A l'aide de pièces détachées et de logiciels commandés en ligne, d'experts trouvés sur le « dark net », ils ont réussi en trois ans à retirer plus d'un million d'euros avec des cartes bancaires copiées : le piratage de distributeurs bancaires, ou « skimming », à la portée de tous, était en procès cette semaine à Bordeaux.

Un ancien co-détenu « m'a un peu expliqué mais j'ai appris comme ça. Faut croire que je suis doué », assurait David Falzone, un maçon repris de justice de 54 ans considéré comme un des chefs du groupe jugé au tribunal correctionnel. Une entreprise quasi familiale, avec des « ex », des enfants, des amis, mais à la portée internationale.

Plus d'un million d'euros de retraits réussis

Quinze personnes, deux en détention, deux autres en absence, étaient jugées cette semaine pour cette escroquerie en bande organisée entre avril 2013 et mi-mai 2016, date des interpellations. Au total, plus de 6.900 cartes ont ainsi été contrefaites et utilisées, pour plus de 1,2 million d'euros de retraits réalisés, et 2,6 millions d'euros de retraits tentés. Des faits survenus dans le sud de la France surtout, mais avec des retraits via cartes « réencodées » effectués jusqu'aux Etats-Unis, en Thaïlande, au Pérou...

A l'audience, les prévenus ont détaillé les phases du « skimming » –de l'anglais « skim = écrémer » (les données de la carte)–, un type de fraude en pleine explosion sur la décennie 2004-2014. D'abord, la fabrication, avec des pièces détachées commandées par internet, d'une « réglette » munie d'une caméra-stylo et d'un lecteur MP3, apposée sur la partie supérieure du distributeur automatique de billets (DAB), quasi indécelable par l'utilisateur. Le dispositif capte à la fois l'image du code tapé lors du retrait et la « fréquence son » de la piste magnétique de la carte.

Une fois le dispositif retiré, les données étaient décryptées et transcrites en formule binaire 0-1. D'abord par des « experts » contactés sur le dark net (face cachée de l'internet), qui conservaient à titre de commission une partie des cartes piratées. Puis sans intermédiaire, une fois le processus maîtrisé.

Pas réservé aux 'geeks'

Un apprentissage facile et sur le tas, à en croire Ibaï, un Basque de 27 ans, issu du bâtiment, mais considéré comme « l'informaticien » du groupe. Autodidacte, en tout cas.

« Il ne faut pas de compétences particulières », a-t-il assuré à la barre. « Je suis passé par un logiciel qui permet d'afficher la fréquence son. Mais trouvé sur le net normal... ». « Mais, vous êtes un peu geek, tout de même ? », lui a demandé le président. « Pas du tout ! Il n'y a rien de très compliqué. J'ai suivi les explications. J'ai mis peut-être deux jours à trouver le truc. N'importe qui pourrait le faire... »

Des cartes magnétiques vierges, parfois de simples cartes cadeaux, étaient alors « réencodées » puis des « mules » envoyées en Thaïlande, aux Etats-Unis pour retirer avec ces faux des devises à des distributeurs : dollars ou baths ramenés en France –jamais plus de 10.000 dollars, pour passer la douane– puis changés par petits montants. Un appartement avait même été loué à Phuket pour ces séjours thaïlandais où se succédèrent une demi-douzaine de personnes : une ex-compagne, (initiée au réencodage), une fille, un ami proche... Au plus fort de leur activité en 2015, les deux prévenus ont admis que leur réseau dégageait un bénéfice mensuel compris entre 15.000 et 30.000 euros.

Le skimming, après un pic en 2012-14 (plus d'un millier de DAB piratés par an), a connu une « baisse encourageante »: 640 cas en 2015, 301 cas 2016, selon l'Observatoire de la Sécurité des moyens de paiement. Une tendance qui doit, estime-t-on de sources bancaires, à un « mouvement de sécurisation fort », avec des DAB aujourd'hui « plus durs à attaquer ». Et au fait que de plus en plus de pays (Etats-Unis notamment) passent à la carte à puce, plus complexe à décrypter.

Des peines de 4 à 7 ans ferme ont été requises contre les principaux prévenus, de 2 à 3 mois avec sursis pour les « petites mains ». Le jugement a été mis en délibéré et doit être rendu mardi 30 janvier.