Veillez à la sécurité de vos cartes bancaires dans le monde réel

Tout le monde parle du protocole HTTPS et des mesures de sécurité à prendre lorsque nous utilisons nos cartes bancaires en ligne, mais qu’est-ce qui vous fait penser que vos cartes

Tout le monde parle du protocole HTTPS et des mesures de sécurité à prendre lorsque nous utilisons nos cartes bancaires en ligne, mais qu’est-ce qui vous fait penser que vos cartes sont en sécurité hors ligne ? Je ne peux parler pour personne d’autre que moi-même, mais je parie que vous êtes déjà entré dans un supermarché, un restaurant ou une station essence et que vous avez donné votre carte bancaire à quelqu’un que vous n’avez jamais rencontré et que vous n’avez probablement même jamais vu avant, faisant inconsciemment confiance à un parfait inconnu jusque parce qu’il ou elle se tient derrière une caisse.

atm_title_fr

J’ai travaillé comme barman après avoir obtenu mon diplôme universitaire, et avant que je ne commence à écrire sur la sécurité informatique. J’avais très peu de connaissances sur le sujet et je n’avais jamais réfléchi à la sécurité Internet. Je n’avais aucune idée de ce qu’était un virus, comment ils fonctionnaient, ou pourquoi quelqu’un aurait l’idée d’en créer un, mais j’en savais néanmoins assez pour savoir que ce terminal de paiement électronique était une mauvaise nouvelle. Encore aujourd’hui, je ne suis pas certain à 100% de qui se passait une fois que la carte avait été passée dans le terminal. Mais il est néanmoins tombé en panne, de nombreuses fois, ce qui m’a amené à me poser des questions sur l’intégrité de ce système que nous appelions de bout-à-bout (du client au vendeur en passant par la banque et tout ce que cela comprend au milieu).

Peut-être encore plus inquiétant, est le fait que quand la machine tombait en panne, nous appelions Sam, un lycéen et pirate informatique en herbe de 16 ans. Sam venait à toutes heures de la nuit (il s’agissait à près tout d’un bar) et réparait le système pour nous. Seul lui et son ami Jesse, qui avait travaillé pendant un temps au bar (avant de se faire licencier pour avoir volé une bouteille d’alcool), savaient réparer le système.

Je ne suggère pas ici que ces deux garçons avaient de mauvaises intentions. D’ailleurs, il s’agissait d’un restaurant respecté, et si je me souviens bien Sam a fini par étudier les sciences informatiques à l’université de Gorgetown et après son adolescence tumultueuse, Jesse est devenu un adulte très respectable. Bien que cela ne se passe pas toujours comme ça, cela montre bien qu’on ne sait jamais ce qui se passe derrière le comptoir.

Néanmoins, que pouvons nous faire pour garantir la sécurité de nos données de paiement, de leur impression sur une carte en plastique au jour où nous devrons couper celle-ci en deux munis d’une paire de ciseaux ? Eh bien, certains m’ont suggérer en blaguant de porter un portefeuille en plomb et d’autres de le porter dans une poche difficile d’accès pour les pickpockets. Je pense néanmoins que ma poche arrière est assez dissuasive pour les voleurs. Vous devriez être assez doué pour réussir à me voler mon portefeuille sans que je ne m’en aperçoive.

Il est toujours important de vérifier la personne à qui vous donnez votre carte. Je suis allée une fois chez le coiffeur à Boston dans le Massachusetts. Quand j’ai demandé au coiffeur s’il acceptait les cartes bancaires, il m’a dit que non mais que sa sœur possédait une boutique de souvenirs en bas de la rue. Il m’a alors dit que je pourrai lui donner mon numéro de carte au téléphone et que sa boutique me facturerait et que sa sœur lui redonnerait ensuite l’argent en liquide. J’ai refusé poliment.

De nouveau, c’est rare mais le fait est le suivant : toute personne souhaitant écrire votre numéro de carte ou le faire passer par une de ces bonnes vieilles machines est probablement une personne que vous devriez payer en liquide.

Tout cela sans même mentionner les distributeurs ! Si vous souhaitez vraiment être terrifié, alors vous devriez commencer à lire le site d’informations de Brian Krebs, journaliste spécialisé en sécurité et expert en matière de vols dans les distributeurs. Heureusement, Brian Krebs ne se contente pas de nous faire peur, il offre également une excellente page de ressources avec des images montrant le matériel utilisé dans ces vols et comment il fonctionne.

Par vols dans les distributeurs, nous nous référons à tous les appareils qui peuvent être attachés à un distributeur afin de voler les données d’une carte bancaire quand vous l’insérez dans la machine. De tels appareils de filtrage peuvent également être attachés à des terminaux de paiement électronique, ou même à des terminaux de paiement dans des stations essence. Ces appareils sont l’équivalent dans le monde réel des attaques de l’homme du milieu. Si vous souhaitez obtenir plus de détails techniques sur comment ils fonctionnent, je vous suggère de vous rendre sur le site de M. Krebs.

Maintenant, si celui qui a piraté un terminal de paiement électronique ou qui a installé un appareil de filtrage sur un distributeur automatique a réalisé un travail décent, vous ne le saurez pas, jusqu’à ce que vous receviez une lettre de notification de violation de données dans votre boîte aux lettres. Néanmoins, les criminels sont des êtres humains : ils utilisent donc également des raccourcis. C’est pourquoi avant d’utiliser une machine, regardez bien les terminaux de paiement et surtout les distributeurs automatiques. De nouveau, la plupart des appareils de filtrage sont impossibles à détecter sauf si vous démontez le distributeur, cependant, je vérifie toujours bien les distributeurs automatiques. Je remue le clavier pour voir s’il est bien attaché. Je vérifie au dessus et en dessous de l’écran s’il est placé juste au dessus du clavier et de manière générale, je touche un peu partout pour vérifier que tout est bien en place. Faites également attention aux caméras, ce qui est plus difficile à dire qu’à faire si l’on considère la petite taille que peuvent avoir les caméras de nos jours. Tous les distributeurs automatiques doivent être munis de caméras, mais ces caméras sont normalement orientées vers votre visage et non pas vers le clavier. Je n’utilise jamais les distributeurs automatiques situés dans la rue et j’essaie d’éviter ceux situés dans des endroits isolés. Les distributeurs situés dans les banques sont les plus sécurisés, car théoriquement, les employés savent déjà tout des appareils de filtrage et ils savent comment les détecter. Il ne s’agit pas d’un problème fictif, car selon M. Krebs, les services secrets américains auraient déclaré qu’en 2008, les vols dans les distributeurs automatiques représentaient la somme de 1 milliard de dollars. Ce chiffre a probablement augmenté depuis.

Les terminaux de paiement sont encore plus compliqués. Cela vaut la peine de vérifier que le terminal est en bon état et qu’il n’est pas abîmé, mais il y a plus de chances que ce soient les machines qui stockent et transfèrent les données de paiement qui aient été compromises. Ces systèmes doivent être sécurisés de bout-en-bout et il y a de nombreux points à sécuriser. Néanmoins, un expert en sécurité m’a raconté un fois l’histoire de cybercriminels qui s’étaient habillés en uniformes identiques et qui s’étaient rendus dans une boutique en se faisant passer pour des agents venant réparer le système de paiement électronique. Ils n’ont bien sûr rien réparé. Au lieu de cela, ils ont installé un filtre et sont partis. Il est difficile de savoir si cette histoire est vraie, mais cela ne me semble pas impossible.

Voyez cela comme un jeu de poker, vous voulez garder vos cartes le plus près de vous possible. Étendre vos cartes sur la tables serait comme si vous postiez des photos de votre carte bancaire en ligne. Dans les pays, où pour payer à débit différé ou à crédit, le code PIN n’est pas requis, je vous conseille alors de choisir cette option car ainsi les pirates ne pourront pas obtenir votre code PIN.

Enfin, nombreux sont les éléments que vous ne pouvez pas contrôler mais il existe de nombreuses contre-mesures : comme toujours, surveillez votre compte bancaire et le solde de votre carte de crédit. Certaines banques vous permettrons de fixer une limite de retrais dans les distributeurs automatiques, ainsi si quelqu’un réussi à obtenir vos informations, ils ne pourront retirer qu’une certaine somme. Pensez également à ne pas garder tout votre argent sur un même compte : vous ne voulez pas vous promener avec une carte bancaire rattachée à toutes vos économies.

Comme toujours, n’hésitez pas à commenter ci-dessous ou sur Facebook et Twitter.

Conseils