Un nouveau mécanisme permet de lutter contre le clonage des cartes de crédit

La plupart des copieurs de cartes installent une deuxième tête de lecture à l’intérieur ou à l’extérieur de la machine.
Photo: Ryan Remiorz La Presse canadienne La plupart des copieurs de cartes installent une deuxième tête de lecture à l’intérieur ou à l’extérieur de la machine.

L’expert en cybersécurité Patrick Traynor était à New York en février pour aider la police à combattre le fléau du clonage des cartes de crédit lorsqu’il a reçu une alerte l’informant que ses propres informations avaient été volées pendant qu’il était en ville.

Ce n’était pas la première fois. En cinq ans, ses données personnelles avaient été volées une demi-douzaine de fois par des copieurs de cartes installés sur les guichets automatiques ou sur les pompes à essence.

« J’ai 15 ans d’expérience dans le domaine de la sécurité de l’information, souligne-t-il. Si je ne suis pas capable de me protéger efficacement, qu’est-ce que les autres peuvent faire ? »

M. Traynor enseigne la science de l’information et le génie à l’Université de la Floride.

Après trois années de travaux, M. Traynor et deux de ses étudiants ont mis au point un appareil qu’ils ont baptisé le « Skim Reaper », un bidule aussi mince qu’une carte de crédit qu’on glisse dans la fente du lecteur de cartes pour détecter, rapidement et facilement, si le guichet ou la pompe ont été trafiqués.

La police de New York (NYPD) teste le Skim Reaper et témoigne de certains succès. L’Associated Press a obtenu un accès exclusif au laboratoire où l’appareil est fabriqué, ainsi qu’aux tests menés sur le terrain par le NYPD.

Le Secret Service des États-Unis — chargé entre autres de lutter contre les fraudes financières — affirme que les copieurs de cartes volent plus d’un milliard de dollars chaque année aux consommateurs américains. Des fonds qui se retrouvent souvent dans les coffres du crime organisé.

La plupart des copieurs de cartes installent une deuxième tête de lecture à l’intérieur ou à l’extérieur de la machine. Cette tête supplémentaire permet aux criminels de cloner l’information de la carte lorsque le consommateur l’utilise. Le Skim Reaper a été conçu pour détecter la présence d’une deuxième tête de lecture, explique M. Traynor.

Le NYPD ne dispose que de quatre détectives affectés à temps plein à la lutte contre ce fléau, et il convient que le problème est beaucoup trop vaste pour être neutralisé avec des ressources aussi minces.

« Le problème n’arrête pas de se déplacer, ils [les criminels] arrivent, installent le dispositif et repartent. Au début du mois de janvier, c’était un vrai massacre », reconnaît l’inspecteur Christopher Flanagan, de l’escouade des crimes financiers du NYPD, en référence à une explosion de ce genre de crime au début de l’année.

M. Traynor a donné cinq Skim Reaper au NYPD en février pour que les policiers en fassent l’essai. L’appareil ressemble à une longue carte de crédit qu’on peut glisser dans la fente du guichet automatique ou de la pompe à essence. Il est relié par un câble à un boîtier de la taille d’un téléphone portable, sur lequel apparaît un message si plus d’une tête de lecture est détectée.

Un appareil très simple

L’attrait du Skim Reaper découle en partie de sa simplicité. M. Flanagan indique que les policiers qui l’utilisent ont récemment détecté un premier copieur de cartes sur un guichet de Brooklyn.

« Je combats le clonage des cartes depuis environ cinq ans et je n’ai jamais rien vu de tel ou entendu parler de quelque chose du genre, affirme le détective James Lilla, lui aussi de l’escouade des crimes financiers du NYPD. C’est assurément un atout que nous pouvons utiliser pour combattre le problème. »

L’arrivée des cartes de débit ou de crédit dotées de puces protectrices a permis à certains détaillants de lutter contre le clonage. Mais le coût plus élevé des nouveaux lecteurs et la complexité de la migration vers une nouvelle technologie découragent plusieurs petites entreprises ou stations d’essence qui sont la proie des malfaiteurs.

Steven Weisman, un expert de la cybersécurité qui enseigne à l’Université Bentley, croit que le Skim Reaper pourrait être un « moment tournant, révolutionnaire » dans la lutte contre le clonage des cartes.

« Si on réussit à reproduire cette technologie de manière abordable, ça pourrait éliminer les copieurs de cartes. Ça pourrait permettre d’économiser des millions de dollars et des tonnes de problèmes aux gens », assure-t-il.

Il en coûte actuellement environ 50 $ US (64 dollars canadiens) pour fabriquer chaque Skim Reaper, précise M. Traynor, mais son équipe s’affaire à abaisser ce coût.

À New York, le détective Flanagan affirme que les premiers résultats sont impressionnants, mais que d’autres tests sont nécessaires. Le Skim Reaper permet notamment de mettre à profit des policiers qui n’ont reçu aucune formation particulière, au lieu de faire appel uniquement à des enquêteurs bien entraînés pour repérer les copieurs de cartes.

« J’ai quatre détectives qui s’occupent [du problème] à temps plein, dit-il. Ils sont tous très occupés avec tout le travail que nous avons, donc quand je peux prendre quelqu’un qui n’a pas de formation, ou qui a du temps libre pour procéder à des inspections, ça aide certainement. »

Un des étudiants de M. Traynor, Nolen Scaife, a révélé qu’ils espéraient réduire la taille du Skim Reaper à celle d’une carte normale, ce qui permettrait à tous les consommateurs d’en avoir un dans leurs poches et de l’utiliser avant de procéder à une transaction.

« Il n’y a rien de mieux que d’avoir l’impression que ton travail change vraiment quelque chose, confie-t-il. Nous sommes heureux de produire quelque chose qui va renverser la vapeur. »