Arnaque à la pompe à essence : comment les escrocs copient votre code secret sans que vous le voyiez
Pendant que vous faites tranquillement le plein, un dispositif invisible installé dans le terminal de paiement enregistre les données de votre carte bancaire et votre code confidentiel. En quelques secondes, sans manipulation visible, les escrocs récupèrent tout ce qu’il faut pour cloner votre carte. Cette technique, qui se répand dans les stations-service françaises, porte un nom que peu de gens connaissent — et elle est bien plus difficile à repérer que les anciennes arnaques au distributeur.
Le piège du pistolet trafiqué : la première couche de l’arnaque
Avant même de parler du terminal de paiement, les fraudeurs ont trouvé une astuce d’une simplicité déconcertante pour siphonner votre compte. Le principe : introduire une petite boulette dans le mécanisme du pistolet de distribution, comme le rapporte RTL info. Ce corps étranger empêche la clôture normale de la transaction lorsque vous raccrochez le pistolet.
Concrètement, vous pensez avoir terminé votre plein. Vous remettez le pistolet en place, vous remontez en voiture. Mais la session de paiement reste ouverte. Un complice qui attendait à proximité n’a plus qu’à utiliser la même pompe : le carburant qu’il se sert est directement imputé sur votre compte bancaire. Certains automobilistes ne s’en rendent compte qu’en consultant leur relevé, parfois plusieurs jours plus tard. Cette arnaque au pistolet mal raccroché a déjà fait de nombreuses victimes.
Dans un contexte où les prix du carburant atteignent des niveaux record, perdre l’équivalent d’un plein supplémentaire est un coup dur. Mais ce stratagème, aussi vicieux soit-il, reste artisanal comparé à la méthode qui inquiète vraiment les experts en sécurité bancaire.
Un lecteur fantôme caché dans la fente du terminal
La technique la plus redoutable ne vise pas le pistolet mais le terminal où vous insérez votre carte. Les escrocs installent un dispositif clandestin directement à l’intérieur de la machine, dans la fente prévue pour la carte à puce. Ce lecteur fantôme est quasiment indétectable à l’œil nu : il épouse parfaitement la forme du terminal d’origine.
Son fonctionnement est redoutable de précision. Au moment où vous glissez votre carte, le dispositif enregistre simultanément deux types d’informations : les données contenues dans la puce de votre carte bancaire et le code confidentiel que vous tapez sur le clavier. Vous ne remarquez rien d’anormal — le paiement se déroule comme d’habitude, le terminal affiche les messages classiques.
Contrairement au skimming classique, qui ciblait la bande magnétique des anciennes cartes, cette méthode s’attaque aux cartes à puce modernes. Les spécialistes l’appellent le shimming — un terme encore méconnu du grand public. Le « shim », c’est une fine lamelle électronique, parfois plus mince qu’une feuille de papier, qui se glisse entre la puce de votre carte et le lecteur légitime du terminal.
Ce qui se passe après le vol de vos données
Une fois les informations capturées, les malfaiteurs récupèrent le dispositif ou, dans les versions les plus sophistiquées, reçoivent les données par transmission sans fil. Ils disposent alors de tout le nécessaire pour créer un clone de votre carte. Ces clones peuvent être utilisés pour des retraits dans des distributeurs, des achats en magasin ou même des opérations frauduleuses en ligne.
Le plus pernicieux dans cette arnaque, c’est le délai. Les escrocs n’utilisent pas toujours les données immédiatement. Certains attendent plusieurs semaines avant de passer à l’action, ce qui complique considérablement l’identification de l’origine de la fraude. Quand la victime constate enfin des mouvements suspects sur son compte, elle a souvent oublié dans quelles stations-service elle s’est arrêtée. La carte semble n’avoir jamais quitté son portefeuille.
Selon les données de la Banque de France, la fraude à la carte bancaire représente plusieurs centaines de millions d’euros par an en France. Le shimming en station-service contribue à alimenter ces chiffres, d’autant qu’il est difficile à quantifier : beaucoup de victimes ne font pas le lien entre un passage à la pompe et une fraude détectée des semaines plus tard.
Pourquoi les stations-service sont des cibles idéales
Les distributeurs bancaires en agence sont régulièrement inspectés et équipés de caméras de surveillance. Les terminaux de paiement en magasin sont sous l’œil des commerçants. Mais les pompes à essence automatiques ? Elles fonctionnent souvent 24 heures sur 24, sans surveillance humaine permanente, parfois dans des zones isolées. C’est un terrain de jeu rêvé pour les fraudeurs.
À lire aussi
L’installation d’un dispositif de shimming ne prend que quelques minutes à un individu entraîné. Il lui suffit d’un moment de calme — tôt le matin, tard le soir — pour insérer la lamelle dans le terminal. Les stations automatiques situées en bordure de route ou sur les aires d’autoroute sont particulièrement exposées. Personne ne surveille, les caméras couvrent rarement les détails du terminal, et le flux de clients garantit un volume élevé de données à capturer.
À cela s’ajoute un facteur psychologique : quand on fait le plein, on est pressé. On insère sa carte machinalement, on tape son code en pensant à autre chose. Cette routine automatique joue en faveur des escrocs. Rares sont les automobilistes qui prennent le temps d’inspecter le terminal avant de l’utiliser.
Les signaux qui doivent vous alerter immédiatement
Les spécialistes de la sécurité bancaire ont identifié plusieurs indices qui trahissent la présence d’un dispositif frauduleux. Le premier : un terminal qui semble légèrement abîmé, avec des rayures inhabituelles autour de la fente d’insertion de la carte. Si le plastique semble avoir été forcé ou recollé, méfiance absolue.
Deuxième signal : une résistance anormale lorsque vous insérez votre carte. Si la puce entre difficilement, comme si quelque chose gênait le passage, retirez-la immédiatement et utilisez une autre pompe — ou mieux, payez à l’intérieur de la station. Troisième indice : un élément qui dépasse ou qui ne semble pas aligné avec le reste du terminal. Les dispositifs de shimming les plus rudimentaires laissent parfois des traces visibles pour un œil attentif.
Pensez aussi à vérifier si le clavier du terminal bouge anormalement. Certains escrocs superposent un faux clavier sur le vrai pour capter votre code PIN. Si les touches vous semblent plus épaisses que d’habitude ou spongieuses, c’est un signal d’alerte sérieux.
Les réflexes concrets pour se protéger à chaque passage à la pompe
Premier réflexe, le plus efficace : couvrez systématiquement le clavier avec votre main libre lorsque vous tapez votre code. Même si un dispositif capture les données de votre carte, sans le code confidentiel, les escrocs ne peuvent pas l’exploiter pleinement. Ce geste simple, que beaucoup négligent, reste la meilleure barrière contre le shimming.
Privilégiez le paiement sans contact quand le terminal le permet. En ne glissant pas physiquement votre carte dans la fente, vous rendez le dispositif de shimming totalement inopérant. Le paiement via smartphone (Apple Pay, Google Pay) offre une couche de protection supplémentaire puisque les données transmises sont tokenisées — elles ne correspondent pas à votre véritable numéro de carte.
Autre précaution essentielle : surveillez vos opérations bancaires au moins une fois par semaine. La plupart des applications bancaires permettent désormais de recevoir une notification à chaque transaction. Si vous repérez un mouvement suspect, contactez immédiatement votre banque pour faire opposition. Plus la réaction est rapide, plus les chances de remboursement sont élevées. La fraude à la carte bancaire est en principe couverte par votre banque si vous la signalez dans les délais.
Enfin, si vous avez le moindre doute sur un terminal, signalez-le au gérant de la station ou au numéro affiché sur la pompe. Les exploitants ne sont pas toujours au courant que leurs équipements ont été trafiqués. Un signalement peut éviter à des dizaines d’autres automobilistes de tomber dans le piège. Et si vous suspectez une fraude sur votre compte, sachez que les nouvelles cartes à empreinte digitale qui arrivent en France pourraient, à terme, rendre ce type d’arnaque obsolète — mais en attendant, la vigilance reste votre meilleur allié.
