Qu’est-ce que le shimming et en quoi diffère-t-il du skimming ?

Le shimming est une technique de fraude qui cible les cartes à puce (EMV) en installant un dispositif très fin (shimmer) à l’intérieur de la fente d’un lecteur de carte. Contrairement au skimming, qui lit les données de la bande magnétique d’une carte, le shimming intercepte les données de la puce elle-même, souvent sans être détecté par l’utilisateur.

Comment fonctionne une attaque par shimming ?

Un petit appareil (shimmer) est inséré dans un terminal de paiement ou un distributeur automatique de billets. Lorsqu’une carte est insérée, le shimmer capture les données émises par la puce, qui peuvent ensuite être exploitées par des fraudeurs pour créer des cartes contrefaites ou faire des transactions non autorisées.

Quels appareils ou lieux sont les plus ciblés ?

Les fraudeurs ciblent souvent des terminaux isolés ou peu surveillés, comme les pompes à essence automatiques ou les distributeurs situés dehors ou dans des zones à faible affluence, car ils sont plus faciles à manipuler sans éveiller les soupçons.

Est-ce que le shimming est facile à détecter ?

Non. Le dispositif utilisé est généralement mince et inséré à l’intérieur de la fente, ce qui le rend quasiment invisible à l’œil nu pour la plupart des utilisateurs lors de l’insertion de la carte.

Quels sont les risques pour les victimes ?

Les données interceptées peuvent être utilisées pour fabriquer des cartes frauduleuses, effectuer des achats non autorisés ou des retraits, ou être revendues sur des marchés clandestins. Certaines victimes rapportent des pertes de plusieurs centaines ou milliers d’euros avant même de s’en apercevoir.

Le shimming peut-il être évité par les banques seules ?

Les banques et opérateurs doivent renforcer la sécurité des terminaux et distributeurs, mais la vigilance des utilisateurs reste essentielle, car même des lecteurs conformes peuvent être compromis s’ils sont manipulés par des fraudeurs.

Que faire si je suis victime d’une fraude par shimming ?

Contactez immédiatement votre banque pour faire opposition à la carte et contester les transactions non autorisées. En France, si vous n’avez pas commis ou autorisé les opérations, vous pouvez être protégé et remboursé selon la réglementation sur la fraude.

Noël 2025 : Vous avez peut-être été piraté et ne le savez peut être pas, zoom sur le shimming, l’arnaque invisible qui vide des comptes

Mise à jour le 17/12/2025

Une nouvelle arnaque à la carte bancaire fait doucement son chemin et inquiète de plus en plus les autorités financières et les consommateurs : le shimming.

Ce phénomène, moins médiatisé que le « skimming », est pourtant plus discret, plus difficile à repérer et peut permettre à des pirates de siphonner votre compte sans aucun signe visible sur les distributeurs ou terminaux de paiement. Voici comment ces escrocs opèrent, où ils ciblent leurs victimes, et surtout comment vous en protéger.

Noël 2025 : Vous avez peut-être été piraté et ne le savez peut être pas, zoom sur le shimming, l’arnaque invisible qui vide des comptes

L’arnaque 2.0 qui piraterait même les cartes à puce

Lancé comme un successeur du skimming, le shimming cible la puce EMV de votre carte bancaire, et non plus la bande magnétique. Les cartes dotées d’une puce sont censées être plus sécurisées, mais cela n’a pas dissuadé les fraudeurs.

Concrètement, le shimmer un minuscule dispositif électronique est inséré par les escrocs à l’intérieur du lecteur d’un distributeur automatique de billets (DAB) ou d’un terminal de paiement (pompe à essence, caisse automatique).

Une fois placé dans la fente, il peut capturer les données de votre carte au moment de l’insertion, y compris certaines informations de la puce EMV et parfois le code PIN.

Contrairement au skimming, où un appareil se fixe généralement à l’extérieur du lecteur et est souvent repérable, le shimming est quasiment impossible à voir à l’œil nu car il est placé à l’intérieur de la machine.

Fortuneo

0€ de frais d'ouverture ✨ 0 € de frais de tenue de compte 80 € de prime de bienvenue

J’ouvre mon compte

De nombreux cas en France et c’est du sérieux

L’été dernier, quatre individus ont été interpellés à Vitry-sur-Seine après avoir piégé des terminaux de stations-service avec des shimmers. Ils ont ensuite utilisé les données capturées pour effectuer des retraits frauduleux à Madrid et Barcelone, selon les médias.

La Banque de France estime que le shimming a causé environ 36 000 € de préjudice en 2023, un montant encore limité mais en progression par rapport aux années précédentes. Les fraudes classiques comme le skimming ont, elles, connu un recul significatif mais restent présentes.

Le principal problème, les victimes ne remarquent souvent la fraude que lorsqu’elles reçoivent leur relevé bancaire, parfois plusieurs semaines après l’opération.

Comment les fraudeurs utilisent les données volées

Une fois les données récupérées :

Ils peuvent créer des cartes contrefaites (surtout à partir des données magnétiques récupérées grâce à un shimmer).
Ils peuvent effectuer des achats frauduleux ou des retraits dans des pays étrangers, surtout là où les systèmes de vérification sont moins stricts.
Les informations peuvent être revendues sur le dark web à d’autres criminels.

Comment vous protéger du shimming (et des fraudes)

Même si le shimmer est très discret, plusieurs comportements peuvent réduire fortement les risques de devenir victime :

1. Préférez le sans contact et les paiements mobiles

Les paiements sans contact (NFC) via votre carte ou smartphone évitent d’insérer physiquement votre carte — ce qui réduit l’exposition au shimmer.

2. Évitez les terminaux isolés

Les fraudeurs ciblent souvent des DAB ou points de paiement peu surveillés, comme :

stations-service isolées,
distributeurs en dehors des agences bancaires,
parcmètres ou engins automatiques.

3. Inspectez les lecteurs

Si un lecteur de carte ou la fente semble déformé, mal aligné ou moins lisse que d’habitude, méfiez-vous cela peut être un signe de dispositif frauduleux.

4. Surveillez vos comptes en temps réel

L’une des protections les plus efficaces est de consulter régulièrement vos mouvements bancaires et d’alerter immédiatement votre banque en cas de transaction suspecte.

5. Privilégiez les distributeurs à l’intérieur d’agences

Les machines situées dans les agences bancaires ou lieux très fréquentés sont moins susceptibles d’être compromises.

Ce que disent les experts

Les autorités financières comme la Banque de France et les associations de consommateurs tirent la sonnette d’alarme : le shimming est encore marginal mais en progression, et l’innovation des fraudeurs pousse à une vigilance accrue de la part des consommateurs.

Selon les experts en sécurité bancaire, même si la technologie EMV rend les cartes plus sûres que les anciennes cartes à bande magnétique, les fraudeurs trouvent toujours des moyens techniques pour contourner les protections.

Le shimming est une arnaque bancaire ultra-discrète, qui vise directement les terminaux de paiement pour voler les données des cartes à puce.

Invisible à l’œil nu, difficile à détecter, c’est l’arnaque dont vous n’entendez parler que lorsque votre compte a déjà été compromis.

La meilleure défense reste la vigilance : paiements sans contact, surveillance régulière des comptes et utilisation préférée de terminaux sécurisés.