lui permettre de commettre dautres dlits.
Par consquent, le nombre de risques et de dangers est presque illimit, mme si, au niveau le plus
lev, deux grandes catgories de risques et de dangers doivent tre envisages.
La premire catgorie de risques porte sur des formes dattaques plus immdiates telles que les
piges billets, le collet marseillais qui permet au criminel de subtiliser directement la carte de la
victime ou les agressions physiques directes sur les utilisateurs du distributeur automatique ou sur le
distributeur lui-mme, par exemple les voleurs la tire ou les attaques consistant dfoncer la
structure au moyen dun vhicule.
La seconde catgorie de risques, cible sur des prjudices plus long terme, est sans doute la plus
frquente du fait du large ventail de modalits dattaque. Ce type de dlit dbouche invariablement
sur lexploitation ultrieure des informations et de lidentit de la victime, mme sil y a souvent
aussi des gains primaires tels que laccs immdiat aux fonds. Diverses formes de fraude peuvent
sensuivre, dont le vol didentit, le piratage de compte et lextorsion, et, outre une perte financire,
la victime subit souvent un prjudice sous la forme dune baisse de son degr estim de solvabilit
ou des condamnations judiciaires.
lavenir, les dlits sur les GAB devraient se faire encore plus intressants pour les criminels,
mesure que les types de services et de produits offerts travers la dernire gnration de
distributeurs continuent de se dvelopper et dvoluer. De mme quun nombre croissant de GAB
sont conus pour accepter diffrents types de dpts (p.ex. en devises ou par chque), beaucoup
sont prsent utiliss pour distribuer dautres produits qui attireront galement les criminels,
comme les timbres-poste. Dans ces conditions, il est raisonnable de penser que les types dattaques
continueront galement dvoluer et que les diffrentes formes de dlits commis sur les GAB
resteront une source de proccupation, ce qui renforce la ncessit de sensibiliser la population.

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Implications pour les titulaires de carte en termes de scurit


La fraude aux distributeurs automatiques est de plus en plus sophistique et les criminels ont trouv
des manires nouvelles et innovantes de retirer de largent des comptes au moyen de fausses cartes
ou de cartes falsifies contenant de vraies donnes. Si les mthodes des criminels pour faire main
basse sur largent se sont affines sur le plan technique, les enjeux pour les titulaires de carte
restent les mmes qu lpoque o la fraude aux GAB a commenc poser srieusement problme.
Lobjectif principal des titulaires de compte est de conserver leur argent labri sur leur compte. La
scurit des informations sest trop longtemps focalise sur les solutions techniques pour renforcer
au maximum la protection. Sagissant des incidents de scurit sur les distributeurs automatiques
survenus ces dernires annes, llment humain attire de plus en plus lattention. Les titulaires de
carte doivent avoir conscience des risques auxquels ils sexposent et de la manire de prvenir la
fraude, ou savoir ce quil convient de faire pour limiter les prjudices au cas o les donnes de leur
carte tomberaient entre de mauvaises mains.
Les GAB sont utiliss par les criminels la fois pour recueillir des informations relatives aux cartes
bancaires et pour effectuer des retraits frauduleux sur les comptes des utilisateurs. Les titulaires de
carte doivent garder en permanence ces deux aspects lesprit lorsquils utilisent leur carte,
observent dautres personnes qui retirent de
largent ou contrlent leurs relevs bancaires.
Protection de carte
Les titulaires de carte doivent tre conscients des
risques pour leurs cartes, ainsi que des moyens de
contribuer empcher les retraits frauduleux sur
les comptes dautres titulaires de carte.
Le premier indice que quelque chose ne va pas se
peroit lorsquun titulaire de carte se rend au
distributeur automatique. Il importe que les
titulaires de carte aient conscience de ce qui se
passe autour deux, quils se tiennent prs de la
machine et cachent le clavier afin dempcher quiconque de les voir saisir leur code confidentiel. Le
meilleur moyen pour les titulaires de carte de protger leur carte et ses donnes consiste rester
vigilants lorsquils utilisent un GAB. Par exemple, en utilisant rgulirement le mme appareil, ils
connatront laspect normal du distributeur concern et seront mme dobserver le comportement
normal escompt. Au moindre dtail inhabituel concernant la machine, les titulaires de carte
veilleront ne pas lutiliser et informer leur banque de leurs observations et soupons.
Protection personnelle
Si les titulaires de carte observent un comportement suspect proximit des GAB, il est primordial
quils en informent immdiatement la banque si possible. Il importe quils nessaient jamais
dexaminer de plus prs un distributeur lallure suspecte ou qui ne fonctionne pas comme il le
devrait; souvent les fraudeurs ne sont pas loin et peuvent tenter dintervenir, si quelquun se met
examiner lappareil de plus prs. Dans certains cas, les titulaires de carte ont t agresss alors
quils tentaient de dcouvrir la cause du problme de la machine. Soyez attentifs aux autres
personnes autour du GAB; si vous notez un comportement suspect ou si vous ntes pas laise pour
utiliser un distributeur, faites part de vos soupons et observations la banque et utilisez un autre
appareil.

21

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

22

Protection du code confidentiel


Les fraudeurs utilisent des mthodes nombreuses et diverses pour obtenir les donnes relatives aux
cartes. Aussi le premier moyen dassurer la scurit et de protger les titulaires de carte contre
lescroquerie consiste-t-il faire en sorte que personne dautre nen connaisse le code confidentiel.
Si des fraudeurs apprennent le code confidentiel, ils peuvent facilement avoir accs largent. Les
GAB nappliquent pas les mmes mesures de scurit dans le monde entier: il est donc conseill aux
titulaires de carte de changer de code chaque fois quils ont voyag ltranger. Les fraudeurs
essaieront galement le code confidentiel en leur possession pour accder aux comptes lis
dautres cartes, aussi est-il conseill dutiliser un code diffrent pour chaque carte.
Dtails des cartes bancaires et linternet
Un autre moyen daccder aux donnes bancaires et didentification personnelles (p.ex. code
confidentiel) passe par linternet. Une fois ces informations obtenues, des copies des cartes peuvent
tre produites. Les cas de hameonnage, o les titulaires de carte reoivent un courrier lectronique
les invitant cliquer sur les liens et communiquer leurs donnes bancaires et personnelles, sont en
augmentation. Les courriers lectroniques proviennent souvent de sources aux apparences lgales,
car les fraudeurs ont trouv des moyens trs sophistiqus pour simuler la correspondance entre les
banques et leurs clients, de sorte quil peut tre parfois difficile de reconnatre un message
frauduleux. Une bonne rgle consiste ne jamais cliquer sur les hyperliens reus par courrier
lectronique et invitant confirmer les donnes bancaires. Un autre moyen de se protger est
dinstaller un bon programme anti-virus et pare-feu sur lordinateur utilis pour effectuer des
oprations bancaires en ligne.
Autres prcautions de scurit
Une autre prcaution de scurit pourrait tre denvisager lutilisation de cartes bancaires
rechargeables sur lesquelles des montants restreints dargent sont stocks. Cela permettrait dviter
que les fraudeurs retirent une somme dargent importante quun titulaire de carte aurait dpose sur
un compte.
De plus, les consommateurs doivent galement rester vigilants lorsquils communiquent leurs
donnes bancaires par tlphone, car quelquun pourrait tre lcoute non loin. Efforcez-vous
toujours de trouver un endroit tranquille lorsque vous tlphonez votre banque.
Pour dceler les retraits frauduleux, les titulaires de carte doivent contrler rgulirement leurs
oprations bancaires et leurs relevs de compte.
Conservez le numro durgence de la banque porte de main
Aprs avoir obtenu les donnes et le code confidentiel dune carte, les fraudeurs essaieront sans
doute de retirer de largent aussi rapidement que la technique le leur permet. Il est primordial
dinformer la banque dans les meilleurs dlais et, parfois, les forces de police locales lorsquun
titulaire de carte souponne que son code confidentiel et/ou les donnes de sa carte ont t
divulgus, afin de permettre la banque de bloquer le(s) compte(s) et, partant, dviter les retraits
frauduleux. Il est crucial de conserver porte de main le numro dappel durgence de la banque.
Rappelez-vous que, lorsquune carte est gare, le numro durgence sera galement perdu sil nest
pas not dans un endroit sr. De mme, sachez quel numro il convient dappeler depuis ltranger,
car il est possible que le numro utilis lintrieur des frontires ne fonctionne pas partir dun
htel.

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

PARTIE 2: RGLES DOR

23

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

24

Rgles dor pour rduire les dlits sur les GAB


Ces conseils de scurit sappuient sur lanalyse des donnes et les recherches existantes. La
prsente section du document vise formuler, rassembles en un seul endroit, des
recommandations en vue de sensibiliser la population aux diffrents types de dlits commis, ainsi
que des conseils sur la manire de les reconnatre.
Ces rgles offrent une protection maximale moindre effort. En observant ces rgles, les parties
concernes accrotront leur protection lors de lutilisation dun GAB.
Catgorie

Recommandations

Description

1.

Nutilisez pas de GAB


vous
rappelant
de
manire excessive de
rester vigilant

Nutilisez pas de GAB vous rappelant de manire


excessive de rester vigilant au moyen de signaux
et davertissements placs sur la machine, car ils
sont souvent utiliss par les fraudeurs pour tenter
de convaincre les utilisateurs que des GAB
trafiqus
sont
sans
danger.
Mfiez-vous
notamment des instructions inhabituelles sur la
manire dutiliser le distributeur.

2.

Utilisez
un
GAB

lintrieur dune banque

Si possible, utilisez les GAB lintrieur des


banques, dautres btiments et despaces ferms,
plutt que dans la rue. Les GAB situs dans la rue
sont plus faciles daccs pour les criminels.

3.

Nutilisez pas
autonome

GAB

vitez les GAB autonomes placs dans la rue.


vitez les GAB qui ne sont pas fixs dans le mur
dun btiment ou lintrieur dune infrastructure.
Si la machine ne fait pas payer les oprations mais
est attache un btiment et que les oprations
se droulent sans problme, vous ne courez sans
doute aucun risque.

4.

Restez vigilant au cadre


environnant

Restez toujours vigilant votre cadre environnant.


Utilisez un GAB qui est bien en vue et bien clair.
Mfiez-vous en particulier des machines situes
dans lombre ou dans des endroits qui ne semblent
pas bien gards et surveills.

5.

Assurez-vous
que
les
autres personnes dans la
file dattente se tiennent

une
distance
raisonnable

Assurez-vous que les autres personnes dans la file


dattente se tiennent une distance raisonnable de
vous. Mfiez-vous si un inconnu vous propose de
laide au distributeur, mme si votre carte est
coince ou si vous avez des difficults. Ne vous
laissez distraire par personne.

6.

Protgez
votre
code
confidentiel des regards
indiscrets en vous tenant
prs de la machine et en
cachant le clavier

Cachez le clavier avec votre main lorsque vous


saisissez votre code confidentiel afin dempcher
toute camra dissimule ou toute personne de
subtiliser vos informations. Ne rvlez jamais
personne votre code confidentiel.

Choisissez un GAB
sr

Observez les
alentours

de

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

7.

Soyez attentif lavant


des machines

Si lavant de la machine est diffrent de celui des


autres distributeurs de la rgion (par exemple
parce quil y a un miroir supplmentaire sur la
faade), quil prsente des rsidus de colle
(provenant sans doute dun dispositif qui y avait
t
attach)
ou
des
avertissements
supplmentaires, utilisez un autre appareil et faites
part de vos inquitudes la direction de la
banque.

8.

Faites
attention
au
lecteur dans lequel vous
insrez votre carte

9.

Vrifiez attentivement le
clavier
du
guichet
automatique

Si vous vous rendez un GAB inhabituel qui nest


pas situ lintrieur dune banque, examinez-le
soigneusement pour dceler tout dispositif. Mme
si vous connaissez bien un GAB, soyez attentif
toute diffrence ou caractristique inhabituelle du
lecteur de carte. Si la goulotte dintroduction de
carte vous semble bizarre ou volumineuse,
essayez dexercer une pression dessus avec la
main. Si un dispositif a t coll par-dessus le vrai
lecteur de carte, il bougera ou se dtachera. Les
dispositifs de capture des billets ou des cartes
doivent tre colls ou scotchs au lecteur de carte
ou au distributeur de billets. Si le GAB semble
prsenter un lment coll sur le lecteur de carte
ou le clavier, ne lutilisez pas. Annulez lopration
et loignez-vous. Nessayez jamais denlever les
dispositifs suspects.
Mme si vous connaissez bien un GAB, vrifiez
attentivement que le clavier ne prsente aucune
diffrence ou caractristique inhabituelle. Si un
faux clavier a t coll par-dessus le vrai clavier, il
se rvlera mal fix si vous le remuez
lgrement.

10.

Vrifiez quil ny a pas de


camra supplmentaire

Assurez-vous quil ny a pas de camra


supplmentaire dans le GAB, en dehors de la
camra de scurit classique et gnralement
apparente.

11.

Signalez immdiatement
les cartes retenues dans
la machine

Signalez immdiatement les cartes retenues dans


la machine. Si possible, ne vous loignez pas de la
machine. Appelez plutt la banque depuis le GAB
o votre carte a t retenue. Nacceptez pas laide
de personnes inconnues pour rcuprer une carte
retenue. En outre, prvenez les forces de police
locales.

12.

Mfiez-vous des GAB qui


ne donnent pas dargent
ou qui font ne pas payer
les oprations bancaires

Si vous utilisez un GAB qui ne donne pas dargent,


il est plus que probable quil sagit dun faux, et il
convient davertir votre banque du risque potentiel
pour votre compte.
Si vous utilisez un GAB qui nest pas li une
banque (par exemple dans une station-service ou
un bar), mfiez-vous sil ne vous fait pas payer les
oprations bancaires. Les GAB privs qui ne sont
pas lis directement une banque font payer les
services quils fournissent. Si les services dun tel
GAB sont gratuits, cest un indice que lappareil est
sans doute frauduleux.

Observez le GAB

25

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

26

Vrifiez vos relevs

13.

Vrifiez
rgulirement
vos relevs de compte

Vrifiez rgulirement vos relevs de compte pour


dceler toute activit inhabituelle. Si la plupart des
actes de fraude se produisent rapidement, certains
peuvent avoir lieu des semaines, voire des mois
aprs que les donnes de votre carte ont t
subtilises. Vrifier rgulirement ses relevs de
compte contribue limiter limpact potentiel de
toute fraude.

14.

Signalez immdiatement
les cartes retenues dans
la machine

Signalez immdiatement les cartes retenues dans


la machine. Si possible, ne vous loignez pas de la
machine. Appelez plutt la banque depuis le GAB
o votre carte a t retenue. Nacceptez pas laide
de personnes inconnues pour rcuprer une carte
retenue. En outre, prvenez les forces de police
locales.

15.

Signalez immdiatement
toute activit suspecte

En cas de perte ou de vol de votre carte bancaire,


ou si vous remarquez une activit frauduleuse sur
votre compte, signalez-le immdiatement afin
dviter toute perte supplmentaire.

Signalez toute
activit suspecte

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Conclusions
Les GAB font partie intgrante du commerce dans toute lEurope et offrent un service prcieux aux
utilisateurs. Lutilisation croissante des GAB sest accompagne dune multiplication spectaculaire des
attaques et des fraudes aux guichets automatiques. Des techniques telles que le vol des donnes par
copie frauduleuse, le hameonnage et les attaques via rseau contre des GAB ont entran des
pertes de prs de 500 millions deuros en Europe lan dernier. Ces techniques, de plus en plus
sophistiques, ont donn lieu une hausse de 149% des attaques sur les GAB en 2008.
Ce document prsente les multiples faons dont les attaques sur les GAB sont perptres, ainsi que
des techniques et conseils simples que les utilisateurs peuvent appliquer pour dceler et prvenir ces
agressions.
LENISA pense quun moyen important de rduire les fraudes et attaques sur les GAB consiste
informer la population des risques potentiels et des faons de les combattre. Cette information peut
rduire significativement la frquence et limpact financier des attaques perptres sur les guichets
automatiques, et renforcer la confiance lgard de lutilisation des GAB.

27

28

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

ANNEXE

29

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

30

Utilisation des GAB et fraude: tudes de cas


LENISA a recueilli, dans diffrents pays dEurope, plusieurs tudes de cas et expriences relatives
diverses formes dutilisation et de fraude aux GAB, afin de permettre aux lecteurs de connatre les
principaux problmes, les enjeux et les solutions. Ces exemples accroissent lefficacit des rgles
suggres et les prsente de diverses manires concrtes.
Chypre
Actuellement sur lle (dans la Rpublique de Chypre), quelque 560 GAB sont installs. On ne dispose
daucune information sur le nombre ou le type de GAB installs dans la partie de lle occupe par la
Turquie. La majorit des 560 guichets automatiques installs sont des appareils travers le mur.
Deux ou trois autres sont des cash-kiosks (bornes devises). Un grand nombre des GAB installs
sur lle sont quips de protections spciales en plastique au niveau du lecteur de carte, ainsi que
dun dispositif anti-copie frauduleuse afin dempcher le placement de skimmers (et le vol conscutif
des informations stockes dans la bande magntique), ce qui pourrait fortement contribuer
liminer les cas de fraude aux GAB par vol des donnes magntiques (15).
Incidents rcents survenus Chypre
Les informations suivantes ont t enregistres par le systme de suivi des fraudes de JCC Payments
System Ltd.
Cas n 1
Certaines personnes utilisaient des cartes rechargeables falsifies et recodes aux guichets
automatiques. Vingt-six cartes ont t utilises, et 2 310 euros ont t retirs. Le systme de suivi
des fraudes a dcel les activits frauduleuses et en a inform les services de police chypriotes. Lun
des fraudeurs a t arrt laroport.
Cas n 2
Deux individus utilisaient des cartes rechargeables falsifies aux guichets automatiques. Cent trente
et une cartes ont t utilises, et 15 830 euros ont t retirs. Identifis par le systme de suivi des
fraudes, les individus ont t arrts par la police alors quils utilisaient des cartes falsifies.
Cas n 3
Un individu utilisait des cartes rechargeables falsifies aux guichets automatiques. Quarante-trois
cartes ont t utilises, et 1 860 euros ont t retirs. Le systme de suivi des fraudes a dcel les
activits frauduleuses et en a inform les services de police chypriotes. Le fraudeur a t arrt.
Cas n 4
Deux individus utilisaient des cartes rechargeables falsifies aux guichets automatiques. Soixanteseize cartes ont t utilises, et 7 950 euros ont t retirs. Le systme de suivi des fraudes a
dcel les activits frauduleuses et en a inform les services de police chypriotes. Les fraudeurs ont
t arrts.
Cas n 5

(15) Toutes ces informations ont t transmises par le service de gestion des risques de JCC Payments Systems
Ltd, lunique acqureur/processeur de Chypre pour VISA, MasterCard, AMEX et Diners.

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Plusieurs individus utilisaient des cartes rechargeables falsifies aux guichets automatiques.
Cinquante-trois cartes ont t utilises, et 10 700 euros ont t retirs. Le systme de suivi des
fraudes a dcel les activits frauduleuses et en a inform les services de police chypriotes. Lun des
fraudeurs a t arrt.
Cas n 6
Deux individus utilisaient des cartes rechargeables falsifies aux guichets automatiques. Cent vingtdeux cartes ont t utilises, et 21 980 euros ont t retirs. Identifis par le systme de suivi des
fraudes, les individus ont t arrts par la police alors quils utilisaient les cartes falsifies.
Cas n 7
Un individu utilisait des cartes rechargeables falsifies aux guichets automatiques. Quarante et une
cartes ont t utilises, et 28 340 euros ont t retirs. Identifi par le systme de suivi des fraudes,
lindividu a t arrt par la police alors quil utilisait les cartes falsifies.
Cas n 8
Un individu utilisait des cartes rechargeables falsifies aux guichets automatiques. Quatre-vingt-deux
cartes ont t utilises, et 12 330 euros ont t retirs. Le systme de suivi des fraudes a dcel les
activits frauduleuses et en a inform les services de police chypriotes. Le fraudeur a t arrt.
Cas n 9
Deux individus utilisaient des cartes rechargeables falsifies aux guichets automatiques. Vingt et une
cartes ont t utilises, et 10 980 euros ont t retirs. Le systme de suivi des fraudes a dcel les
activits frauduleuses et en a inform les services de police chypriotes. Les fraudeurs ont t
arrts.
Risques et dangers
volution de la fraude aux GAB
Les activits de fraude aux GAB vont dcroissant de manire constante en 2009, principalement en
raison du dploiement de la puce EMV en Europe et des mesures efficaces et proactives de lutte
contre la fraude prises Chypre.
Un nombre accru de fraudeurs ont t identifis. La principale raison en est quils croient tort que
Chypre est un pays peu avanc sur le plan technologique (terminaux EMV limits et systmes de
contrle des cartes faibles) et quen tant qule ultrapriphrique de lEurope, Chypre est un endroit
o les fraudeurs ne risquent pas dtre pris. En fait, comme il ny a quun acqureur Chypre, il est
nettement plus facile didentifier les fraudeurs, par rapport au Royaume-Uni ou la Grce, qui
comptent cinq ou six acqureurs diffrents qui ne partagent pas les donnes et o, par consquent,
il est nettement plus difficile de les prendre.
Capacits de fraudeurs
Les fraudeurs identifis sur lle se caractrisaient par une approche intelligente des actes de fraude
et ont fait preuve dune adresse remarquable pour contourner les systmes de scurit des banques.
Ils se montrent galement pleins de ressources et semblent bien organiss. En outre, les
technologies de vol de donnes des fraudeurs supplantent les technologies des vendeurs de GAB
(p.ex. Jitter, FDI).

31

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

32

Impact de la fraude aux GAB


La fraude porte atteinte lintgrit des marques et la confiance des titulaires de carte. Elle est
toutefois compense par les actions des systmes de carte, qui djouent efficacement les actions des
fraudeurs lors dune fraude la carte de crdit.
Italie
En Italie, les GAB sont principalement utiliss avec des cartes de dbit, qui permettent le retrait
immdiat de liquide du compte bancaire et proposent des services de paiement et dinformation tels
que les recharges tlphoniques, la consultation des comptes personnels, les dons, etc. Le circuit
BANCOMAT (principal circuit italien de cartes de dbit) et ses protocoles ont t conus il y a plus de
vingt ans et, bien quaujourdhui ils voluent vers de nouveaux concepts, les questions de scurit
continuent de se poser au niveau des choix de conception et des solutions appliques aux
technologies actuellement abandonnes en faveur de plus modernes.
Les premires cartes de ce type, encore largement utilises, sont quipes dune bande magntique
o sont stockes diverses informations. Le titulaire de carte sidentifie au moyen dun code
confidentiel de cinq chiffres, communiqu directement par la banque. Toutefois ces dernires
annes, les socits gestionnaires du circuit tentent de remplacer ces cartes par celles de la nouvelle
gnration, quipes dune puce (cartes intelligentes), qui rsistent mieux aux tentatives de clonage.
Tout lenvironnement volue: les anciens GAB fonds sur des systmes locaux sont remplacs et les
nouveaux proposent des fonctions avances, comme les contenus multimdias, les paiements avec
reconnaissance automatique des billets, les crans tactiles, le clavier et des possibilits tendues de
personnaliser le logiciel dexploitation.
Tous les dispositifs de distribution automatique sont contrls par du matriel de surveillance vido
en circuit ferm afin de prvenir les attaques physiques comme lutilisation de grues pour arracher
les GAB leur base, lutilisation de voitures voles comme bliers ou la pose dexplosifs. Les
systmes de fraude sophistiqus recourent une fausse face avant quipe dun dispositif
permettant de cloner les cartes. Pour limiter lampleur des vols (outre le cot du systme des GAB,
qui est encore lev), les banques italiennes napprovisionnent les GAB que des montants
strictement ncessaires, et les quipent de dispositifs qui endommagent dfinitivement les billets
(encres de couleur, etc.).
ce jour, les fraudes perptres en Italie se sont essentiellement limites aux catgories dcrites cidessus, car aucune attaque logique sur les GAB na t signale. Il est toutefois permis de supposer
que cette tendance voluera considrablement dans un avenir proche.
Lun des principaux problmes rencontrs sur le plan de la scurit des GAB concerne le nombre
dacteurs dans le domaine: souvent la communication entre ces parties est faible et il nest pas facile
de dterminer si un bug est d au constructeur du matriel
(vendeur du GAB), au fabricant du logiciel, aux protocoles
utiliss ou la configuration de linfrastructure de
distribution automatique elle-mme.
Mthodes utilises lors des attaques
La
dernire
gnration
de
GAB
se
compose,
fondamentalement, de PC industriels dots de connexions
srielles spcifiques ou de dispositifs USB (clavier PIN,
distributeur de billets, claviers plus ou moins personnaliss,
etc.), communiquant avec la banque via des protocoles IP
ou SNA ( prsent encapsuls sur IP). Les banques ont

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

galement ralis des conomies en rduisant les investissements dans des lignes spciales pour les
donnes qui diminuent la scurit des systmes GAB. Il a maintes fois t soulign que ces
dispositifs sont directement lis au rseau interne (LAN) de la banque ou au rseau des agences et
sont rarement coups du segment de rseau o se trouvent dautres systmes dentreprise (du
poste de travail au systme de serveur).
En rgle gnrale, les systmes de GAB sont utiliss en tant ququipements industriels et non
comme des ordinateurs ordinaires. Il sensuit que, une fois installs, ils sont rarement mis jour et
peu entretenus. En outre, en tant que produits industriels, les corrections au systme dexploitation
(le plus souvent Microsoft Windows) doivent dabord tre testes, recevoir une licence et tre
distribues par le fabricant, ce qui constitue un obstacle supplmentaire. Ce choix expose les
systmes de GAB divers types de dangers bien connus, comme les vers et les virus, susceptibles
de compromettre linfrastructure et de la rendre indisponible (p.ex. crash massif des GAB Diebold en
2003, cause du ver Slammer). Un facteur externe ou interne de danger pour la banque pourrait
galement attaquer les systmes en tirant profit des faiblesses du systme dexploitation, du logiciel
ou de la gestion du mot de passe (souvent, connu) pour accder aux GAB et modifier le logiciel
afin de fournir davantage de liquide, si certaines conditions spcifiques sont remplies.
En outre, les protocoles de communication analyss ont rvl de nombreux problmes de scurit.
Bien que, dans un pass rcent, de nouvelles spcifications rputes plus sres ont t mises en
circulation, en gnral, elles ne sont pas entirement mises en uvre. Par exemple, souvent les
communications entre le GAB et lunit finale (macroordinateur, etc.) ne sont pas cryptes et aucun
lment ne garantit lauthenticit des donnes. Pendant certaines attaques, il a t dmontr quil
est possible dintercepter et de modifier ces notifications, permettant ainsi au criminel de retirer
davantage dargent que nen contient le compte concern, ou de modifier le montant retir.
Les diffrentes analyses effectues rvlent un autre problme srieux (qui exacerbe galement ce
qui se passait auparavant), savoir le placement de systmes de GAB: dans le cas de distributeur
automatiques situs dans des zones non protges, les connexions lectriques et les liaisons rseau
sont souvent accessibles lutilisateur final (mme si le GAB est situ lintrieur de la banque).
Une coupure de courant provoque entranerait une rinitialisation du systme, livrant ainsi plusieurs
informations lauteur de lattaque; dun autre ct, la possibilit daccder au cblage de rseau
permettrait linstallation dun systme TAP mme dintercepter le trafic rseau et de le transfrer
par un rseau sans fil.
Afin de mieux se rendre compte du nombre de problmes de scurit qui peuvent se poser, pas
seulement li la technologie, nous pouvons rflchir la manire dont les systmes de GAB sont
dploys. Ils sont distribus dans tout le pays, souvent sans passer par le sige central des banques,
et installs directement dans les agences ou en dautres lieux dintrt par des tierces parties qui se
voient remettre des cls de chiffrement.
Les procdures de gestion relatives ces systmes sont en gnral moins dtailles que celles des
systmes informatiques, mme sils utilisent de plus en plus souvent des plateformes similaires:
nous voulons parler des tests de scurit aprs dploiement, de la gestion des mots de passe, des
contrles et alertes de scurit, de la gestion des vulnrabilits et des corrections de programme, de
la protection contre les logiciels malveillants, etc.
Il convient de souligner avec insistance que nombre de ces attaques ne visent pas seulement les
cartes de dbit, mais peuvent galement tre efficaces avec les cartes de crdit utilises dans les
GAB, mme si les rpercussions spcifiques doivent encore tre values pleinement.
Trop souvent, les enjeux de scurit lis aux GAB ne sont pas reconnus. Trs rares sont les banques
qui ont ralis une valuation formelle et complte des risques pour la scurit de leurs
infrastructures GAB. Le recours la notion de scurit par lobscurit, qui a longtemps t

33

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

34

applique aux dispositifs spcialiss, est erron sur le plan conceptuel, et savre ltre aussi sur le
plan concret mesure que la tendance mondiale de la fraude bancaire saccentue. De plus en plus
dindividus tudient ces infrastructures afin dy dceler des failles de scurit susceptibles de leur
donner accs aux distributeurs automatiques et lobjectif final rel de ces nouvelles formes de
crime organis: les billets.
lavenir, les attaques logiques sur les GAB se multiplieront certainement: si lon nglige ces risques
en cette priode dlicate de transition, on risque dans la pratique de commencer perdre une
bataille tout fait cruciale, capitale pour la scurit nationale de tous les pays et systmes
conomiques du monde.
Portugal
Le Portugal prsente lun des taux de pntration des GAB par habitant les plus levs dEurope.
Cela sexplique en grande partie par les fonctions avances qui sont offertes la population en
gnral, comme le paiement de services publics et privs (tels que le gaz, leau, les impts ou la
tlphonie mobile) ou la possibilit dacheter des billets de concert, en plus des services financiers
plus traditionnels comme le retrait dargent ou la consultation des comptes.
Dans les paragraphes qui suivent, nous vous prsentons une vue gnrale du rseau de GAB au
Portugal, des principaux dangers et types de fraude, ainsi que des efforts en cours et de ceux qui
simposent afin damliorer la scurit de lenvironnement des GAB.
Le rseau de GAB
Le rseau de GAB au Portugal est gr par SIBS, une socit dtenue par la majorit des banques
prsentes sur le march. SIBS est la sixime plus grande chambre de compensation automatise
(CCA) dEurope. Elle traite plus de deux milliards doprations par an, pour un total denviron
6 000 000 de millions deuros, et est lorigine de la mise sur pied dun rseau intgr des GAB et
des POS (points de vente) commun toutes les banques sur le march.
Sagissant de lutilisation des cartes de dbit et de crdit, les indicateurs portugais sont suprieurs
la moyenne de lUE, pour les cartes comme pour les GAB et les terminaux POS par habitant. De
mme, le Portugal prsente le taux dutilisation de carte le plus lev dEurope, par rapport
dautres formes de paiement, avec plus de 60% des transactions.
Tous les GAB du pays sont prsent compatibles avec EMV (Europay, Mastercard et Visa), de mme
que 83% des terminaux POS. Les institutions financires sefforcent galement offrir des cartes de
crdit et de dbit aux normes EMV, qui reprsentent environ 44% des cartes dans le pays en 2008.
Sur le plan des communications, le rseau des GAB repose sur des lignes de communication
spciales (RPV) par SSL, dotes de mcanismes de scurit complmentaires tels que le codage
3DES et le code dauthentification de message (MAC). En outre, la philosophie sous-jacente au
dveloppement du rseau de GAB sappuie sur une approche de scurit en vertu de laquelle aucun
appareil ne peut entamer une communication directement avec un GAB; ce sont au contraire les
GAB qui engagent la communication avec les autres quipements (y compris les systmes SIBS).
PayWatch
la fin 2008, une nouvelle socit a t cre Paywatch , charge de contrler en permanence le
rseau des GAB, didentifier les modes dutilisation de carte et de dceler les formes de fraude aux
guichets automatiques et aux terminaux POS.
Cela permettra Paywatch didentifier en temps rel les fraudes commises avec des cartes
portugaises et/ou sur le rseau GAB / POS et de limiter rapidement les prjudices. Cela nest

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

possible quen raison du fait, mentionn ci-dessus, que le rseau est intgr et peut tre vu comme
un tout, plutt que comme un rseau fragment. Il ny a pas trs longtemps, le grand public voyait
dans ces activits de contrle une sorte de Big Brother, et les gens ne pouvaient comprendre
pourquoi leurs oprations personnelles taient surveilles. Toutefois, probablement en raison du fait
quun nombre croissant de cas sont rendus publics chaque anne (non seulement au Portugal, mais
dans le monde entier), les mentalits ont chang depuis quelques annes, et les gens y voient
prsent un avantage pour le systme et une protection pour eux-mmes et leur argent.
PayWatch est mme de dtecter en temps rel lutilisation dune carte clone sur le rseau de
GAB, travers lanalyse de cryptogrammes une caractristique propre aux cartes et aux GAB
portugais. En gros, si une carte est cense tre aux normes EMV, mais que seule la piste
magntique est utilise (fallback ou fonctionnement dgrad), il est plus que probable que la carte
en cause est un clone, et lopration est refuse.
PayWatch a une vue densemble de toutes les utilisations des cartes de crdit et de dbit
portugaises, dans le rseau GAB national comme ltranger. Cela permet PayWatch et SIBS de
bloquer lutilisation de certaines cartes, voire de bloquer les oprations dans une rgion donne du
monde, si une augmentation des utilisations frauduleuses est dcele par exemple, les
transactions de toute carte portugaise effectues depuis la ville de Barcelone peuvent tre bloques.
Si PayWatch dtecte en temps rel une carte clone ou toute autre utilisation frauduleuse, SIBS ou
la banque peut contacter le client immdiatement et prendre les mesures qui simposent afin de
limiter les risques.
Risques et niveaux de fraude
Les niveaux de fraude dans le pays sont, en rgle gnrale, faibles, avec un ou deux cas signals par
an. La principale menace rside dans les attaques physiques sur les GAB: elles ont augment trs
nettement en 2008, en raison de la spcialisation dans ce type dattaques dun groupe dindividus
originaires dEurope orientale.
Cependant, le nombre dattaques rates crot aussi plus rapidement, car de plus en plus de guichets
automatiques sont dsormais quips de systmes de maculage des billets et sont ancrs dans le
sol.
Sagissant des attaques sur les cartes, le vol/exploitation (skimming) des donnes reste le principal
danger. La carte est copie sur le GAB mme, ou dans le vestibule dune banque o sont installs
des GAB, et dont laccs requiert que les utilisateurs glissent leur carte dans un lecteur pour en
ouvrir les portes, cette dernire forme de fraude reprsentant de 10 20 %. Le code confidentiel est
en gnral vol au moyen dune camra place au sommet du guichet automatique, dun faux
clavier ou en observant par-dessus lpaule de lutilisateur (shoulder surfing).
Tous les GAB du pays sont prsent quips de mcanismes anti-skimming. Le plus frquent
consiste en lutilisation dun lecteur qui ralentit lentre de la carte et la rend difficile lire pour un
faux lecteur.
Dun point de vue technologique, une camra pourrait tre intgre aux GAB afin de tenter de
dceler si quelquun place un faux quipement par-dessus le guichet automatique, mais cela nest
pas possible au Portugal, pour des raisons de protection de la vie prive, comme le souligne la
Commission nationale de la protection des donnes.
Si la relation entre SIBS et les services de police est trs cooprative et repose sur la confiance
mutuelle, il nen va pas de mme avec la justice. Les auteurs de fraudes rcidivistes ne sont parfois
condamns que pour un fait prcis, et le fait quils soient rcidivistes nest pas pris en considration.

35

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

36

De mme, la lgislation portugaise ne condamne que les personnes prises avec des cartes de crdit
clones et non des cartes de dbit, ce qui est peru comme un problme vu le nombre de cartes de
ce type (Visa Electron) dans le pays.
Au niveau des tendances, depuis lintroduction des cartes EMV lon prvoit une augmentation de
lutilisation des cartes portugaises clones ltranger, dans des pays o le systme EMV na pas
encore t entirement dploy.
Vers un environnement plus sr
SIBS publie sur son site internet les prcautions que doivent prendre les citoyens lorsquils utilisent
un GAB ou un terminal POS, notamment, mais pas uniquement: ne pas perdre de vue la carte, ne
pas rpter une opration moins que le terminal naffiche un message les informant que la
premire tentative a chou, et ne pas communiquer le code confidentiel des tiers. Sur ce dernier
point, le guichet automatique lui-mme invite lutilisateur protger et cacher le clavier lorsquil
saisit son code confidentiel.
Lintroduction de systmes de maculage des billets a contribu prvenir les attaques physiques sur
les GAB, et les commerants se voient informer quun billet de banque tach dencre ou de teinture
est un billet vol ce jour, un seul cas a t enregistr, o un billet macul a t utilis chez un
commerant.
tant donn les mcanismes actuellement mis en uvre sur les GAB, les criminels concentrent leurs
efforts sur les portes des vestibules des banques o sont installs des distributeurs. Nimporte quelle
carte bande magntique ouvre la porte, ce qui rend le mcanisme
inutile en termes de contrle daccs au vestibule, tout en crant un
nouveau point vulnrable au vol de donnes. Louverture des portes
au moyen dun bouton offre le mme niveau de contrle
quactuellement, mais permettrait dliminer le point vulnrable
prcit. Tant que la carte est ncessaire pour accder au vestibule,
il est conseill dutiliser une carte pour ouvrir la porte et une autre
pour effectuer lopration sur le GAB.
Il est galement conseill, chaque fois que possible, dutiliser
toujours le mme distributeur, afin de dceler les anomalies
ventuelles (telles que de faux claviers ou lecteurs de carte).
Une hausse des niveaux de fraude dans le monde virtuel est
galement prvue. Afin de faire face ce problme, SIBS a mis au
point un systme MBNet permettant aux utilisateurs de lier un
compte MBNet un compte bancaire, une opration qui peut tre
ralise auprs dune banque. Ainsi, quand une personne souhaite
payer un achat en ligne, elle peut accder au site internet de MBNet
et gnrer un numro de carte Visa virtuel, qui met sa disposition
un montant limit et a une dure de vie dun mois.

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Rfrences et lectures conseilles


ATM scam nets Melbourne thieves $ 500,000 [Melbourne: une arnaque aux distributeurs rapporte
500 000 dollars aux escrocs], 24 mars 2009, disponible sur
http://www.atmmarketplace.com/article.php?id=10808 (dernire visite le 20 avril 2009).
ATM scam targets hundreds of credit cards [Des centaines de cartes de crdit victimes dune
arnaque aux distributeurs], New Europe, n 793, 4 aot 2008, disponible sur
http://www.neurope.eu/articles/89221.php (dernire visite le 20 avril 2009).
ATMs on Staten Island rigged for identity theft; bandits steal $500G [Distributeurs de Staten
Island trafiqus pour vol didentit: les escrocs dtournent 500 000 dollars], 11 mai 2009, disponible
sur
http://www.nydailynews.com/news/ny_crime/2009/05/11/2009-0511_automated_theft_bandits_steal_500g_by_rigging_atms_with_pinreading_gizmos.html#ixzz0J8qB
Vdar&D
Australian police suspect Romanian gang behind $ 1 million ATM scam [Un million de dollars
dtourns aux distributeurs: la police australienne souponne une bande de Roumains],
14 avril 2009, disponible sur http://www.atmmarketplace.com/article.php?id=10883 (dernire visite
le 20 avril 2009).
http://abcnews.go.com/Technology/Business/story?id=7434509&page=1
http://cert.inteco.es
http://garwarner.blogspot.com/2009/03/bank-hacking-exposed-analyzer-affadavit.html
http://www.adicae.net/
http://www.atmsecurity.com/monthly-digest/atm-security-monthly-digest/atm-fraud-and-securitydigest-march-2009.html
http://www.computerworld.com/securitytopics/security/story/0,10801,111158,00.html
http://www.denverpost.com/headlines/ci_12276447 (dernire visite le 5 mai 2009).
http://www.europol.europa.eu/index.asp?page=news&news=pr090731_2.htm
http://www.mydigitallife.info/2006/09/25/atm-hacking-and-cracking-to-steal-money-with-atmbackdoor-default-master-password/
http://www.theregister.co.uk/2006/11/18/mp3_player_atm_hack/
http://www.wired.com/threatlevel/2009/04/pins/
https://www.european-atm-security.eu/Welcome%20to%20EAST/
Marks P., Cash machines hacked to spew out card details [Distributeurs pirats pour rvler les
donnes des cartes], NewScientist magazine, n 2713, disponible sur

37

38

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

http://www.newscientist.com/article/mg20227135.700-cash-machines-hacked-to-spew-out-carddetails.html?full=true (dernire visite le 8 juillet 2009).


McGlasson L., ATM Fraud: 7 Growing Threats to Financial Institutions [Fraude aux GAB:
7 menaces croissantes pour les institutions financires], BankInfoSecurity, disponible sur
http://www.bankinfosecurity.com/articles.php?art_id=1523 (dernire visite le 9 juin 2009).
Peretti K. K., Data Breaches: What The Underground World of Carding Reveals [Vols de
donnes: dans le monde souterrain de la fraude la carte], Santa Clara Computer & High
Technology Law Journal, volume 25, n 2, disponible sur http://www.chtlj.org/volumes/v25
(dernire visite le 2 juillet 2009).
Reuters, Cyberthieves steal millions from banks [Des cybervoleurs subtilisent plusieurs millions
aux banques], mai 2009, disponible sur http://uk.reuters.com/article/idUKTRE54I6CK20090520
(dernire visite le 20 mai 2009).
Robinson G., Bondi banks scam: ATM alert [Fraude dans les banques de Bondi: alerte sur les
distributeurs automatiques], The Sydney Morning Herald, octobre 2008, disponible sur
http://www.smh.com.au/news/national/bondi-banks-scam-atmalert/2008/10/09/1223145514492.html?sssdmh=dm16.338950 (dernire visite le 2 juillet 2009).
Shoppers are targeted in ATM scam [Les acheteurs pris pour cible dans une fraude aux
distributeurs automatiques], BBC News, 11 mars 2006, disponible sur
http://news.bbc.co.uk/2/hi/uk_news/england/tees/4796002.stm (dernire visite le 20 avril 2009).
SIBS, Relatrio e Contas 2008 [Rapport et comptes 2008], SIBS, 2009, disponible sur
http://www.sibs.pt/export/sites/sibs_publico/pt/documentos/relatorioecontas/Contas_SA_2008.pdf
(dernire visite le 5 mai 2009).
Sydney Morning Herald, octobre 2008, disponible sur http://www.smh.com.au/news/national/bondibanks-scam-atm-alert/2008/10/09/1223145514492.html?sssdmh=dm16.338950
Trustwave, Automated Teller Machine (ATM) Malware Analysis Briefing [Logiciel malveillant aux
distributeurs automatiques: information et analyse], 28 mai 2009, disponible sur
https://www.trustwave.com/pressReleases.php (dernire visite le 13 juillet 2009).
VISA Business News, Data Security Alert Compromise of ATM PIN Transactions [Alerte la
scurit des donnes Risque pour les transactions sur distributeur avec code confidentiel],
3 juin 2009.
Zetter K., ATM Vendor Halts Researchers Talk on Vulnerability [Le vendeur des distributeurs
automatiques suspend lexpos dun chercheur sur la vulnrabilit du systme], WIRED, juin 2009,
disponible sur http://www.wired.com/threatlevel/2009/06/atm-vendor-halts-talk/ (dernire visite le
8 juillet 2009).

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

Dlits sur les GAB: Vue densemble de la situation en Europe et rgles dor pour les
viter
ISBN-13: 978-92-9204-043-7
Numro de catalogue: TP-80-09-736-FR-N
DOI : 10.2824/18027

European Network and Information Security Agency

39

Dlits sur les GAB: Vue densemble de la situation en


Europe et rgles dor pour les viter

ISBN-13 978-92-9204-043-7

TP-80-09-736-FR-N

40