Le Conseil PCI-SSC publie une série de recommendations afin d’aider les commerçants à mieux sécuriser leurs terminaux de paiement électronique.

Car les numéros de cartes bancaires ne se dérobent pas que dans des bases de données en ligne : les criminels n’hésitent pas à compromettre physiquement les terminaux de paiement électroniques (TPE) dans les points de vente afin d’enregistrer les informations des cartes, ainsi que leurs codes PIN.

Et cela n’arrive pas que chez les autres : l’an dernier la BEFTI (Brigade d’enquêtes sur les fraudes aux technologies de l’information) nous confiait enquêter sur plusieurs cas de TPE piégés chez des restaurateurs parisiens, à l’insu de ces derniers. Les escrocs – qui d’après les enquêteurs ne faisaient pas partie du personnel – étaient en mesure de piéger le TPE en début de journée chez le commerçant et de venir récupérer leur moisson en fin de service.

Les conseils et procédures préconisées par le PCI-SSC visent pour l’essentiel à aider le commerçant à conserver le contrôle physique du terminal et à s’assurer de son intégrité. Il est ainsi conseillé de noter et comparer régulièrement les numéros de série et l’état des différents terminaux, mais également l’apparence et l’état initial des différents auto-collants destinés à protéger les vis d’ouverture du capot, car les escrocs les remplacent généralement par d’autres modèles une fois le terminal compromis (et donc les autocollants originaux endommagés). Le document présente également, en photo, les outils d’interception glissés dans les terminaux compromis (ci-dessus).

La sécurisation du câblage du terminal, ainsi que son positionnement, l’usage de caméras de surveillance et même l’optimisation de son environnement, sont également abordés. Enfin, le document offre une check-list d’évaluation du niveau de risque des boutiques à une telle fraude.

La page de téléchargement des documents du conseil PCI (Word, en anglais).