Un marché noir en ligne dédié à la revente de cartes bancaires piratées vient d’être identifié par les chercheurs en cybersécurité de Zataz. Parmi les données en circulation : plus de 30 000 cartes françaises, accompagnées d’informations personnelles complètes. Une menace qui interpelle sur les obligations de sécurité imposées par le RGPD aux responsables de traitement.
Un commerce structuré autour des données volées
Le site découvert par Zataz ne ressemble en rien aux places de marché artisanales que l’on pouvait trouver il y a quelques années sur le dark web. Il fonctionne comme une plateforme marchande classique, avec des fonctionnalités de tri, de filtrage par pays, de classement par solde disponible, et même un système de remboursement automatique pour les acheteurs insatisfaits. Les vendeurs y sont notés, les “meilleurs” mis en avant, et les transactions réglées en cryptomonnaies.
Les 30 000 cartes françaises répertoriées sont vendues entre 0,20 et 8 euros pièce. Chaque fiche contient le numéro de carte, le code CVV, la date d’expiration, mais aussi le nom du titulaire, son adresse postale et parfois son adresse IP. Ce niveau de détail permet non seulement de réaliser des achats frauduleux en ligne, mais aussi de tenter des usurpations d’identité complètes.
Des modes de collecte multiples
Les données volées proviennent de plusieurs canaux distincts. Les sites web compromis restent la source principale : des failles de sécurité dans les plateformes de paiement permettent aux attaquants de capturer les informations bancaires au moment de la transaction. Les virus de type “infostealer”, installés à l’insu de l’utilisateur sur son poste de travail, constituent un second vecteur. Ils enregistrent tout ce qui est saisi au clavier, y compris les identifiants bancaires.
Le clonage physique de cartes, appelé “skimming”, reste également actif. Cette technique consiste à placer un dispositif sur un terminal de paiement ou un distributeur automatique pour copier les données de la piste magnétique. Le clone obtenu permet ensuite de réaliser des retraits et des paiements en point de vente.
Ce que le RGPD impose face à ce type de menace
L’article 32 du RGPD impose au responsable de traitement de mettre en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque. Le traitement de données bancaires relève de la catégorie des données présentant un risque élevé pour les droits et libertés des personnes concernées.
En cas de violation de données, l’article 33 impose une notification à la CNIL dans un délai de 72 heures, et l’article 34 prévoit l’information directe des personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé. Les organismes qui collectent et stockent des données bancaires doivent s’interroger sur la robustesse de leurs dispositifs de chiffrement, de segmentation réseau et de détection d’intrusion.
Recommandations pratiques
Pour les particuliers, plusieurs réflexes permettent de limiter l’exposition : activer les alertes de paiement en temps réel, privilégier les cartes virtuelles à usage unique pour les achats en ligne, ne jamais enregistrer ses coordonnées bancaires sur des sites peu connus, et surveiller régulièrement ses relevés. En France, la banque est tenue de rembourser immédiatement en cas de fraude signalée dans les 13 mois suivant l’opération contestée.
Pour les professionnels, c’est l’occasion de vérifier la conformité de leurs dispositifs de paiement au regard du RGPD et de la directive DSP2. Un audit des mesures de sécurité appliquées au traitement des données bancaires n’est jamais superflu, surtout quand le marché noir démontre à quel point ces données circulent facilement.
Source : Zataz
