Une affaire en apparence banale a levé le voile sur une technique de fraude bancaire aussi discrète qu’inquiétante. Le 13 juin 2025, quatre individus ont été interpellés à Vitry-sur-Seine (Val-de-Marne), soupçonnés d’avoir manipulé les terminaux de paiement d’une station-service. Objectif : dérober les données bancaires des clients via un dispositif quasi invisible, inséré dans les fentes des automates. L’opération a permis aux malfaiteurs d’effectuer des retraits frauduleux jusqu’en Espagne. Cette escroquerie porte un nom encore peu connu du grand public : le shimming.
Bien plus difficile à détecter que les méthodes classiques comme le skimming, le shimming exploite la puce électronique des cartes bancaires, sans en altérer le fonctionnement apparent. Si les pertes financières liées à cette fraude restent encore marginales à l’échelle nationale, sa sophistication inquiète les autorités, à commencer par la Banque de France. Dans un contexte de généralisation des paiements électroniques, cet épisode relance la question de la sécurisation des transactions, notamment dans les lieux les plus vulnérables comme les stations-service et les distributeurs automatiques.
Une menace technologique ciblant les automates
Dans l’arsenal des fraudes bancaires, le « shimming » reste l’un des procédés les plus discret, et les plus méconnus. Cette technique, révélée récemment au grand public par l’interpellation de quatre personnes à Vitry-sur-Seine, consiste à subtiliser les données contenues dans la puce d’une carte bancaire, sans même empêcher son bon fonctionnement. Une opération chirurgicale qui s’effectue en toute invisibilité.
Le principe est simple, mais son exécution exige du matériel de pointe. Les fraudeurs insèrent un dispositif électronique miniature dans la fente d’un automate, principalement des terminaux de stations-service ou des distributeurs automatiques. Une fois en place, ce module capte les informations de la carte sans perturber la transaction. Résultat : l’utilisateur ne remarque rien, et la fraude est indétectable… jusqu’à ce que les données soient réutilisées ailleurs.
Un détournement à l’échelle internationale
Les informations volées servent à produire des copies de cartes, qui sont ensuite utilisées pour effectuer des retraits ou des paiements dans des environnements peu sécurisés. C’est le cas, notamment, dans certains pays d’Amérique latine ou d’Asie du Sud-Est, où la technologie de la puce EMV n’est pas généralisée. Des opérations frauduleuses peuvent également être réalisées en ligne, notamment sur des plateformes de e-commerce situées hors d’Europe, là où l’authentification forte du porteur reste rare.
Dans l’affaire de Vitry-sur-Seine, les suspects ont utilisé les données siphonnées pour effectuer des retraits à Barcelone et Madrid, selon Le Parisien 1. Cette dimension transfrontalière témoigne de la capacité des réseaux criminels à exploiter les failles là où les contrôles sont moindres.
Un phénomène encore limité, mais en surveillance
Le shimming ne représente, pour l’instant, qu’une fraction marginale des fraudes bancaires. La Banque de France estime le préjudice à 36.000 euros pour 2023, en baisse par rapport aux 50.000 euros recensés en 2022. Une goutte d’eau si l’on considère les 500 millions d’euros de fraudes à la carte bancaire identifiés la même année. Mais cette baisse s’explique surtout par la complexité technique du dispositif, qui en limite l’usage à des réseaux organisés et spécialisés.
Toutefois, les autorités restent vigilantes. « Ces dispositifs peuvent être très discrets », rappelle le site Signal-Arnaques 2. La difficulté à les détecter pousse les experts à recommander la surveillance régulière des comptes, l’inspection des terminaux avant toute transaction, et l’utilisation préférentielle du paiement sans contact.
Vers des solutions technologiques de protection
Face à ces nouvelles formes de fraude, les acteurs bancaires investissent dans des technologies de protection de plus en plus sophistiquées. L’authentification biométrique, déjà utilisée dans les paiements mobiles via empreinte digitale ou reconnaissance faciale, se généralise pour renforcer la vérification du porteur légitime de la carte. Ce type d’identification, impossible à dupliquer avec un simple duplicateur de puce, complique considérablement les usages frauduleux.
En parallèle, les constructeurs d’automates modernisent leurs dispositifs pour rendre plus difficile l’insertion de composants externes comme les shimmers. Fentes plus étroites, détection automatique d’anomalies ou alertes en cas d’ouverture suspecte sont autant d’évolutions en cours. Toutefois, dans ce jeu du chat et de la souris entre fraudeurs et institutions, la vigilance des usagers reste une barrière de première ligne.
Un rappel à la prudence des usagers
Si le shimming reste une menace limitée en volume, il illustre la mutation des fraudes vers des formes de plus en plus sophistiquées. Pour l’utilisateur, cela implique une vigilance accrue, sans basculer dans la paranoïa. Inspecter un terminal, éviter les lieux peu éclairés ou isolés, favoriser les paiements mobiles ou sans contact : autant de gestes simples qui peuvent réduire le risque.
Dans un environnement bancaire toujours plus numérique, la sécurité repose autant sur les systèmes que sur les comportements. Et le shimming rappelle que la carte bancaire, objet du quotidien, reste une cible de choix pour des technologies criminelles en constante évolution.
Enseignant en économie et finance | Pédagogue engagé | Analyste des enjeux contemporains Passionné par l’économie et les mécanismes financiers, j’ai fait de l’enseignement ma vocation. À 41 ans, je consacre ma carrière à transmettre avec clarté et exigence les fondements des marchés, la gestion des ressources financières et les grandes dynamiques économiques qui façonnent notre monde. Depuis plusieurs années, j’interviens auprès d’étudiants et de professionnels en formation continue, en m’attachant à rendre accessibles les…
