Dans une note datée de décembre 2019, le service de cybersécurité de Visa, Visa Payment Fraud Disruption, a annoncé avoir identifié trois attaques contre des points de vente durant l’été, dont deux sur des stations-service.

La cible : les veilles cartes magnétiques peu protégées

Les voleurs se sont introduits dans le système informatique des stations-service via des malwares. Ils se sont attaqués aux secteurs les moins protégés des systèmes informatiques de ces dernières, de façon « latérale ».

Une fois introduits, les hackers ont pu mettre en place des logiciels qui récupèrent les données des veilles cartes magnétiques. À l’époque des cartes de plus en plus sécurisée, il existe toujours des cartes qui ne nécessitent même pas de code PIN.

Les cartes magnétiques enverraient leurs informations de façon non cryptée aux vendeurs. Les voleurs ont réussi à intercepter ces informations. Les cartes à puce, dotée d’un code PIN, ne semblent pas être vulnérables à ce type d’attaque.

Visa cite nommément, sur la base de l’étude du code des logiciels utilisés, un groupe de pirate : Fin8. Ce groupe vraisemblablement actif depuis 2016 s’est spécialisé dans l’attaque informatique de point de vente, station-service donc, mais aussi hôtel, restaurant … Leurs motivations semblent exclusivement financières.

Pour les clients lésés, Visa estime qu’il n’y a pas grand-chose à faire. Le service de cybersécurité souligne par ailleurs que le ciblage des distributeurs de carburant par des groupes avec des moyens sophistiqués est une tendance inquiétante.

Visa propose aux revendeurs des solutions plutôt classiques pour parer ce genre de difficultés : authentification à deux facteurs (2FA), désactivation de l’accès à distance s’il n’est pas utile, surveillance des connexions suspectes, etc.

La modernisation des pompes : seule vraie solution

Les conseils qui touchent plus particulièrement les revendeurs de carburants tiennent essentiellement à la modernisation des pompes. Limiter les achats par cartes magnétiques pour privilégier les cartes à puce, l’entreprise sait de quoi elle parle.

D’ici octobre 2020 les pompistes devront avoir déployé des lecteurs avec cartes à puce et code PIN. Après cette date les stations-service seront considérées comme responsables de la fraude. Problème : remplacer une pompe pour qu’elle puisse utiliser des cartes à puce avec code PIN peut coûter entre 100 000 dollars et 250 000 dollars. Il n’est pas dit qu’en octobre 2020 toutes les stations-service aient les moyens de s’équiper, pour la plus grande joie des voleurs.