{"id":22709,"date":"2025-04-11T11:22:19","date_gmt":"2025-04-11T09:22:19","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22709"},"modified":"2025-04-11T11:22:19","modified_gmt":"2025-04-11T09:22:19","slug":"apple-google-nfc-carding-theft-2025","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/apple-google-nfc-carding-theft-2025\/22709\/","title":{"rendered":"Les cardeurs NFC se cachent derri\u00e8re Apple Pay et Google Wallet"},"content":{"rendered":"

La s\u00e9curit\u00e9 des cartes de paiement s\u2019am\u00e9liore constamment, mais les pirates informatiques trouvent sans cesse de nouveaux moyens de voler de l\u2019argent. Autrefois, apr\u00e8s avoir incit\u00e9 la victime \u00e0 fournir les donn\u00e9es de sa carte sur une fausse boutique en ligne ou dans le cadre d\u2019une autre escroquerie, les cybercriminels fabriquaient un double physique de la carte en inscrivant les donn\u00e9es vol\u00e9es sur une bande magn\u00e9tique. Ces cartes pouvaient alors \u00eatre utilis\u00e9es sans probl\u00e8me dans les magasins et m\u00eame dans les distributeurs automatiques. L\u2019av\u00e8nement des cartes \u00e0 puce et des mots de passe \u00e0 usage unique (OTP) a nettement compliqu\u00e9 la t\u00e2che des escrocs, mais ils se sont adapt\u00e9s<\/a>. Le passage aux paiements mobiles \u00e0 l\u2019aide de smartphones a renforc\u00e9 la r\u00e9sistance \u00e0 certains types d\u2019escroqueries, mais a \u00e9galement ouvert de nouvelles possibilit\u00e9s. Apr\u00e8s avoir pirat\u00e9 un num\u00e9ro de carte, les escrocs tentent de le relier \u00e0 leur propre compte Apple Pay ou Google Wallet. Ensuite, ils utilisent ce compte \u00e0 partir d\u2019un smartphone pour payer des marchandises avec la carte de la victime, soit dans un magasin normal, soit dans un faux magasin \u00e9quip\u00e9 d\u2019un terminal de paiement compatible avec la technologie NFC.<\/p>\n

Comment les donn\u00e9es des cartes sont-elles pirat\u00e9es\u00a0?<\/h2>\n

Ces cyberattaques impliquent une pr\u00e9paration \u00e0 l\u2019\u00e9chelle industrielle. Les pirates informatiques cr\u00e9ent des r\u00e9seaux de faux sites Web destin\u00e9s \u00e0 soutirer des donn\u00e9es de paiement. Ils peuvent par exemple imiter des services de livraison, de grands magasins en ligne<\/a>, voire des portails de paiement de factures de services publics ou d\u2019amendes pour infraction au Code de la route. Les cybercriminels rach\u00e8tent \u00e9galement des dizaines de smartphones, y cr\u00e9ent des comptes Apple ou Google et y installent des applications de paiement sans contact.<\/p>\n

Vient ensuite la partie croustillante. Lorsqu\u2019une victime arrive sur un site d\u2019app\u00e2t, on lui demande de lier sa carte ou d\u2019effectuer un petit paiement obligatoire. Pour ce faire, elle doit saisir les d\u00e9tails de sa carte et confirmer qu\u2019elle en est propri\u00e9taire en saisissant un mot de passe \u00e0 usage unique. En fait, la carte n\u2019est pas d\u00e9bit\u00e9e \u00e0 ce stade.<\/strong><\/p>\n

Que se passe-t-il en r\u00e9alit\u00e9\u00a0? Les donn\u00e9es de la victime sont presque instantan\u00e9ment transf\u00e9r\u00e9es aux cybercriminels, qui tentent de lier la carte \u00e0 un portefeuille mobile<\/strong> sur leur smartphone. Le code OTP est n\u00e9cessaire pour autoriser cette op\u00e9ration. Pour acc\u00e9l\u00e9rer et simplifier le processus, les pirates informatiques utilisent un logiciel sp\u00e9cial qui, \u00e0 partir des donn\u00e9es fournies par la victime, g\u00e9n\u00e8re une image de la carte qui la reproduit parfaitement. Ensuite, il suffit de prendre cette image en photo \u00e0 partir d\u2019Apple Pay ou de Google Wallet. Le processus exact d\u2019association d\u2019une carte \u00e0 un portefeuille mobile d\u00e9pend du pays et de la banque en question, mais en g\u00e9n\u00e9ral, aucune donn\u00e9e n\u2019est requise en dehors du num\u00e9ro, de la date d\u2019expiration, du nom du titulaire de la carte, du code CVV\/CVC ainsi que du mot de passe \u00e0 usage unique. Toutes ces donn\u00e9es peuvent \u00eatre d\u00e9rob\u00e9es en une seule session et utilis\u00e9es imm\u00e9diatement.<\/p>\n

Pour rendre les attaques encore plus efficaces, les cybercriminels utilisent d\u2019autres techniques. Tout d\u2019abord, si la victime reprend ses esprits avant de cliquer sur le bouton \u00ab\u00a0Envoyer\u00a0\u00bb, les donn\u00e9es d\u00e9j\u00e0 saisies dans les formulaires sont transmises aux criminels, m\u00eame s\u2019il ne s\u2019agit que de quelques caract\u00e8res ou d\u2019une saisie incompl\u00e8te. Deuxi\u00e8mement, le faux site peut signaler que le paiement a \u00e9chou\u00e9 et inviter la victime \u00e0 essayer une autre carte. De cette mani\u00e8re, les criminels peuvent obtenir les d\u00e9tails de deux ou trois cartes en une seule fois.<\/p>\n

Les cartes ne sont pas d\u00e9bit\u00e9es imm\u00e9diatement et de nombreuses personnes, ne constatant rien de suspect sur leur relev\u00e9 bancaire, oublient compl\u00e8tement l\u2019incident.<\/p>\n

Comment l\u2019argent est-il vol\u00e9 sur les cartes\u00a0?<\/h2>\n

Les cybercriminels peuvent relier des dizaines de cartes \u00e0 un smartphone sans essayer de d\u00e9penser imm\u00e9diatement de l\u2019argent avec ces cartes. Ce smartphone, rempli de num\u00e9ros de carte<\/a>, est ensuite revendu sur le Dark Web. Bien souvent, des semaines, voire des mois, s\u2019\u00e9coulent entre l\u2019attaque de phishing et les d\u00e9penses d\u2019argent. Mais lorsque ce jour regrettable arrive, les criminels peuvent d\u00e9cider d\u2019acheter des articles de luxe dans un magasin physique en effectuant simplement un paiement sans contact \u00e0 partir d\u2019un t\u00e9l\u00e9phone rempli de num\u00e9ros de carte pirat\u00e9s. Ils peuvent \u00e9galement cr\u00e9er leur propre boutique sur une plateforme de commerce \u00e9lectronique reconnue et demander de l\u2019argent pour des produits inexistants. Certains pays autorisent m\u00eame les retraits aux distributeurs automatiques \u00e0 l\u2019aide d\u2019un smartphone \u00e9quip\u00e9 de la technologie NFC. Dans tous les cas susmentionn\u00e9s, aucune confirmation de la transaction par PIN ou mot de passe \u00e0 usage unique n\u2019est requise, si bien que l\u2019argent peut \u00eatre d\u00e9tourn\u00e9 jusqu\u2019\u00e0 ce que la victime bloque la carte.<\/p>\n

Afin d\u2019acc\u00e9l\u00e9rer le transfert des portefeuilles mobiles aux acheteurs clandestins et de r\u00e9duire les risques encourus par les personnes effectuant des paiements dans les magasins, les pirates informatiques ont commenc\u00e9 \u00e0 utiliser une technique de relais NFC appel\u00e9e Ghost Tap<\/a>. Ils proc\u00e8dent en installant une application l\u00e9gitime telle que NFCGate sur deux smartphones \u2013 l\u2019un avec le portefeuille mobile et les cartes vol\u00e9es, l\u2019autre utilis\u00e9 directement pour les paiements. Cette application transmet, en temps r\u00e9el sur Internet, les donn\u00e9es NFC du portefeuille du premier t\u00e9l\u00e9phone \u00e0 l\u2019antenne NFC du second, que le complice des cybercriminels (appel\u00e9 \u00ab\u00a0mule\u00a0\u00bb) rapproche du terminal de paiement.<\/p>\n

La plupart des terminaux des boutiques hors ligne et de nombreux distributeurs automatiques de billets sont incapables de distinguer le signal relay\u00e9 du signal original, ce qui permet \u00e0 la mule de payer facilement des marchandises (ou des cartes-cadeaux, qui facilitent le blanchiment de l\u2019argent vol\u00e9). Et si la mule se fait arr\u00eater dans le magasin, il n\u2019y a rien de compromettant sur le smartphone, seulement l\u2019application l\u00e9gitime NFCGate. Il n\u2019y a pas de num\u00e9ros de carte vol\u00e9s, car ceux-ci sont cach\u00e9s sur le smartphone du chef de l\u2019op\u00e9ration, qui peut se trouver n\u2019importe o\u00f9, m\u00eame \u00e0 l\u2019\u00e9tranger. Cette m\u00e9thode permet aux escrocs d\u2019encaisser rapidement et en toute s\u00e9curit\u00e9 des sommes importantes, car plusieurs mules peuvent effectuer des paiements presque simultan\u00e9ment avec la m\u00eame carte vol\u00e9e.<\/p>\n

Comment perdre de l\u2019argent en rapprochant sa carte de son t\u00e9l\u00e9phone\u00a0?<\/h2>\n

Fin 2024, des fraudeurs ont mis au point un autre syst\u00e8me de relais NFC et l\u2019ont test\u00e9 avec succ\u00e8s sur des utilisateurs russes, et rien ne les emp\u00eache d\u2019\u00e9tendre l\u2019op\u00e9ration \u00e0 l\u2019\u00e9chelle mondiale. Dans ce stratag\u00e8me, les victimes ne sont m\u00eame pas invit\u00e9es \u00e0 fournir les donn\u00e9es d\u2019identification de leur carte. Au lieu de cela, les pirates informatiques les poussent \u00e0 installer sur leur smartphone une application soi-disant pratique, sous couvert d\u2019un service gouvernemental, bancaire ou autre. \u00c9tant donn\u00e9 que de nombreuses applications bancaires et gouvernementales russes ont \u00e9t\u00e9 retir\u00e9es des boutiques officielles en raison des sanctions, les utilisateurs peu m\u00e9fiants acceptent facilement de les installer. La victime est alors invit\u00e9e \u00e0 approcher sa carte de son smartphone et \u00e0 saisir son code PIN \u00e0 des fins d'\u00a0\u00bbautorisation\u00a0\u00bb ou de \u00ab\u00a0v\u00e9rification\u00a0\u00bb.<\/p>\n

Comme vous l\u2019aurez devin\u00e9, l\u2019application install\u00e9e n\u2019a rien \u00e0 voir avec sa description. Lors de la premi\u00e8re vague de ces attaques, les victimes obtenaient le m\u00eame relais NFC, simplement reconditionn\u00e9 sous la forme d\u2019une \u00a0\u00bb\u00a0application pratique\u00a0\u00ab\u00a0. Il lisait la carte lorsqu\u2019elle \u00e9tait rapproch\u00e9e du smartphone et transmettait ses donn\u00e9es ainsi que le code PIN aux pirates informatiques, qui l\u2019utilisaient pour effectuer des achats ou retirer de l\u2019argent \u00e0 des distributeurs automatiques de billets \u00e9quip\u00e9s de la technologie NFC. Les syst\u00e8mes antifraude des grandes banques russes ont rapidement appris \u00e0 identifier ces paiements en raison des diff\u00e9rences de g\u00e9olocalisation entre la victime et le payeur, si bien qu\u2019en 2025, le stratag\u00e8me (mais pas le principe) a d\u00fb \u00eatre chang\u00e9.<\/p>\n

La victime re\u00e7oit alors une application permettant de cr\u00e9er un duplicata de carte, et le relais est install\u00e9 du c\u00f4t\u00e9 des pirates informatiques. Ensuite, sous le faux pr\u00e9texte du risque de vol, la victime est invit\u00e9e \u00e0 d\u00e9poser de l\u2019argent sur un \u00ab\u00a0compte s\u00e9curis\u00e9\u00a0\u00bb par le biais d\u2019un distributeur automatique de billets, en utilisant son smartphone comme moyen d\u2019autoriser le paiement. Lorsque la victime pr\u00e9sente son t\u00e9l\u00e9phone au distributeur automatique, l\u2019escroc lui transmet les d\u00e9tails de sa propre carte et l\u2019argent finit sur son compte. Ces op\u00e9rations sont difficiles \u00e0 rep\u00e9rer pour les syst\u00e8mes automatiques de lutte contre la fraude, car la transaction semble parfaitement l\u00e9gitime : quelqu\u2019un se rend \u00e0 un distributeur automatique de billets et d\u00e9pose de l\u2019argent liquide sur une carte. Le syst\u00e8me antifraude ne sait pas que la carte appartient \u00e0 quelqu\u2019un d\u2019autre.<\/p>\n

Comment prot\u00e9ger vos cartes contre les escrocs\u00a0?<\/h2>\n

Tout d\u2019abord, Google et Apple eux-m\u00eames, ainsi que les syst\u00e8mes de paiement, devraient mettre en \u0153uvre des mesures de protection suppl\u00e9mentaires dans l\u2019infrastructure de paiement. Toutefois, les utilisateurs peuvent \u00e9galement prendre certaines mesures pour se prot\u00e9ger\u00a0:<\/p>\n