Shimming : cette arnaque invisible aux pompes à essence copie votre carte bancaire en quelques secondes
Vous payez votre plein, vous repartez tranquillement — et quelques jours plus tard, des achats que vous n’avez jamais faits apparaissent sur votre relevé bancaire. Aux pompes à essence, une nouvelle génération d’escrocs ne s’intéresse plus à votre portefeuille : c’est directement dans le terminal de paiement qu’ils ont caché leur piège. Un dispositif si discret que même un œil averti peut passer à côté.
Le pistolet trafiqué : l’arnaque qui laisse la pompe ouverte
Avant même de parler du dispositif le plus redoutable, il faut comprendre que les stations-service sont devenues un terrain de chasse pour les fraudeurs, avec des techniques qui se superposent. La première, déjà signalée dans plusieurs pays européens, cible directement le pistolet de distribution. Selon RTL info, des malfaiteurs introduisent une sorte de petite boulette dans le mécanisme du pistolet afin d’empêcher la clôture normale de la transaction.
Concrètement, l’automobiliste raccroche le pistolet en pensant avoir terminé son paiement. Mais la session reste ouverte. Un complice, posté à proximité, n’a plus qu’à décrocher la pompe et se servir en carburant — le tout imputé sur le compte de la victime. Ce type de pistolet mal raccroché a déjà coûté plus de 100 euros à certains automobilistes sans qu’ils s’en rendent compte sur le moment.
Dans un contexte d’envolée des prix des carburants, ces quelques dizaines de litres volés représentent une perte financière non négligeable. Mais cette technique reste artisanale comparée à ce qui se joue à l’intérieur même des terminaux de paiement.
Un lecteur fantôme caché dans la fente du terminal
La méthode qui inquiète le plus les spécialistes de la sécurité bancaire porte un nom encore peu connu du grand public : le shimming. Cousin évolué du skimming — qui consistait à poser un faux lecteur par-dessus le vrai —, le shimming s’adresse spécifiquement aux cartes à puce, celles que nous utilisons tous quotidiennement.
Le principe est redoutablement simple. Les escrocs insèrent un dispositif ultra-fin, parfois plus mince qu’une feuille de papier, directement à l’intérieur de la fente où l’on glisse sa carte bancaire. Ce lecteur clandestin est capable d’intercepter les données stockées sur la puce au moment où le terminal les lit pour valider la transaction.
Mais le shimming ne se contente pas de copier les informations de votre carte. Le dispositif est souvent couplé à une micro-caméra ou à un faux clavier superposé, tous deux quasi indétectables à l’œil nu. Leur rôle : capter votre code confidentiel pendant que vous le tapez. Avec ces deux éléments — données de la puce et code PIN —, les fraudeurs disposent de tout le nécessaire pour cloner votre carte et l’utiliser à distance.
Une fois la carte dupliquée, les opérations frauduleuses peuvent commencer : retraits au distributeur, achats en ligne, paiements à l’étranger. La victime ne s’aperçoit souvent de rien avant plusieurs jours, le temps que les débits apparaissent sur son relevé. Et à ce moment-là, les escrocs ont déjà disparu.
Pourquoi les pompes automatiques sont des cibles idéales
Les stations-service présentent un avantage majeur pour les fraudeurs par rapport aux commerces classiques : les terminaux de paiement extérieurs fonctionnent souvent en libre-service, sans surveillance humaine permanente. La nuit, les week-ends, aux heures creuses, personne ne surveille qui s’approche des machines.
Installer un dispositif de shimming prend moins de trente secondes à un escroc entraîné. Le matériel nécessaire se trouve pour quelques dizaines d’euros sur certains marchés en ligne, ce qui rend cette fraude accessible à un nombre croissant de malfaiteurs. Les terminaux extérieurs, exposés aux intempéries et parfois légèrement détériorés, offrent aussi une couverture parfaite : un élément inhabituel passe plus facilement inaperçu sur une machine déjà abîmée.
Ce phénomène ne se limite d’ailleurs pas aux pompes à essence. Les distributeurs automatiques de billets, les bornes de parking et les terminaux de péage sont également visés. En France, la multiplication des attaques ciblant les données bancaires montre que les fraudeurs diversifient constamment leurs méthodes. L’enjeu, pour les automobilistes, est de savoir repérer les signaux d’alerte avant qu’il ne soit trop tard.
À lire aussi
Les signes qui doivent vous mettre en alerte
Les experts en sécurité bancaire insistent sur un réflexe simple mais souvent négligé : observer le terminal avant d’y insérer sa carte. Un boîtier qui semble légèrement décollé, une fente plus étroite ou plus large que d’habitude, un élément en plastique qui bouge quand on le touche — autant d’indices qui peuvent trahir la présence d’un dispositif frauduleux.
Avant de taper votre code, vérifiez aussi le clavier. S’il paraît plus épais que la normale, s’il offre une résistance inhabituelle ou si les touches semblent surélevées, mieux vaut annuler la transaction et choisir un autre terminal. Un geste aussi basique que de masquer le clavier avec votre main libre pendant la saisie du code suffit à neutraliser les micro-caméras, même si elles sont présentes.
Au-delà de l’inspection visuelle, surveiller ses opérations bancaires régulièrement reste le filet de sécurité le plus efficace. La plupart des applications bancaires permettent aujourd’hui de recevoir une notification instantanée à chaque paiement. Activer cette fonctionnalité permet de détecter une transaction frauduleuse dans les minutes qui suivent, au lieu de la découvrir des semaines plus tard sur un relevé papier.
Carte clonée : que faire si vous êtes victime ?
Si vous repérez un débit suspect, le premier réflexe est de faire opposition immédiatement auprès de votre banque. En France, la loi protège les titulaires de cartes bancaires : en cas de fraude avérée, le remboursement des sommes débitées est en principe garanti, à condition de signaler l’incident rapidement. Le délai légal est de 13 mois après la date du débit contesté.
Déposer plainte auprès de la police ou de la gendarmerie est également recommandé. Même si les chances de retrouver les auteurs restent faibles — les réseaux de shimming opèrent souvent de manière itinérante —, chaque signalement contribue à cartographier les zones touchées et à renforcer la surveillance. Vous pouvez aussi signaler la fraude sur la plateforme Perceval du ministère de l’Intérieur, spécifiquement dédiée aux usages frauduleux de cartes bancaires.
Pour limiter les risques à l’avenir, certains spécialistes conseillent de privilégier le paiement sans contact quand c’est possible, car il ne nécessite pas d’insérer la carte dans le terminal. D’autres recommandent d’envelopper sa carte dans du papier d’aluminium pour bloquer la lecture à distance des données NFC, même si cette précaution vise un autre type de fraude.
Les alternatives qui compliquent la tâche des escrocs
L’avenir de la sécurité bancaire passe aussi par de nouvelles technologies. Plusieurs grandes banques françaises testent actuellement la carte bancaire à empreinte digitale, qui remplace le code PIN par un capteur biométrique intégré directement dans la carte. Avec ce système, même si un escroc parvient à copier les données de la puce, il ne peut rien en faire sans votre empreinte.
Le paiement par smartphone, via Apple Pay ou Google Pay, offre également un niveau de sécurité supérieur. Chaque transaction génère un numéro de carte virtuel à usage unique, ce qui rend le clonage tout simplement impossible. Ces solutions ne sont pas encore disponibles sur tous les terminaux de stations-service, mais leur déploiement s’accélère.
En attendant, la vigilance reste l’arme la plus accessible. Un code PIN trop simple — comme 1234 ou votre année de naissance — facilite le travail des fraudeurs, même sans dispositif sophistiqué. Changer régulièrement de code et éviter les combinaisons évidentes reste un geste de protection basique mais trop souvent négligé. Face à des escrocs qui investissent dans du matériel de plus en plus perfectionné, chaque barrière supplémentaire compte.
