Guichet automatique bancaire
Un guichet automatique bancaire (GAB) en France, guichet automatique au Québec, bancomat en Suisse et en Vallée d'Aoste[1], bancontact ou mistercash en Belgique, gabier à la Réunion (France) est un appareil électronique et électromécanique permettant aux particuliers d'effectuer des transactions bancaires en libre-service. Différents modèles de GAB permettent de faire des retraits, acceptent des dépôts en espèces ou par chèque, ordonnent des transferts de fonds, impriment des mises à jour de carnets de chèques, augmentent le montant d'une carte d'appel téléphonique voire vendent des timbres-poste. En Suisse, en Espagne, au Portugal (réseau Multibanco) et au Canada, il est aussi possible de régler certaines factures via un GAB.
Le GAB est une extension du distributeur automatique de billets (DAB), qui est un GAB simplifié ne permettant que les retraits.
Les GAB permettent l'authentification sécurisée des porteurs de cartes grâce au numéro d'identification personnel (NIP), souvent désigné par sa traduction en anglais Personal Identification Number (PIN).
Certains GAB permettent de changer le NIP. Quelques GAB reconnaissent les cartes à puce.
En Suisse, le terme bancomat fait référence à tous les appareils des établissements bancaires, alors que le terme postomat fait référence uniquement aux appareils de PostFinance.
Historique
La société suédoise Metior est, dès 1964, la première société au monde à fabriquer des distributeurs automatiques de billets de banque, reliés entre eux par des liaisons téléphoniques[2].
De La Rue a développé le premier DAB en libre-service connu, qui fut installé à Enfield Town au nord de Londres le par Barclays[3]. Au Royaume-Uni, l'inventeur du DAB est John Shepherd-Barron, mais Luther George Simjian a déposé une demande de brevet à New York dans les années 1930, alors que des ingénieurs de Docutel possèdent un brevet en date du . Shepherd-Barron est membre de l'Ordre de l'Empire britannique depuis 2005.
Les premiers DAB acceptaient un reçu à usage unique, qui était stocké dans l'appareil. Ces reçus étaient faits de matériaux magnétiques ou émettant des ondes radio, que des instruments modifiaient de façon à rendre les reçus inutilisables.
L'idée de comparer un numéro d'identification personnel (NIP) stocké dans une carte avec celui connu du DAB est le fait de l'ingénieur britannique James Goodfellow en 1965.
Le tout premier DAB en France fut installé en 1968 par la Société marseillaise de crédit devant son agence parisienne, rue Auber dans le 9e arrondissement puis un second quelques jours plus tard à Marseille au siège de la banque, rue Paradis[4]. Le premier logiciel français transformant les DAB en GAB fut réalisé par Christian Burnier-Framboret pour le compte de SITB (devenue AXIME puis Atos). Son installation s'est faite dans les années 1987-1988 auprès de trois banques : l'Union bancaire privée (UBP), la Société Financière et Foncière (SFF) et le Crédit mutuel du Nord (CMN). Il permettait, via une liaison avec l'ordinateur central de la banque, de réaliser, au-delà de la distribution des billets, des opérations courantes telles que la délivrance de RIB, du solde du compte de la carte, du relevé des dix dernières opérations et de faire des virements internes. À cette époque, les GAB utilisaient les pistes magnétiques (au dos de la carte), les cartes à puces sont apparues à la suite des travaux de Roland Moreno.
Les premiers GAB parlants, initialement prévus pour les mal-voyants, sont apparus au Canada en 1995. En 2005, on dénombre environ 30 000 GAB parlants aux États-Unis[réf. souhaitée].
Utilisation
Dans la plupart des GAB modernes, le client insère une carte en plastique munie d'une bande magnétique ou d'une puce contenant les données nécessaires à l'identification du client. Pour demander l'accès à ses comptes, le client saisit un code de quatre à quinze chiffres. Si le code est saisi de façon incorrecte plusieurs fois de suite, la plupart des GAB retiennent la carte dans le but d'éviter des fraudes. Dans le cas contraire, il serait possible de découvrir le code par force brute. Ces cartes sont parfois détruites pour éviter que des employés de banque n'en profitent.
Réseaux
Tous les GAB sont connectés à un GDG (Gestionnaire de DAB/GAB). Ce GDG est lui-même connecté au réseau interbancaire, ce qui facilite le retrait et autres opérations n'appartenant pas à la banque où le client possède un compte. Cette structure est particulièrement utile aux personnes qui voyagent. Par exemple, dans un pays étranger, une personne souhaitera obtenir des devises locales. Un GAB peut lui en donner, le réseau bancaire effectuant les conversions monétaires au taux de change du moment. Parmi ces réseaux bancaires, on peut citer Groupement des Cartes Bancaires CB (France), JETCO (Hong Kong) et Expressnet (Philippines) autant que Interac au Canada.
Les GAB n'effectuent de transactions que si l'institution bancaire autorise celles-ci, autorisations qui passent nécessairement par le réseau interbancaire.
Les GAB aujourd'hui en France
Ces dernières années, on constate une diminution de l'utilisation des GAB, et de plus en plus de banques se posent la question du retrait de ces appareils, de moins en moins rentables. En effet, la dématérialisation croissante des transactions, au travers du paiement en carte bancaire, plébiscité par les particuliers (92 % des Français plébiscitent la carte bancaire pour les achats quotidiens)[5], le développement du paiement sans contact, l'interdiction des paiements en liquides supérieures à mille euros incitent les paiements dématérialisés. De plus, la lutte contre la fraude fiscale, le grand banditisme, le travail au noir sont aussi des arguments en faveur de la disparition à terme des paiements en liquide, et donc la disparition des GAB.
Afin de limiter les risques de braquage, la plupart des agences bancaires ne manipulent plus le moindre billet. Sont alors créés ce qu'on appelle dans le jargon des « murs d'argent », qui se composent de GAB classiques (permettant le retrait d'espèces) mais aussi d'appareils multifonctions permettant d'effectuer des dépôts de billets, des dépôts de chèques ou de monnaie. Des systèmes d'encrage qui rendent les billets inutilisables en cas de fracturation des GAB ont été mis en place sur la plupart des appareils.
Le plus souvent, les agences ne gèrent plus les GAB. La maintenance des appareils, ou les clés des locaux, l'approvisionnement en espèces et la gestion comptable sont confiées à des prestataires externes tels que : Loomis, Prosegur, Brink's, etc.
À l'occasion de dégâts ayant eu lieu lors d'agissements relatifs au mouvement des Gilets jaunes[réf. nécessaire], la Fédération bancaire française a rappelé que la France comptait plus de 55 000 appareils permettant la distribution d'argent liquide répartis sur l'ensemble du territoire, positionnés pour partie à l'intérieur des agences, d'autres situés à l'extérieur des bâtiments. Il a alors été indiqué que le coût des derniers modèles s'élevait à plus de 100 000 euros par unité et que le coût d'exploitation et de gestion par an variait de 12 000 à 15 000 euros, selon les sociétés chargées du suivi des GAB[réf. nécessaire].
Frais d'utilisation
États-Unis
Aux États-Unis, plusieurs banques exigent des frais pour l'utilisation de leurs GAB. La plupart du temps, ils sont exigés des non-membres, mais peuvent être exigés de tous les utilisateurs. Plusieurs utilisateurs s'opposent aux frais d'utilisation, car un retrait effectué par le biais d'un GAB est notablement moins coûteux qu'un fait auprès d'un guichetier. Les banques canadiennes également exigent des frais d'utilisation des non-membres, ce qui a été discuté au parlement canadien.
Les frais d'utilisation d'un GAB sont la surcharge et les frais de transaction. La surcharge peut être imposée par la société qui déploie les GAB et est directement facturée au client. Le montant de surcharge a augmenté au fur et à mesure que le nombre de GAB a augmenté, car le nombre de transactions bancaires via un GAB est demeuré stable. Les frais de transaction, ou frais « étrangers », sont facturés par l'émetteur de la carte pour une transaction qui survient en dehors de son réseau de GAB. Ces frais augmentent également avec le temps, car les institutions bancaires souhaitent obtenir plus de revenus via ceux-ci.
Quand les surcharges apparurent dans les années 1980, il en coûtait environ 0,25 USD. Cependant, ils ont rapidement augmenté. Ils sont régulièrement à 1,50 USD, et peuvent aller jusqu’à 5 USD, surtout dans les proximités des bars et des casinos. Dans le cas où le retrait est fait en dehors du réseau d'une banque, les frais d'utilisation peuvent atteindre 10 USD.
Les GAB sont situés dans les banques et aussi dans des centres commerciaux, des supermarchés et des restaurants. Pour un opérateur de GAB, ces machines sont sur les lieux ou non. Les GAB sur les lieux sont habituellement des appareils plus sophistiqués et donc plus coûteux, alors que les autres sont surtout déployés par d'importantes organisations financières ou des organismes de vente indépendants (par exemple, des chaînes de magasins). Ces organismes sont les principaux responsables du déploiement des GAB aux États-Unis, possédant plus de 60 % des 396 000 GAB installés.
Parfois, les frais d'utilisation d'un GAB sont annoncés. Il s'agit d'une obligation légale. Cette annonce survient lorsque vous naviguez dans un menu ou bien un autocollant est mis sur l'appareil. Les frais de transaction ne sont pas annoncés, car ils sont facturés par la banque, pas par le propriétaire du GAB.
Grande-Bretagne
En Grande-Bretagne, la réaction populaire contre les frais d'utilisation de GAB fut si vive qu'ils ont été éliminés[6], quelle que soit la relation de l'utilisateur avec l'institution financière. C'est la banque de l'utilisateur qui verse des frais pour chaque utilisation d'un GAB par l'un de ses clients. En , la banque First Direct a demandé à ses clients d'utiliser le plus possible les GAB de HSBC, sa banque mère, dans le but de ramener les frais de First Direct à un niveau acceptable.
Le nombre de GAB augmente sans cesse en Grande-Bretagne, se retrouvant pour la plupart dans des garages[réf. nécessaire], des boîtes de nuit et autres endroits où il y a des transactions financières. Les frais peuvent osciller entre 1,50 £ et 2 £, mais il y a des exemples où les frais atteignent 5 £ et plus (selon la banque).
Matériel et logiciel
Les GAB font appel à des processeurs avec chiffrement, habituellement installés à l'intérieur de PC enchâssé dans une enceinte sécurisée. Les logiciels tournent dans un système d'exploitation courant. La sécurité de l'appareil s'appuie pour beaucoup sur le processeur sécurisé
Les GAB se connectent au réseau interbancaire via un modem raccordé à une ligne téléphonique, commutée ou dédiée. Le deuxième type de connexion est préférable, puisque le temps de connexion est plus court. Cependant, elle est plus coûteuse, les GAB moins utilisés seront plutôt connectés de la première façon (ligne commutée). Le coût d'un lien externe étant souvent moindre que celui d'une ligne dédiée, l'utilisation d'une ligne partagée tend à disparaître. Au Canada et aux États-Unis, il est requis que les communications soient chiffrées, cela dans le but de prévenir le vol de données personnelles ou financières.
De plus, les GAB installés contiennent de moins en moins de circuits intégrés spécialisés (pour la plupart autour du processeur Intel 8086) et font de plus en plus appel à un PC venant avec un système d'exploitation courant, tels que Windows ou Linux. Par exemple, Banrisul, la plus grande banque dans le sud du Brésil, a remplacé MS-DOS par Linux, c'est à ce jour le premier réseau de guichets automatiques utilisant le modèle Open Source[7]. D'autres appareils ont recours aux systèmes d'exploitation RMX 86, OS/2 et Windows 98, chacun opérant avec Java.
Fiabilité
Les GAB sont en général fiables. Cependant, si une panne survient inopinément, le client doit attendre l'ouverture d'une succursale pour obtenir réparation. La plupart du temps, les erreurs sont en défaveur des clients. Dans les autres cas, la banque doit rembourser son client dans la mesure où celui-ci a gardé secret des informations personnelles (par exemple : le code de la carte). Des GAB donnent de l'argent sans débiter le compte, certains donnent des billets de plus forte valeur que ce qui est affiché.
Les causes d'erreur sont multiples :
- mécanique : lecteur de cartes défectueux, clavier brisé et disque dur corrompu
- logiciel : système d'exploitation en faute et pilote de périphérique dépassé
- communication : réseau en panne de façon intermittente
- humaine : mauvaise saisie
Plusieurs GAB impriment les transactions sur un papier, lequel provient d'un rouleau de papier situé à l'intérieur de l'appareil. L'impression est faite en double, ce qui permet aux institutions bancaires de faire valoir leur point de vue si un client conteste une transaction financière. Dans certains cas, les transactions sont notées électroniquement dans le but de réduire la consommation de papier.
Dans le but de réduire les frais d'opération, des magasins font la maintenance des GAB installés sur les lieux, pouvant entre autres remplir les cassettes de billets. Il est arrivé que certains billets ainsi insérés soient faux.
Sécurité
Les premiers GAB étaient conçus pour les prémunir contre certaines attaques physiques, par exemple, si des voleurs fonçaient avec un véhicule sur les appareils dans le but de les briser. L'expérience aidant, les fabricants de GAB ont préféré se tourner vers des techniques qui marquent les billets, les rendant ainsi inutilisables. Il y a aussi des GAB qui contiennent une bouteille de gaz incapacitant. Cette évolution a permis d'installer des GAB dans des lieux qui ne sont pas réputés pour leur sécurité, tels des magasins.
La sécurité de ces appareils peut s'appuyer sur celle présente dans les magasins. Dans ce cas de figure, l'appareil ne contient pas de billets. Lorsqu'il termine la transaction, il imprime un coupon que le client remet au caissier du magasin. C'est ce dernier qui remet le montant retiré.
Les transactions sont habituellement chiffrées.
Il existe aussi ce qu'on appelle des « retraits fantômes ». Plusieurs banques affirment que des retraits ont été faits par des clients malhonnêtes qui refusent de reconnaître leur geste. D'autres affirment qu'il s'agit plutôt d'employés malhonnêtes qui abusent des carences des GAB.
La sécurité des guichets automatiques de banque repose sur la cryptographie. Ross Anderson, un spécialiste en cryptographie, a analysé les systèmes des GAB. D'après lui, plusieurs banques ne font pas suffisamment d'efforts pour sécuriser les GAB[8].
Il existe des cas documentés de fraudeurs qui ont construit de faux GAB dans le but de soutirer différentes informations des clients. Il y en a qui ont aussi attaché de faux claviers ou de faux lecteurs de cartes à de vrais GAB ou qui ont développé la technique du collet marseillais[9].
Une banque est toujours responsable lorsqu'un client se fait voler de l'argent à partir d'un GAB. Cependant, en pratique, il est parfois difficile pour le client d'obtenir un dédommagement[10].
Dans certains cas, des fraudes surviennent lorsque la banque n'insère pas les bons billets, ce qui incite des clients à profiter de la situation. Il semble que les clients qui utilisent ces GAB une première fois ne soient pas poursuivis. Cependant, une deuxième utilisation consécutive mène à une poursuite judiciaire.
Des retraits supérieurs à la somme disponible sur le compte et rendus possibles grâce à une erreur de la banque, exposent le client à un délit de vol[11].
Dans certaines régions, les GAB sont souvent accompagnés de plusieurs caméras de surveillance, lesquelles sont contrôlées par des gardes de sécurité. Cependant, il semble que la sécurité physique des clients, lorsqu'ils effectuent des transactions au GAB même, soit négligée par les banques. Elles préfèrent se concentrer sur une législation coercitive[12], plutôt que de prévenir des retraits forcés.
Fabricants de guichets automatiques bancaires
L'essentiel de la fabrication des GAB est constitué par du développement logiciel.
Les principales sociétés qui développent des logiciels dans ce domaine sur plateformes CEN/XFS (en) sont :
- Triton PRISM ;
- Diebold (Agilis EmPower) ;
- NCR (APTRA Edge) ;
- Absolute Systems (AbsoluteINTERACT) ;
- KAL (Kalignite Software Platform) ;
- Phoenix Interactive VISTAatm ;
- Wincor Nixdorf (ProTopas) ;
- Euronet (EFTS).
Types d'attaques
Jackpotting
Le jackpotting est un type d'attaque qui consiste à vider un distributeur automatique de billets en piratant son logiciel : l’attaquant perce un trou avec une perceuse pour accéder au systèmes internes du DAB et branche un ordinateur portable, relié à un complice à distance, pour effectuer le piratage[13],[14].
En France en 2022, une trentaine de distributeurs de billets ont été la cible d'un jackpotting, une technique connue des services de police ; en , le directeur territorial de la police judiciaire de Limoges affirme : « C'est quelque chose de très identifié » qui concerne « quasi exclusivement [...] la criminalité organisée, issue des pays de l'Est [...] des petites mains envoyées sur le territoire avec un équipement sur elles [...] en lien avec un hacker resté au pays. Ce sont vraiment des équipes rodées, qui vont écumer le territoire. Avec des premiers faits du côté de Strasbourg ou Lille, puis deux-trois sur une autre région, et au bout de quelques semaines ils repartent »[13].
Notes et références
- Bancomat - Torgnon
- "Contribution à l´histoire de la Société TRANSAC 1970-1982", par André Michaud, page 24? Actes du Septième Colloque sur l'Histoire de l'Informatique et des Transmissions
- Frédéric Lewino et Gwendoline Dos Santos, « C'est également arrivé un 27 juin », sur Le Point.fr,
- « Les distributeurs automatiques de billets vont-ils disparaître ? », sur Ina.fr (consulté le )
- Banque : bientôt la fin des distributeurs automatiques, CBanque, 30 juillet 2018
- (en) « Barclays agrees to delay imposition of ATM fee », sur money.cnn.com, (consulté le )
- Free! Entrez dans l'économie du gratuit, Chris Anderson, (ISBN 978-2-7440-6351-0), p. 241
- « Une nouvelle menace plane sur les distributeurs automatiques de billets », sur lesechos.fr (consulté le )
- (en) All About Skimmers - KrebsOnSecurity.com
- « La fraude à la carte bancaire et la responsabilité de la banque », sur Avocat à Cannes - Maître Antebi, (consulté le )
- http://fr-ca.actualites.yahoo.com/blogues/sur-le-radar/erreur-bancaire--il-retire-1-5-million-au-guichet-automatique-et-perd-tout-au-casino-.html
- (en) Article
- « Connaissez-vous le "jackpotting" : cette attaque contre les distributeurs de billets qui sévit en France ? », Morgane Masson, midilibre.fr, 9 février 2022.
- « Un réseau spécialisé dans le jackpotting, le piratage des distributeurs de billets, démantelé », 20minutes.fr, 9 février 2022.
Voir aussi
Bibliographie
- Yves Jeanneret et Emmanuel Soüchier, « La machine sacrée », Le Monde diplomatique, .
Articles connexes
Liens externes
- (en) BBC News, The man who invented the cash machine, .
- Portail de la finance
- Portail de l’informatique