Démarrer  Nous contacter 

Cardage : définition, fonctionnement et mesures de prévention

Connect
Connect

Les plateformes et places de marché les plus florissantes du monde, dont Shopify et DoorDash, utilisent Stripe Connect pour l'intégration des paiements.

En savoir plus 
  1. Introduction
  2. Fonctionnement du cardage
    1. Vol des informations de carte
    2. Test de la validité des cartes
    3. Réalisation de transactions frauduleuses
    4. Contournement des détections
  3. Conseils aux entreprises pour se protéger du cardage
  4. Comment le Web clandestin rend le cardage possible
  5. L’impact du cardage sur les entreprises et les clients
    1. Conséquences pour les entreprises
    2. Conséquences pour les clients
  6. Brève histoire du cardage
    1. Les débuts et la montée d’Internet
    2. De nouvelles technologies émergent
  7. Comment Stripe Radar peut aider
  8. Premiers pas avec Stripe 

Le cardage est une pratique illégale qui consiste à obtenir, à trafiquer ou à utiliser des informations de carte de crédit sans autorisation, souvent pour acheter des cartes cadeaux ou des cartes prépayées. Le cardage est synonyme d’usurpation d’identité, de pertes financières pour les particuliers et les entreprises ainsi que de nombreux autres cybercrimes.

Les pertes dues à la fraude par carte de crédit dans le monde devraient atteindre 43 milliards de dollars d’ici 2026. Pour lutter contre le cardage, les organisations emploient des mesures de sécurité telles que l’utilisation de jetons, le chiffrement, l’authentification multifactorielle et les systèmes de surveillance antifraude. Ce guide couvrira ce que les entreprises doivent savoir sur le cardage, y compris son fonctionnement et comment se protéger.

Que contient cet article?

  • Fonctionnement du cardage
  • Conseils aux entreprises pour se protéger du cardage
  • Comment le Web clandestin rend le cardage possible
  • L’impact du cardage sur les entreprises et les clients
  • Brève histoire du cardage
  • Comment Stripe Radar peut aider

Fonctionnement du cardage

Vol des informations de carte

Le processus de cardage commence avec des voleurs de cartes, connus sous le nom de « cardeurs », qui volent des informations de carte de crédit par le biais de hameçonnage, d’écrémage, de violations de données ou d’entregistrement de frappes.

Voici quelques façons courantes dont les cardeurs peuvent voler des informations de carte :

  • Hameçonnage : utilisation de courriels, de sites Web ou de messages trompeurs pour inciter les particuliers à révéler des informations relatives à leur carte de crédit. Pour ce faire, les cardeurs se font souvent passer pour des entreprises ou des services légitimes.

  • Écrémage : installation de dispositifs appelés « copieurs » sur les guichets automatiques, les distributeurs d’essence ou les terminaux de points de vente (PDV) pour capturer les informations des cartes de crédit physiques.

  • Piratage informatique : utilisation de logiciels malveillants, de rançongiciels ou d’accès non autorisés pour infiltrer des systèmes informatiques ou des bases de données et voler des informations de cartes de crédit.

  • Enregistrement de frappes : utilisation d’un logiciel ou de matériel dédié pour enregistrer les frappes réalisées sur l’appareil d’une victime de façon à obtenir des informations de carte de crédit et d’autres données sensibles.

  • Injection SQL : insertion d’un code SQL malveillant dans la base de données d’un site Web afin d’extraire des données sensibles, notamment des informations de carte de crédit.

  • Espionnage par-dessus l’épaule : arnaque qui consiste à voler les informations de carte de crédit en observant par-dessus l’épaule des victimes les données qu’elles saisissent aux guichets automatiques et aux caisses des magasins.

  • Détournement de formulaires : compromission par des cardeurs de formulaires en ligne se trouvant sur des sites Web légitimes et destinés à recueillir les informations relatives aux cartes de crédit des utilisateurs.

  • Fausses applications et faux sites Web : création de fausses applications ou de faux sites Web qui semblent légitimes et incitent les utilisateurs à fournir leurs informations de carte de crédit.

  • Attaques par force brute : utilisation de logiciels automatisés pour deviner les numéros de cartes de crédit, souvent en essayant différentes combinaisons numériques jusqu’à en trouver une valide.

Les informations de cartes de crédit volées sont souvent revendues sur des marchés clandestins sur lesquels les acheteurs peuvent se procurer les numéros des cartes, leur date d’expiration, leur valeur de vérification (CVV) et les adresses de facturation associées.

Test de la validité des cartes

Une fois les informations de carte de crédit volées achetées, les fraudeurs utilisent des robots pour valider ces données. Ces robots automatisent le processus de réalisation de petites transactions sur les sites Web de commerce en ligne afin de vérifier si la carte associée est active et peut être utilisée sans déclencher d’alerte à la fraude.

Réalisation de transactions frauduleuses

Après avoir validé la légitimité d’une carte, les fraudeurs utilisent les informations associées pour réaliser des achats non autorisés. Ils ciblent souvent des articles de grande valeur ou des cartes cadeaux qui peuvent être revendus moyennant un paiement en espèces ou être utilisés à des fins personnelles. Les robots de cardage permettent aux fraudeurs d’automatiser et d’étendre ce processus, en ciblant plusieurs sites Web et en effectuant de nombreuses transactions dans un court laps de temps.

Contournement des détections

Les cardeurs utilisent une gamme d’outils et de tactiques pour échapper à la détection tout en commettant des fraudes. Ils s’appuient souvent sur des proxys et des RPV pour cacher leurs véritables emplacements, rendant plus difficile pour les plateformes de commerce en ligne de signaler une activité suspecte. Les cardeurs utilisent également des robots randomisés pour imiter le comportement humain et contourner la détection de fraude, tandis que des réseaux de robots distribués étalent l’activité pour éviter d’attirer l’attention. De plus, les cardeurs convertissent rapidement les biens volés en espèces en les revendant en ligne ou par le biais de réseaux locaux, compliquant encore plus les efforts pour tracer leurs actions.

Conseils aux entreprises pour se protéger du cardage

Les systèmes sophistiqués de détection de la fraude s’appuient sur l’intelligence artificielle pour détecter les mécanismes et les comportements d’achat inhabituels. Voici comment utiliser ces technologies ainsi que d’autres pratiques pour se protéger.

  • Système de vérification d’adresse (AVS) : l’AVS compare l’adresse de facturation fournie par l’utilisateur à celle enregistrée auprès de l’émetteur de la carte. C’est un outil de prévention de la fraude basique, mais efficace.

  • Analyse comportementale : analysez le comportement des utilisateurs sur votre plateforme pour identifier les anomalies telles que les transactions rapides, les tentatives répétées avec des numéros de carte différents ou les schémas de géolocalisation inhabituels.

  • Évaluation dynamique des risques et authentification multifacteur : attribuez des indices de risque aux transactions en fonction de plusieurs facteurs, notamment la prise d’empreinte d’appareil, l’adresse IP, la géolocalisation et les données historiques. Une authentification multifacteur pourra être déclenchée par les transactions à haut risque.

  • Valeur de vérification de carte (CVV) : exiger des clients qu’ils saisissent leur CVV aide à confirmer que l’acheteur possède physiquement la carte, réduisant le risque d’utilisation non autorisée des numéros de carte volés seuls.

  • Création de jetons : convertissez les informations sensibles relatives aux cartes de crédit en jetons sécurisés lorsque vous les utilisez en interne, de façon à limiter l’exposition des données brutes des cartes et à réduire le risque de vol.

  • Chiffrement de bout en bout : chiffrez les informations sensibles de leur capture à leur stockage en passant par leur traitement afin de réduire le risque d’interception et d’accès non autorisé.

  • Stockage sécurisé des données : stockez les informations des cartes de crédit dans des bases de données chiffrées dont l’accès est limité. Mettez en place un contrôle des accès basé sur les rôles et assurez-vous que seul le personnel autorisé peut consulter les données sensibles.

  • Surveillance des transactions en temps réel : surveillez les transactions en temps réel de façon à identifier les activités potentiellement frauduleuses. Envoyez des alertes automatisées aux équipes de sécurité afin qu’elles interviennent sans délai.

  • Équipes d’intervention en cas d’incident : créez des équipes d’intervention en cas d’incident dédiées et des protocoles clairs pour traiter les événements liés au cardage.

  • Partage de renseignements sur les menaces : adhérez à des programmes de partage de renseignements sur les menaces afin de rester informé(e) des nouvelles tendances et techniques de cardage.

  • Collaboration avec les forces de l’ordre : collaborez avec les organismes d’application de la loi spécialisés dans la cybercriminalité afin de faciliter les enquêtes et le démantèlement des opérations de cardage.

  • Solutions CAPTCHA : utilisez des solutions CAPTCHA avancées ou des options de substitution telles que reCAPTCHA v3 qui ne requièrent aucune interaction de la part de l’utilisateur, mais qui peuvent détecter les comportements comparables à ceux de robots.

  • Limitation de la bande passante et limite de débit : limitez le débit ou faites des vérifications de vélocité pour restreindre le nombre de transactions ou de tentatives provenant d’une seule adresse IP ou d’un seul utilisateur sur un laps de temps donné.

  • Prise d’empreinte des appareils : identifiez les caractéristiques uniques des appareils de façon à détecter l’activité automatisée des robots. Vous éviterez ainsi que ces derniers ne testent un grand nombre d’informations de carte de crédit volées.

  • Alertes et notifications de fraude : envoyez des alertes aux clients dès qu’une activité suspecte est détectée afin de leur permettre de confirmer ou de refuser rapidement les transactions.

  • Sensibilisation des clients : sensibilisez les clients aux risques liés au cardage et à la bonne pratique en matière de protection des informations de leurs cartes de crédit. Vous contribuerez ainsi à réduire la probabilité de réussite des attaques par hameçonnage ou par ingénierie sociale.

Comment le Web clandestin rend le cardage possible

Le Web clandestin permet des transactions anonymes qui sont difficiles à tracer ou à perturber pour les forces de l’ordre. La plupart des paiements utilisent des cryptomonnaies telles que le bitcoin, qui masquent les identités des acheteurs et des vendeurs.

Les places de marché s’appuient sur le chiffrement, les services cachés et l’infrastructure distribuée pour protéger les utilisateurs et rester en ligne malgré les efforts de suppression. Même lorsque des sites sont fermés, des communautés dynamiques telles que les forums de cardage réapparaissent souvent sous de nouveaux noms, rendant leur élimination complète difficile.

Les places de marché du Web clandestin sont des plateformes centrales pour le commerce de biens et services illégaux, en particulier liés à la fraude financière. Elles offrent des données de cartes de crédit volées, souvent organisées par détails spécifiques comme le type ou le pays, ainsi que des outils de cardage tels que des robots et des logiciels malveillants qui aident à automatiser la fraude. Ces places de marché fournissent également des services connexes tels que la validation de cartes de crédit, l’assistance au retrait d’argent et la création de fausses identités.

Les communautés du Web clandestin sont des centres de connaissances où des cardeurs expérimentés partagent des techniques, des guides et des conseils avec les nouveaux venus. Ces plateformes permettent également le réseautage et la collaboration, permettant aux utilisateurs de coordonner des opérations de fraude plus sophistiquées.

L’impact du cardage sur les entreprises et les clients

Conséquences pour les entreprises

  • Pertes financières : Lorsque des transactions frauduleuses se produisent, les entreprises doivent souvent prend en charge le coût des contestations de paiement et des remboursements. Cela peut affecter leur résultat net, en particulier pour les petites et moyennes entreprises (PME).

  • Atteinte à la réputation : les incidents liés au cardage peuvent nuire à la réputation des entreprises. En effet, les clients victimes de fraude sur leurs plateformes risquent d’être échaudés et de laisser des commentaires négatifs.

  • Coûts opérationnels : la lutte contre le cardage implique d’investir dans des mesures de sécurité, des systèmes de détection de la fraude et une assistance à la clientèle efficaces pour traiter les problèmes liés à la fraude. Les coûts induits peuvent être considérables.

  • Surveillance accrue : les taux élevés de fraude peuvent entraîner une surveillance accrue de la part des prestataires de services de paiement, susceptible de se traduire par des frais plus importants, des exigences plus strictes, voire la clôture des comptes marchands.

  • Risques de conformité réglementaire : les entreprises sont tenues de se conformer à des réglementations telles que le Standard de sécurité des données de l’industrie des cartes de paiement (PCI DSS). Le non-respect de la conformité en raison d’incidents de cardage peut entraîner des amendes et des répercussions juridiques.

Conséquences pour les clients

  • Compromissions de compte : les clients dont les informations de carte de crédit ont été volées peuvent se rendre compte que des frais non autorisés ont été prélevés sur leur compte. Une telle situation les oblige à consacrer du temps et des efforts pour collaborer avec leurs institutions financières et les sociétés émettrices de cartes de crédit afin d’annuler les paiements frauduleux et de récupérer leurs fonds, ce qui peut constituer un processus long et source de frustrations.

  • Usurpation d’identité : le cardage peut conduire à des usurpations d’identité plus larges, dans le cadre desquelles les fraudeurs utilisent les informations des cartes de crédit volées pour ouvrir de nouveaux comptes, souscrire des prêts ou commettre d’autres formes de fraude.

  • Détresse émotionnelle : la découverte de frais non autorisés et la gestion des conséquences du cardage peuvent provoquer une détresse émotionnelle et de l’anxiété chez les victimes.

  • Impact sur la cote de solvabilité : dans certains cas, la fraude liée au cardage peut affecter la cote de solvabilité des clients, en particulier si elle entraîne des retards ou des défauts de paiement.

Brève histoire du cardage

Les débuts et la montée d’Internet

À l’origine, le cardage s’appuyait principalement sur des méthodes physiques pour obtenir les informations des cartes de crédit. Les fraudeurs passaient par le vol de portefeuilles ou de sacs à main pour se procurer les cartes de crédit ou plaçaient des dispositifs sur les guichets automatiques ou sur les terminaux de point de vente pour capturer les informations lors de l’introduction des cartes. L’existence de copieurs a été révélée vers 2002.

Avec le développement d’Internet, le cardage s’est déplacé en ligne, donnant lieu à de nouvelles techniques telles que l’hameçonnage et le piratage informatique des bases de données des entreprises pour voler de grandes quantités d’informations de cartes de crédit. Bien que l’hameçonnage existe depuis les années 1990, cette pratique est devenue plus courante au début des années 2000 à mesure qu’Internet a gagné en popularité.

De nouvelles technologies émergent

L’automatisation et les logiciels avancés ont conduit à la sophistication des techniques de cardage. Les robots de cardage ont automatisé le processus de test et de validation des cartes, permettant aux fraudeurs d’étendre leurs opérations et d’intensifier la fraude. En parallèle, le recours aux réseaux distribués de robots pour tester de grandes quantités de données de cartes de crédit volées a permis de réduire le risque de détection en répartissant l’activité sur plusieurs sites et adresses IP.

Les mesures de sécurité ont également évolué à mesure que les cartes ont gagné en sophistication. La technologie de carte à puce associée d’un NIP est devenue la norme dans les années 2010, avec pour objectif de rendre plus difficile le clonage des cartes physiques, ce qui a obligé les cardeurs à se tourner davantage vers les arnaques en ligne. Les plateformes de commerce en ligne ont commencé à mettre en œuvre des systèmes de détection des fraudes fondés sur l’apprentissage automatique et l’IA pour identifier les transactions et les mécanismes suspects. Les CAPTCHA et l’authentification multifacteur ont été introduits pour empêcher les robots d’exploiter les systèmes en ligne.

Les cardeurs continuent de s’adapter aux nouvelles mesures de sécurité et technologies avec leurs propres innovations. Les nouvelles techniques incluent le détournement de formulaires, la fraude à l’identité synthétique (création de fausses identités à l’aide de données volées pour ouvrir des comptes de crédit) et les prises de contrôle de comptes (utilisation d’informations de carte volées pour accéder de manière non autorisée à des comptes existants).

Comment Stripe Radar peut aider

Stripe Radar utilise des modèles d’IA formés pour détecter et prévenir la fraude, en utilisant des données du réseau mondial de Stripe. Il met continuellement à jour ces modèles en fonction des dernières tendances de fraude, protégeant votre entreprise à mesure que la fraude évolue.

Stripe propose également Radar for Fraud Teams, qui permet aux utilisateurs d’ajouter des règles personnalisées afin de traiter des scénarios de fraude spécifiques à leurs entreprises et d’accéder à des informations avancées sur la fraude.

Radar peut aider votre entreprise à :

  • Prévenir les pertes dues à la fraude : Stripe traite plus de 1 trillion de dollars en paiements chaque année. Cette échelle permet à Radar de détecter et de prévenir la fraude avec précision, vous faisant économiser de l’argent.
  • Augmenter les revenus : les modèles d’IA de Radar sont formés sur des données réelles de litiges, d’informations clients, de données de navigation, et plus encore. Cela permet à Radar d’identifier les transactions à risque et de réduire les faux positifs, augmentant ainsi vos revenus.
  • Gagner du temps : Radar est intégré à Stripe et ne nécessite aucune ligne de code pour être configuré. Vous pouvez également surveiller vos performances en matière de fraude, rédiger des règles, et plus encore sur une seule plateforme, augmentant ainsi l’efficacité.

En savoir plus sur Stripe Radar, ou démarrez dès aujourd’hui.

Le contenu de cet article est fourni uniquement à des fins informatives et pédagogiques. Il ne saurait constituer un conseil juridique ou fiscal. Stripe ne garantit pas l'exactitude, l'exhaustivité, la pertinence, ni l'actualité des informations contenues dans cet article. Nous vous conseillons de consulter un avocat compétent ou un comptable agréé dans le ou les territoires concernés pour obtenir des conseils adaptés à votre situation particulière.

Plus d'articles

Envie de vous lancer ?

Créez un compte et commencez à accepter des paiements rapidement, sans avoir à signer de contrat ni à fournir vos coordonnées bancaires. N'hésitez pas à nous contacter pour discuter de solutions personnalisées pour votre entreprise.
Connect

Connect

Lancez-vous en quelques semaines au lieu de plusieurs trimestres, et développez une activité de paiement rentable avec facilité.

Documentation Connect

Comment répartir des paiements entre plusieurs destinataires.