Le quotidien Le Parisien rapportait début juin qu’au moins 600 personnes auraient constaté des achats frauduleux effectués avec leur numéro de carte bancaire. Un réseau international d’une dizaine d’escrocs aurait réussi à récupérer ces informations personnelles sur des sites de vente en ligne pourtant protégés.

Selon le journal, cette affaire est l’œuvre de l’un des plus importants réseaux d’escroquerie à la carte bancaire détectés ces dernières années en France. Pourtant le délit ne porte pas sur des détournements financiers de haute volée mais plus prosaïquement sur des achats organisés de biens électroniques qui impliqueraient plusieurs dizaines de « petites mains » basées dans l’Hexagone, sous la direction d’une bande établie au Maroc. L’affaire, d’une ampleur non encore évaluée avec précision, inquiète plus par la méthode utilisée en amont que par l’importance des sommes en jeu. Les têtes pensantes du gang se seraient en effet procuré des informations bancaires soit par un phishing de grande ampleur soit, plus sûrement, par effraction électronique dans une ou plusieurs bases de données nécessairement liées aux circuits bancaires. « Les voleurs semblent disposer d’un puits sans fond de données bancaires, explique une source proche du dossier citée par Le Parisien.

Un réseau de fourmis

Depuis octobre 2012, des données de carte bancaires « récupérées » de façon non encore élucidée ont été utilisées pour effectuer des achats en ligne de biens électroniques – smartphones, tablettes, ordinateurs – sur des sites de e-commerce ayant pignon sur web comme Amazon ou la Fnac. L’adresse de livraison des équipements n’étant pas mentionnée ou volontairement approximative, les colis ont été systématiquement renvoyés vers des commerces de proximité adhérents au réseau Kiala ou, plus récemment, vers des agences Chronopost, où les complices métropolitains du gang marocain, munis des justificatifs de commandes, sont venus les récupérer. Selon les enquêteurs, la majorité des « achats » a été récupérée par les dirigeants du réseau, les petites mains en conservant une partie en guise de commission pour rémunérer leur « service ». L’arnaque est maintenant éventée puisque le groupe Internet de la brigade des fraudes aux moyens de paiement (BFMP) de la PJ parisienne a déjà procédé à plusieurs interpellations. Mais le parquet de Bobigny, en charge des investigations, n’a pas encore ouvert d’information judiciaire ce qui n’a pas permis de placer les quelques complices interpellés sous contrôle judiciaire. Le réseau a donc été informé des premières arrestations et a pu déplacer ailleurs ses lieux de récupération.

Des profils très divers

Selon les enquêteurs, le mode de récupération des envois dans les agences Chronopost ou les bureaux postaux semblent indiquer qu’il puisse exister des complicités dans ces organisations puisque les retraits ont lieu très rapidement après l’arrivée des colis. Les premières arrestations de « récupérateurs » effectuées – une quinzaine à Paris, Sevran ou Toulouse – laissent apparaître des profils classiques de petits délinquants mais aussi des personnages plus surprenants – une étudiante, une infirmière – qui « arrondissaient » ainsi leur fin de mois. Ces relais, qui n’ont pu être inculpé pour l’instant, sont grillés pour le réseau mais, selon les enquêteurs, cela ne freine pas l’entreprise : « en période de crise et en l’absence d’une réponse immédiate de la justice, les escrocs n’ont aucune peine à recruter de nouveaux complices », confiait un enquêteur au Parisien.

On peut se gausser du côté artisanal de l’affaire qui repose obligatoirement sur un vaste réseau de « complices intérimaires » donc peu fiables et un lourd processus de réexpédition des objets volés au Maroc, pays où les marchandises sont très vraisemblablement revendues hors des circuits commerciaux officiels. Mais ce qui est quand même plus inquiétant c’est l’origine des informations bancaires et la façon dont elles ont été dérobées. Ces données qui associent nécessairement les noms et les numéros de carte de vrais porteurs pour que l’on puisse effectuer des transactions en ligne ont bien été volées quelque part et sans laisser de trace puisque ces moyens de paiement ne sont pas invalidés et sont utilisés jusqu’au plafond autorisé. Tant que la source n’est pas identifiée, il est donc probable que cette vaste escroquerie continue.

La protection des données

Cette affaire ne sera pas la dernière et doit pousser tous les cybermarchands, petits et grands, à se poser la question de la sécurité des données de leurs clients et des conditions dans lesquelles elles sont protégées par leur hébergeur. Pour cela, les informations concernant les clients doivent être réellement considérées comme un précieux capital, être protégées des altérations et surtout de tous les détournements possibles. Il faut que soient clairement identifiés les lieu et méthode de stockage de ces données, disposer des moyens de surveiller leur intégrité, et s’assurer de pouvoir les récupérer à la fin d’un contrat d’hébergement. Il est dès lors indispensable de vérifier que l’hébergeur choisi répond bien aux spécifications de la certification PCI. Celle-ci apporte en effet des garanties en terme de localisation des serveurs, d’intégrité du code utilisé (code signing) ou encore des modalités de récupération des données. La norme PCI DSS (Payment Card Industry Data Security Standard) offre aux boutiques en ligne un environnement dit PCI DSS Compliant qui sécurise à la fois les échanges et le stockage de données, notamment celles des cartes de crédit. Par cette norme, l’hébergeur s’engage à respecter douze règles impératives qui l’oblige à appliquer les procédures et technologies sécurisant chaque étape d’un acte d’achat.

Une réglementation durcie

Ces principes de précaution élémentaires ne suffisant sans doute pas, l’Union Européenne a décidé de sévir en imposant des sanctions aux sociétés qui ne prennent pas toutes les protections nécessaires pour éviter la perte ou le vol d’informations notamment les données d’identité et de carte bancaire. L’UE n’impose pas de spécification technique mais indique que les précautions prises doivent être au niveau de l’état de l’art du moment en matière de protection informatique. Elle oblige aussi les entreprises victimes de perte ou de vol de données personnelles a signaler l’incident dans les 24 heures à l’organisme en charge de la régulation des données informatiques – la Commission Nationale de l’Informatique et des Libertés (CNIL) pour la France – et à avertir directement les personnes victimes, sauf si elles démontrent que les mesures techniques de protection prises « rendent les données incompréhensibles à toute personne non autorisée à y accéder ». Mais c’est au régulateur de juger « in fine » de l’efficacité de ces mesures et de l’opportunité ou non d’avertir les intéressés. L’inobservance des mesures de protection des données personnelles est punie d’une amende proportionnelle au chiffre d’affaires des contrevenants.