Un article de Kevin Poulsen, dans Wired, révèle ce qui semble être le plus gros casse à la carte de crédit jamais commis à ce jour. La veille de Noël dernier, en moins de 30 minutes, une centaine de mules a siphonné 9 millions de dollars de cash dans de multiples distributeurs, à l’aide de fausses cartes. Des cartes portant l’enregistrement de vrais comptes avec de véritables identifiants. Le vol n’a pu être possible que parce que le « cerveau » de l’affaire a eu accès au centre de traitement d’un opérateur bancaire, la RBS WorldPay. Cet opérateur émet notamment des cartes de débit alimentées directement –soit par virement de salaire, soit par dépôt direct. Généralement, des garde-fous techniques limitent le montant maximum qu’un porteur peut prélever à chaque opération. Mais cette limite a manifestement pu être levé, laissant aux mules la possibilité de tirer du liquide jusqu’à plus soif (et probablement épuisement des distributeurs de billets, puisque le montant moyen par mule frise les 90 000 dollars).
Fox News précise que le coup révèle une organisation quasi militaire. La série de vols s’est déroulée dans 49 villes différentes, visant 138 distributeurs situés majoritairement sur le territoire américain –Atlanta, Chicago, New York- mais également dans d’autres pays. Le vol a été détecté notamment à Montréal, Moscow ou Hong Kong, prouvant que même la répartition des risques et la prévision d’une fuite éventuelle avait été prévu. Un coup digne de Philippe IV, dit le Bel, qui arrêta les templiers dans le monde entier, le même jour. En 1307, le réseau téléphonique commuté et Internet n’étaient pas aussi fiables et rapides que maintenant.
Si la somme dérobée marque les esprits par son importance, on ne doit pas oublier que d’autres biens ont été subtilisés durant cette opération audacieuse. Et notamment des numéros de sécurité sociale et autres données personnelles contenues sur la piste magnétique de la carte et sur les fichiers associés à chaque compte.
Comment le liquide prélevé par les mules a-t-il été récupéré ? Comment a-t-il pu traverser les frontières US ? Par quel moyen l’équipe du cerveau est-elle parvenue à hacker le réseau RBS WorldPay ? Comment, si l’on en croit les rapports, les données de 1,5 million de comptes ont-elles pu demeurer accessibles ? Pourquoi les fichiers en question n’étaient-ils pas chiffrés et morcelés ? Y a-t-il eu complicité interne ? Comment se fait-il que, sur 130 DAB, seulement 3 personnes ont pu être photographiées et fassent l’objet d’un avis de recherche ? Le FBI semble ne posséder aucune réponse, aucune piste. La révélation de cette affaire par les médias semble bien tardive, d’autant plus qu’un procès en class action a été déclenché par un certain Keith Irwin le 9 janvier de cette année. Les victimes ont donc probablement été averties dans les jours qui ont suivi l’opération.
Cette affaire confirme, si cela était encore nécessaire, l’aisance avec laquelle il est possible de recruter des intermédiaires. La crainte d’une peine d’emprisonnement, quasi certaine grâce aux systèmes vidéo qui équipent la grande majorité des « ATM » américains, n’est rien en comparaison des conditions de vie des populations qui vivent dans des situations précaires.
2 commentaires