Un retrait sans carte, une machine qui se vide dans le silence, la cybercriminalité ne cesse d’explorer les angles morts de la technologie bancaire. Le jackpotting, longtemps relégué aux démonstrations de hackers lors de salons spécialisés, s’est métamorphosé en pratique globale et silencieuse, frappant les banques au moment où elles s’y attendent le moins.
Il y a quinze ans, un chercheur du nom de Barnaby Jack avait fait sensation à Las Vegas. Sur scène, il déclenchait, sous les yeux incrédules de l’auditoire, un déluge de billets s’échappant d’un distributeur automatique – sans toucher à une seule carte. Ce qui avait l’air d’une performance d’illusionniste n’était en réalité qu’un avertissement. Aujourd’hui, ces scènes ne relèvent plus du spectacle : elles ponctuent l’actualité des banques, d’Europe à l’Amérique latine, sous une forme plus sophistiquée, moins visible, mais d’autant plus préoccupante.
Comment le jackpotting transforme le distributeur en complice
Le jackpotting repose sur une faille étonnamment simple : forcer un distributeur à délivrer de l’argent comme s’il s’agissait d’un ordre normal, alors qu’aucun client n’est présent. Les cybercriminels n’ont besoin ni de carte ni de code : leur cible, c’est la machine elle-même. Le scénario commence souvent par un individu qui inspecte discrètement le boîtier. Quand il repère une faille, il introduit un dispositif USB contenant un malware maison – Cutler Maker, WinPot ou autre – puis déclenche à distance la distribution d’espèces, sans qu’aucun compte client ne soit débité.
Le plus troublant : le distributeur ne présente aucun symptôme. Pas d’alerte, pas de message d’erreur. Pour les passants, la scène semble ordinaire. Pourtant, la machine a été vidée, parfois en quelques minutes, et la banque ne s’en aperçoit souvent qu’au prochain contrôle physique.
Une organisation criminelle parfaitement structurée
Derrière ces opérations, ce ne sont pas de simples opportunistes. Les attaques sont coordonnées : un chef d’orchestre reste dans l’ombre, tandis que des « mules » – recrutées en ligne, parfois naïves ou en situation précaire – effectuent le retrait à heure précise, sur consigne transmise à la minute près. Ce système cloisonné rend l’enquête délicate. On arrête parfois l’exécutant, mais jamais celui qui conçoit et orchestre le tout.
Conséquence directe : le phénomène se propage, sans véritable barrière, car la plupart des sommes dérobées disparaissent dans la nature, via des réseaux anonymes.
Les vieilles fraudes cohabitent avec le piratage moderne
Même si le jackpotting domine les gros titres, d’autres techniques résistent : skimming (copie de la bande magnétique), caméra miniature pour capturer le code PIN, ou simplement surveillance à l’épaule (« shoulder surfing »). Les banques répliquent avec de nouveaux claviers, des alarmes internes, des mises à jour logicielles – mais la créativité des cybercriminels ne faiblit jamais.
On pourrait croire qu’avec l’essor du paiement mobile, les risques diminuent : il n’en est rien. Les distributeurs restent un point faible, et chaque évolution technique s’accompagne de nouvelles vulnérabilités. C’est le chat et la souris, version numérique.
Faut-il encore faire confiance aux distributeurs ?
Pour nombre d’usagers, le distributeur reste un passage obligé. Mais chaque retrait, même anodin, devient une question de vigilance. Quelques réflexes simples aident : inspecter la fente à carte, couvrir le clavier, éviter les appareils affichant des comportements étranges ou des redémarrages intempestifs. Pour les banques, l’enjeu est double : rassurer, sans promettre l’impossible, et continuer à renforcer des systèmes en perpétuelle mutation.
Ce qui frappe, dans l’histoire du jackpotting, c’est la vitesse à laquelle la menace a muté : d’une démonstration confidentielle à une réalité internationale, il n’aura fallu qu’une poignée d’années. Les clients, eux, n’ont d’autre choix que de s’adapter, apprendre à déceler l’anormal, et garder à l’esprit qu’un simple retrait d’espèces, aujourd’hui, n’a plus rien d’anodin.
Le jour où les distributeurs deviendront totalement invulnérables n’est pas encore venu. D’ici là, la vigilance reste notre meilleur allié.
