Connexion 

Carding : définition, fonctionnement et mesures de prévention

Connect
Connect

Les plateformes et places de marché les plus florissantes du monde, dont Shopify et DoorDash, utilisent Stripe Connect pour l'intégration des paiements.

En savoir plus 
  1. Introduction
  2. Fonctionnement du cardage
    1. Vol des informations de carte
    2. Test de la validité des cartes
    3. Réalisation de transactions frauduleuses
    4. Contournement des détections
  3. Brève histoire du cardage
    1. Prémices : Vols physiques et écrémage
    2. Essor d’Internet : Hameçonnage et piratage informatique
    3. Places de marché et Web clandestins
    4. Robots de cardage et automatisation
    5. Mesures de sécurité renforcées et adaptations
    6. Défis et techniques modernes
  4. Rôle du Web clandestin et des autres communautés en ligne dans le cardage
    1. Place de marché sur le Web clandestin
    2. Forums et communautés
    3. Anonymat et sécurité
  5. Conséquences du cardage sur les entreprises et les consommateurs
    1. Conséquences pour les entreprises
    2. Conséquences pour les consommateurs
  6. Conseils aux entreprises pour se protéger du cardage
  7. Premiers pas avec Stripe 

Le cardage est une pratique illégale qui consiste à obtenir, à trafiquer ou à utiliser des informations de carte de crédit sans autorisation, souvent pour acheter des cartes cadeaux ou des cartes prépayées. Le cardage est synonyme d'usurpation d'identité, de pertes financières pour les particuliers et les entreprises ainsi que de nombreux autres cybercrimes.

Les pertes liées à la fraude à la carte dans le monde ont dépassé les 33 milliards de dollars en 2022. Pour lutter contre le cardage, les organisations utilisent des mesures de sécurité telles que l'utilisation de jetons, le chiffrement, l'authentification multifacteur et les systèmes de surveillance antifraude. Ce guide à destination des entreprises rassemble tous les renseignements utiles sur le cardage, notamment concernant son fonctionnement et les moyens de s'en protéger.

Que contient cet article?

  • Fonctionnement du cardage
  • Brève histoire du cardage
  • Rôle du Web clandestin et des autres communautés en ligne dans le cardage
  • Conséquences du cardage sur les entreprises et les consommateurs
  • Conseils aux entreprises pour se protéger du cardage

Fonctionnement du cardage

Vol des informations de carte

Le processus de cardage est déclenché par des acteurs malveillants, ou « cardeurs », qui dérobent les informations des cartes de crédit, notamment par le biais de l'hameçonnage, de l'écrémage, des violations de données ou de l'enregistrement de frappes.

  • Hameçonnage : utilisation de courriels, de sites Web ou de messages trompeurs pour inciter les particuliers à révéler des informations relatives à leur carte de crédit. Pour ce faire, les cardeurs se font souvent passer pour des entreprises ou des services légitimes.

  • Écrémage : installation de dispositifs appelés « copieurs » sur les guichets automatiques, les distributeurs d'essence ou les terminaux de points de vente (PDV) pour capturer les informations des cartes de crédit physiques.

  • Piratage informatique : utilisation de logiciels malveillants, de rançongiciels ou d'accès non autorisés pour infiltrer des systèmes informatiques ou des bases de données et voler des informations de cartes de crédit.

  • Enregistrement de frappes : utilisation d'un logiciel ou de matériel dédié pour enregistrer les frappes réalisées sur l'appareil d'une victime de façon à obtenir des informations de carte de crédit et d'autres données sensibles.

  • Injection SQL : insertion d'un code SQL malveillant dans la base de données d'un site Web afin d'extraire des données sensibles, notamment des informations de carte de crédit.

  • Espionnage par-dessus l'épaule : arnaque qui consiste à voler les informations de carte de crédit en observant par-dessus l'épaule des victimes les données qu'elles saisissent aux guichets automatiques et aux caisses des magasins.

  • Détournement de formulaires : compromission par des cardeurs de formulaires en ligne se trouvant sur des sites Web légitimes et destinés à recueillir les informations relatives aux cartes de crédit des utilisateurs.

  • Fausses applications et faux sites Web : création de fausses applications ou de faux sites Web qui semblent légitimes et incitent les utilisateurs à fournir leurs informations de carte de crédit.

  • Attaques par force brute : utilisation de logiciels automatisés pour deviner les numéros de cartes de crédit, souvent en essayant différentes combinaisons numériques jusqu'à en trouver une valide.

Les informations de cartes de crédit volées sont souvent revendues sur des marchés clandestins sur lesquels les acheteurs peuvent se procurer les numéros des cartes, leur date d'expiration, leur valeur de vérification (CVV) et les adresses de facturation associées.

Test de la validité des cartes

Une fois les informations de carte de crédit volées achetées, les fraudeurs utilisent des robots pour valider ces données. Ces robots automatisent le processus de réalisation de petites transactions sur les sites Web de commerce en ligne afin de vérifier si la carte associée est active et peut être utilisée sans déclencher d'alerte à la fraude.

Réalisation de transactions frauduleuses

Après avoir validé la légitimité d'une carte, les fraudeurs utilisent les informations associées pour réaliser des achats non autorisés. Ils ciblent souvent des articles de grande valeur ou des cartes cadeaux qui peuvent être revendus moyennant un paiement en espèces ou être utilisés à des fins personnelles. Les robots de cardage permettent aux fraudeurs d'automatiser et d'étendre ce processus, en ciblant plusieurs sites Web et en effectuant de nombreuses transactions dans un court laps de temps.

Contournement des détections

Les cardeurs utilisent les méthodes et les outils suivants pour échapper à la détection :

  • Proxys et RPV : en masquant l'emplacement des cardeurs, ils complexifient la détection des mécanismes inhabituels par les sites Web de commerce en ligne.

  • Robots aléatoires : ces robots simulent le comportement humain pour éviter de déclencher les systèmes antifraude.

  • Répartition des attaques : les réseaux distribués de robots évitent de concentrer les activités suspectes au même endroit.

  • Revente et conversion : les cardeurs convertissent rapidement les marchandises achetées illégalement en argent liquide, ce qui complique le suivi de leurs activités. Les produits peuvent être revendus sur des places de marché en ligne ou par l'intermédiaire de réseaux locaux.

Brève histoire du cardage

Prémices : Vols physiques et écrémage

À l'origine, le cardage s'appuyait principalement sur des méthodes physiques pour obtenir les informations des cartes de crédit. Les fraudeurs passaient par le vol de portefeuilles ou de sacs à main pour se procurer les cartes de crédit ou plaçaient des dispositifs sur les guichets automatiques ou sur les terminaux de point de vente pour capturer les informations lors de l'introduction des cartes. L'existence de copieurs a été révélée vers 2002.

Essor d'Internet : Hameçonnage et piratage informatique

Avec le développement d'Internet, le cardage s'est déplacé en ligne, donnant lieu à de nouvelles techniques telles que l'hameçonnage et le piratage informatique des bases de données des entreprises pour voler de grandes quantités d'informations de cartes de crédit. Bien que l'hameçonnage existe depuis les années 1990, cette pratique est devenue plus courante au début des années 2000 à mesure qu'Internet a gagné en popularité.

Places de marché et Web clandestins

Le marché noir des informations de cartes de crédit volées s'est développé et les fraudeurs ont commencé à échanger ces informations sur le Web clandestin. Il est ainsi devenu plus facile d'acquérir et de vendre des données de cartes tandis que les forums en ligne sur les techniques de cardage, de vente de données volées et de coordination des activités criminelles ont gagné en popularité.

Robots de cardage et automatisation

L'essor de l'automatisation et des logiciels avancés a conduit à la sophistication des techniques de cardage. Les robots de cardage ont automatisé le processus de test et de validation des cartes, permettant aux fraudeurs d'étendre leurs opérations et d'intensifier la fraude. En parallèle, le recours aux réseaux distribués de robots pour tester de grandes quantités de données de cartes de crédit volées a permis de réduire le risque de détection en répartissant l'activité sur plusieurs sites et adresses IP.

Mesures de sécurité renforcées et adaptations

Les mesures de sécurité ont également évolué à mesure que les cartes ont gagné en sophistication. La technologie de carte à puce associée d'un NIP est devenue la norme dans les années 2010, avec pour objectif de rendre plus difficile le clonage des cartes physiques, ce qui a obligé les cardeurs à se tourner davantage vers les arnaques en ligne. Les plateformes de commerce en ligne ont commencé à mettre en œuvre des systèmes de détection des fraudes fondés sur l'apprentissage automatique et l'IA pour identifier les transactions et les mécanismes suspects. Les CAPTCHA et l'authentification multifacteur ont été introduits pour empêcher les robots d'exploiter les systèmes en ligne.

Défis et techniques modernes

Les cardeurs continuent de s'adapter aux nouvelles mesures et technologies de sécurité en apportant leurs propres innovations. Ces nouvelles techniques incluent le détournement de formulaires (insertion d'un code malveillant dans des formulaires en ligne pour capturer les informations des cartes de crédit), la fraude par identité synthétique (création de fausses identités à l'aide de données volées pour ouvrir des comptes de crédit) et la prise de contrôle de comptes (utilisation d'informations volées sur les cartes pour obtenir un accès non autorisé à des comptes existants).

Rôle du Web clandestin et des autres communautés en ligne dans le cardage

Le Web clandestin et d'autres communautés en ligne ont facilité le cardage à travers la fourniture de plateformes pour l'échange d'informations, d'outils et de renseignements sur l'exploitation des cartes de crédit volées. Grâce à l'anonymat et à la sécurité qu'offrent ces plateformes, les opérations de cardage ont gagné en robustesse et en adaptabilité, ce qui pose des défis permanents aux professionnels chargés de faire appliquer la loi et aux experts en cybersécurité. Voyons ceci plus en détail.

Place de marché sur le Web clandestin

Le Web clandestin est une section d'Internet qui n'est pas indexée par les moteurs de recherche traditionnels et qui est accessible grâce à des logiciels spécialisés tels que Tor. Son caractère anonyme en fait un environnement propice aux activités illégales et notamment au cardage. Les places de marché du Web clandestin servent de plaques tournantes pour l'achat et la vente de biens et de services illégaux, dont voici quelques exemples :

  • Données de cartes de crédit volées : les fraudeurs peuvent vendre de grandes quantités d'informations sur les cartes de crédit sur le Web clandestin, souvent classées par type de carte, pays d'origine ou limite de crédit.

  • Outils de cardage : les logiciels liés au cardage comme les robots, les logiciels malveillants et les enregistreurs de frappes sont disponibles à l'achat sur le Web clandestin, ce qui permet aux criminels d'automatiser et d'intensifier leurs activités.

  • Services connexes : les places de marché du Web clandestin regroupent souvent des fournisseurs qui proposent des services tels que la validation de cartes de crédit, l'encaissement et la création de faux documents d'identité.

Forums et communautés

Les forums et les communautés en ligne sur le Web clandestin et d'autres plateformes servent de centres de partage des connaissances sur le cardage et les activités connexes. Les cardeurs expérimentés y partagent des conseils, des astuces et des guides pas-à-pas pour éviter d'être repérés. Les novices dans le domaine du cardage peuvent solliciter les conseils et un mentorat auprès de cardeurs expérimentés. Les cardeurs s'appuient sur ces forums pour créer des réseaux et des partenariats, mettre en commun des ressources et coordonner des opérations complexes.

Anonymat et sécurité

Le Web clandestin facilite les transactions anonymes et sécurisées, ce qui rend difficile la surveillance et le renversement des activités illégales par les forces de l'ordre.

  • Cryptomonnaies : en règle générale, les transactions sur le Web clandestin utilisent les cryptomonnaies telles que le bitcoin pour renforcer l'anonymat des acheteurs et des vendeurs.

  • Services cachés et communications chiffrées : les places de marché et les forums sur le Web clandestin s'appuient sur le chiffrement et sur la technologie de services cachés pour protéger l'identité des utilisateurs et dissimuler leurs activités.

  • Infrastructures résilientes : les places de marché du Web clandestin utilisent souvent une infrastructure distribuée et redondante pour se prémunir des interruptions par les autorités.

  • Communautés dynamiques : les forums et les communautés de cardage ont la capacité de réapparaître rapidement sous d'autres noms et ailleurs, ce qui complique leur repérage et leur démantèlement.

Conséquences du cardage sur les entreprises et les consommateurs

Conséquences pour les entreprises

  • Pertes financières : en cas de transactions frauduleuses, les entreprises supportent souvent le coût des contestations de paiement et des remboursements. Cette responsabilité peut avoir un impact sur leurs résultats, en particulier pour les petites et moyennes entreprises (PME). Outre le remboursement des fonds et les éventuels frais de contestation de paiement, les entreprises peuvent par ailleurs être confrontées à une augmentation des coûts et à des restrictions de la part des prestataires de services de paiement du fait de taux élevés de litiges induits par la fraude.

  • Atteinte à la réputation : les incidents liés au cardage peuvent nuire à la réputation des entreprises. En effet, les clients victimes de fraude sur leurs plateformes risquent d'être échaudés et de laisser des commentaires négatifs.

  • Coûts opérationnels : la lutte contre le cardage implique d'investir dans des mesures de sécurité, des systèmes de détection de la fraude et une assistance à la clientèle efficaces pour traiter les problèmes liés à la fraude. Les coûts induits peuvent être considérables.

  • Surveillance accrue : les taux élevés de fraude peuvent entraîner une surveillance accrue de la part des prestataires de services de paiement, susceptible de se traduire par des frais plus importants, des exigences plus strictes, voire la clôture des comptes marchands.

  • Risques liés à la conformité réglementaire : les entreprises sont tenues de se conformer à des réglementations telles que la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS). Le non-respect de cette conformité à la suite d'incidents liés au cardage peut entraîner des amendes et des répercussions juridiques.

Conséquences pour les consommateurs

  • Compromissions de compte : les consommateurs dont les informations de carte de crédit ont été volées peuvent se rendre compte que des frais non autorisés ont été prélevés sur leur compte. Une telle situation les oblige à consacrer du temps et des efforts pour collaborer avec leurs institutions financières et les sociétés émettrices de cartes de crédit afin d'annuler les paiements frauduleux et de récupérer leurs fonds, ce qui peut constituer un processus long et source de frustrations.

  • Usurpation d'identité : le cardage peut conduire à des usurpations d'identité plus larges, dans le cadre desquelles les fraudeurs utilisent les informations des cartes de crédit volées pour ouvrir de nouveaux comptes, souscrire des prêts ou commettre d'autres formes de fraude.

  • Détresse émotionnelle : la découverte de frais non autorisés et la gestion des conséquences du cardage peuvent provoquer une détresse émotionnelle et de l'anxiété chez les victimes.

  • Impact sur la cote de solvabilité : dans certains cas, la fraude liée au cardage peut affecter la cote de solvabilité des consommateurs, en particulier si elle entraîne des retards ou des défauts de paiement.

Conseils aux entreprises pour se protéger du cardage

Les systèmes sophistiqués de détection de la fraude s'appuient sur l'apprentissage automatique et l'intelligence artificielle pour détecter les mécanismes et les comportements d'achat inhabituels. Voici comment utiliser ces technologies ainsi que d'autres pratiques pour se protéger.

  • Analyse comportementale : analysez le comportement des utilisateurs sur votre plateforme pour identifier les anomalies telles que les transactions rapides, les tentatives répétées avec des numéros de carte différents ou les schémas de géolocalisation inhabituels.

  • Évaluation dynamique des risques et authentification multifacteur : attribuez des indices de risque aux transactions en fonction de plusieurs facteurs, notamment la prise d'empreinte d'appareil, l'adresse IP, la géolocalisation et les données historiques. Une authentification multifacteur pourra être déclenchée par les transactions à haut risque.

  • Création de jetons : convertissez les informations sensibles relatives aux cartes de crédit en jetons sécurisés lorsque vous les utilisez en interne, de façon à limiter l'exposition des données brutes des cartes et à réduire le risque de vol.

  • Chiffrement de bout en bout : chiffrez les informations sensibles de leur capture à leur stockage en passant par leur traitement afin de réduire le risque d'interception et d'accès non autorisé.

  • Stockage sécurisé des données : stockez les informations des cartes de crédit dans des bases de données chiffrées dont l'accès est limité. Mettez en place un contrôle des accès basé sur les rôles et assurez-vous que seul le personnel autorisé peut consulter les données sensibles.

  • Surveillance des transactions en temps réel : surveillez les transactions en temps réel de façon à identifier les activités potentiellement frauduleuses. Envoyez des alertes automatisées aux équipes de sécurité afin qu'elles interviennent sans délai.

  • Équipes d'intervention en cas d'incident : créez des équipes d'intervention en cas d'incident dédiées et des protocoles clairs pour traiter les événements liés au cardage.

  • Partage de renseignements sur les menaces : adhérez à des programmes de partage de renseignements sur les menaces afin de rester informé(e) des nouvelles tendances et techniques de cardage.

  • Collaboration avec les forces de l'ordre : collaborez avec les organismes d'application de la loi spécialisés dans la cybercriminalité afin de faciliter les enquêtes et le démantèlement des opérations de cardage.

  • Solutions CAPTCHA : utilisez des solutions CAPTCHA avancées ou des options de substitution telles que reCAPTCHA v3 qui ne requièrent aucune interaction de la part de l'utilisateur, mais qui peuvent détecter les comportements comparables à ceux de robots.

  • Limitation de la bande passante et limite de débit : limitez le débit pour restreindre le nombre de transactions ou de tentatives provenant d'une seule adresse IP ou d'un seul utilisateur sur un laps de temps donné.

  • Prise d'empreinte des appareils : identifiez les caractéristiques uniques des appareils de façon à détecter l'activité automatisée des robots. Vous éviterez ainsi que ces derniers ne testent un grand nombre d'informations de carte de crédit volées.

  • Alertes et notifications de fraude : envoyez des alertes aux clients dès qu'une activité suspecte est détectée afin de leur permettre de confirmer ou de refuser rapidement les transactions.

  • Sensibilisation des clients : sensibilisez les clients aux risques liés au cardage et à la bonne pratique en matière de protection des informations de leurs cartes de crédit. Vous contribuerez ainsi à réduire la probabilité de réussite des attaques par hameçonnage ou par ingénierie sociale.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Plus d'articles

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Connect

Connect

Lancez-vous en quelques semaines au lieu de plusieurs trimestres, et développez une activité de paiement rentable avec facilité.

Documentation Connect

Comment répartir des paiements entre plusieurs destinataires.