Les fraudes liées aux cartes bancaires se multiplient, et parmi elles, le shimming est une des méthodes les plus insidieuses et difficiles à détecter. Cette technique de piratage ciblant particulièrement les stations-service est devenue un véritable fléau, mettant en danger les consommateurs au moment où ils paient leur carburant.
Cet article propose un état des lieux complet du phénomène, des mécanismes d’attaque, des récentes arrestations, et surtout des conseils pratiques pour éviter de devenir victime de ce type d’arnaque.
Qu’est-ce que le shimming ?
Le shimming est une méthode de fraude basée sur l’installation discrète d’un petit dispositif électronique, appelé shimmer, à l’intérieur de la fente du terminal de paiement des stations-service. Contrairement au skimming, où un lecteur frauduleux est placé à l’extérieur du terminal, le shimmer est si fin et discret qu’il est quasiment impossible à détecter visuellement par les utilisateurs.
Son rôle est de collecter en temps réel les informations de la carte bancaire insérée (numéro, date d’expiration), ainsi que le code PIN saisi par le client. Ces données sont ensuite transmises à des réseaux criminels qui les exploitent pour créer des cartes contrefaites ou effectuer des paiements frauduleux en ligne.
Cette fraude est particulièrement sournoise car, pour la victime, la transaction se déroule normalement, sans anomalie visible.
Un exemple concret : l’affaire de Vitry-sur-Seine
En juin 2025, une opération policière en Île-de-France a mis au jour un réseau organisé de shimming installé dans une station-service à Vitry-sur-Seine. Quatre individus ont été interpellés et placés en garde à vue.
Ils avaient installé des shimmers dans plusieurs pompes à essence, récoltant ainsi des centaines de données bancaires à l’insu des clients. Ces données étaient ensuite envoyées vers des complices situés en Espagne, notamment à Barcelone et Madrid, qui réalisaient des retraits et achats frauduleux.
Cette affaire illustre la sophistication des réseaux criminels, leur mode opératoire transfrontalier, et la difficulté de détecter ces dispositifs à temps.
L’ampleur du phénomène et les chiffres clés
- En France, le préjudice causé par le shimming est en hausse constante, avec plusieurs dizaines de milliers d’euros de pertes signalées chaque année.
- Les experts estiment que ces fraudes représentent une part significative des pertes liées aux paiements frauduleux dans les stations-service.
- Les victimes, souvent des particuliers, constatent des retraits ou paiements non autorisés sur leurs comptes bancaires dans les jours suivant leur passage à la pompe.
Cette menace est d’autant plus préoccupante que les fraudeurs utilisent des dispositifs de plus en plus miniaturisés et sophistiqués, rendant leur détection par le grand public quasi impossible.
Pourquoi le shimming est-il si difficile à détecter ?
Contrairement au skimming traditionnel, où un lecteur frauduleux est placé en surimpression sur la fente carte, le shimmer s’insère à l’intérieur même du lecteur, sans modification visible de l’extérieur. Il s’agit souvent d’une carte électronique fine comme du papier.
De plus, le shimmer capture non seulement les données stockées sur la puce ou la bande magnétique, mais également le code PIN saisi sur le clavier, ce qui augmente drastiquement le risque d’usurpation et de retrait frauduleux.
Le fonctionnement est totalement transparent pour l’utilisateur, qui n’a aucune raison de douter de la fiabilité du terminal.
Comment se protéger du shimming ?
Pour réduire les risques d’être victime de cette arnaque, il convient d’adopter plusieurs réflexes essentiels :
- Préférer le paiement sans contact ou via smartphone (Apple Pay, Google Pay, etc.), qui ne nécessite pas d’insérer la carte dans le terminal. Les dispositifs de shimming ne peuvent pas intercepter ces transactions.
- Observer attentivement le terminal avant d’insérer la carte : tout signe d’altération, de déformation, de pièces mal ajustées ou surépaisseur doit éveiller la méfiance.
- Couvrir le clavier lors de la saisie du code PIN pour empêcher tout enregistrement visuel ou électronique.
- Consulter régulièrement ses relevés bancaires et signaler immédiatement toute transaction suspecte à sa banque. En France, les victimes sont en général remboursées rapidement dans le cadre de la législation sur la responsabilité bancaire.
- Préférer les stations-service réputées et équipées de systèmes sécurisés, et rester prudent dans les établissements peu fréquentés ou isolés.
Le rôle des autorités et des professionnels
Les autorités françaises, notamment la brigade des fraudes aux moyens de paiement (BFMP), intensifient les contrôles et les enquêtes pour démanteler les réseaux de shimming. Les fournisseurs et gestionnaires de stations-service sont également incités à renforcer la sécurité de leurs terminaux, par exemple en optant pour des lecteurs certifiés et en sensibilisant leurs équipes à ce risque.
Par ailleurs, les fabricants de terminaux travaillent sur des technologies plus résistantes aux fraudes, comme des systèmes anti-intrusion ou des notifications en temps réel en cas de manipulation suspecte.
Conclusion
Le shimming est une escroquerie particulièrement insidieuse qui se développe rapidement dans les stations-service. Sa difficulté de détection et le vol de données sensibles qu’il engendre en font une menace majeure pour les consommateurs.
La vigilance, l’adoption de bonnes pratiques de paiement, et la coopération entre autorités, professionnels et usagers sont indispensables pour limiter l’impact de cette fraude.
