Le clonage de cartes de débit fait de plus en plus de victimes. Les pertes attribuables à ce type de fraude ont atteint 105 millions de dollars en 2008, un bond de 75% en cinq ans. Au Canada, quelque 148 000 clients ont été ciblés, l'an dernier, selon Interac.
Jean Siag, lui, l'a échappé belle. Début novembre, il tente de retirer 200$ dans un guichet automatique de la Banque Royale situé à l'intérieur d'un dépanneur, au centre-ville de Montréal. La transaction avorte. Un message lui indique qu'il n'y a pas suffisamment de fonds dans son compte.
Étonné, M. Siag tente un nouveau retrait, cette fois avec un montant inférieur. Mais la transaction est encore refusée. Le client est inquiet, car il sait pertinemment que son compte n'est pas vide. Il se précipite vers un autre guichet, d'une autre institution financière. Mais la transaction est refusée à nouveau.
Convaincu qu'il est victime de fraude, M. Siag appelle le service à la clientèle de la Banque Royale. On lui répond que sa carte a été bloquée parce qu'il l'a utilisée dans un guichet «compromis».
«Et puis, en succursale, on me dit que ma carte est suivie depuis le 7 octobre. Qu'est-ce que ça veut dire. Pourquoi tout ce cirque?» s'étonne M. Siag qui trouve cette histoire de guichet «compromis» assez bizarre.
«Il y a une erreur dans la réponse qui a été donnée à M. Siag. Nous ne suivons jamais un compte pour voir ce qui va se produire», a assuré Raymond Chouinard, porte-parole de la Banque Royale.
En fait, la Banque a bloqué sa carte, jugeant qu'il risquait d'être victime de fraude après avoir utilisé sa carte dans un guichet où d'autres clients se sont fait piéger.
La magouille fonctionne ainsi: les fraudeurs installent un appareil, à l'intérieur de la fente du guichet automatique, qui capte les données de la bande magnétique des clients. Parallèlement, ils obtiennent le numéro d'identification personnel (NIP) à l'aide d'une caméra qui filme le client lorsqu'il inscrit son code sur le clavier. Ensuite, les fraudeurs peuvent cloner la carte et puiser dans le compte bancaire du client.
Pour éviter le piratage, la Banque Royale a équipé tous ses guichets automatiques, il y a deux ans, d'un dispositif qui empêche les fraudeurs de glisser quoi que ce soit à l'intérieur. Cette offensive a considérablement réduit les cas de fraude.
Désormais, les fraudeurs s'en prennent surtout aux terminaux de paiement qui permettent de régler des achats chez les marchands, à l'épicerie par exemple. C'est probablement là que M. Siag s'est fait attraper.
Dès que la Banque s'aperçoit qu'un terminal a été la cible de fraudeur, elle bloque les cartes des clients qui l'ont utilisé, puis elle leur demande de se présenter en succursale pour obtenir une nouvelle carte, avec un nouveau NIP.
C'est justement ce que M. Siag a fait. Il devrait recevoir bientôt une nouvelle carte. «Ils m'ont dit que ce serait une puce et que les problèmes seraient moins fréquents», rapporte-t-il.
En effet, toutes les institutions financières ont débuté en 2008 la migration vers les cartes de débit à puce. Dotées d'un microprocesseur très difficile à copier, les cartes de débit seront effectivement beaucoup plus sécuritaires que celle avec une bande magnétique.
D'ici 2010, la majorité des titulaires de carte de débit devraient pouvoir profiter de la carte à puce. Les transactions avec bande magnétique ne seront plus acceptées à partir de 2012 dans les guichets, et à partir de 2015 chez les commerçants.
Toutefois, les cartes de débit à puce conserveront toujours une bande magnétique, afin de permettre aux clients d'utiliser leur carte dans des pays où la puce n'existe pas. Le hic, c'est que les fraudeurs pourront encore cloner la bande magnétique d'une carte de débit et aller l'utiliser aux États-Unis, par exemple.
Voilà pourquoi les clients devront rester vigilants et suivre les règles de sécurité de base d'Interac:
Cachez votre NIP à chaque transaction au guichet automatique ou au terminal d'un commerce.
Ne perdez pas de vue votre carte de débit lorsque vous réglez une transaction au terminal d'un commerce.
Vérifiez régulièrement vos relevés bancaires et communiquez pour détecter la fraude et avertir rapidement la banque.
Choisissez un NIP impossible à deviner et ne le dévoilez à personne.
Ne répondez jamais à des courriels qui vous demandent de composer votre numéro de carte et votre NIP. Il s'agit de fraudeurs qui tentent de vous hameçonner en se faisant passer pour une institution financière.