Yes Card : arnaque oubliée ou carte toujours active en 2026 ? Mythe ou réalité, on fait le point complet

Quand la puce française a dit oui à n’importe qui

L’introduction de la carte à puce en France dans les années 1990 était censée rendre la fraude impossible. Le Groupement des Cartes Bancaires était fier de son système. Le protocole d’authentification reposait sur un principe simple : le terminal demandait à la carte si le code PIN saisi était correct. La carte répondait. Une fausse carte, programmée pour répondre « oui » quel que soit le code tapé, pouvait donc autoriser n’importe quelle transaction.

Avant 2001, les cartes françaises utilisaient ce qu’on appelle le SDA (Static Data Authentication). La clé cryptographique protégeant la réponse de la carte reposait sur un algorithme DES avec un module de 768 bits. En théorie, complexe. En pratique, insuffisant. Ces cartes ne fonctionnaient que sur des terminaux ne se connectant pas en temps réel à la banque pour vérifier la transaction : pompes à essence, horodateurs, distributeurs de pizzas, bornes de location de cassettes VHS. Des cibles idéales : isolées, automatisées, sans connexion live.

Serge Humpich, le mathématicien qui a fait rougir les banques

En 1998, un mathématicien français nommé Serge Humpich parvint à casser la signature cryptographique des cartes Cartes Bancaires. Après des années de travail, il fit ce que tout chercheur responsable devrait faire : il contacta le GIE Cartes Bancaires pour leur révéler la faille. Le consortium écouta. Puis ne fit rien. Humpich attendit. Puis décida de démontrer son point de la façon la plus concrète qui soit.

En 2000, il fabriqua plusieurs YesCards et s’en servit pour acheter sept tickets de métro à Paris. Il fut arrêté peu après. Le tribunal correctionnel de Paris le condamna à dix mois de prison avec sursis. Les banques, de leur côté, commencèrent discrètement à migrer vers des protocoles plus robustes. L’ironie n’échappa à personne : l’homme condamné pour quelques francs de tickets de métro avait exposé une faille potentiellement exploitable à hauteur de centaines de millions d’euros. Son affaire est aujourd’hui citée dans les cours de cybersécurité comme exemple de ce qui se passe quand un chercheur n’est pas écouté, au même titre que les manipulations documentées dans notre article sur l’ingénierie sociale en cybersécurité.

Trois visages d’une fraude qui mute

Après la démonstration de Humpich et la pression médiatique qui suivit, le système bancaire français migra vers des protocoles d’authentification plus solides. Mais la fraude ne disparaît pas : elle évolue. Une première génération de YesCards continua de circuler au début des années 2000, ciblant les terminaux encore non mis à jour, en clonant des données de vraies cartes ou en générant des numéros aléatoires.

Une seconde vague, bien plus sophistiquée, émergea autour de 2011 sous le nom de MiM Cards (Man-in-the-Middle attack cards). Plutôt que de créer une fausse carte de zéro, les fraudeurs implantaient physiquement une puce secondaire par-dessus la puce d’une vraie carte volée. Cette puce interceptait la communication entre le terminal et la puce originale. En avril 2011, la Brigade des fraudes aux moyens de paiement démantelait un réseau de quatre individus âgés de 18 à 28 ans, opérant entre Maisons-Alfort et Fontenay-aux-Roses, avec un cinquième opérateur basé en Tunisie qui programmait les puces à distance. Le préjudice total : 160 000 euros. Comprendre ces mutations techniques est indispensable dans un paysage où des attaques comme celles que l’on détaille dans notre article sur le ransomware WannaCry rappellent que les failles techniques ne vieillissent jamais vraiment bien.

En 2026, une YesCard peut-elle encore fonctionner ?

La réponse courte : presque jamais. La réponse longue est plus nuancée. Les terminaux EMV modernes utilisent le DDA (Dynamic Data Authentication) ou le CDA (Combined DDA/Application Cryptogram). Chaque transaction génère un certificat cryptographique unique que le terminal vérifie. Une fausse carte ne peut pas répliquer ce certificat sans accéder à la clé secrète de la banque. Sur un terminal connecté, toute tentative de YesCard échoue en quelques secondes.

Mais « connecté » est précisément le mot clé. Certains terminaux obsolètes subsistent encore en France : des horodateurs en zone rurale, des bornes de parking datant des années 2000, quelques pompes à carburant avec une infrastructure vieillissante. Ces équipements constituent les dernières zones grises. Le Sénat français, dans une question officielle au gouvernement de mars 2025, mentionnait explicitement la persistance de « moyens de paiement frauduleux de type YesCard qui permettent de simuler le paiement de la transaction sur des distributeurs automatiques » fonctionnant hors ligne. La question posée au gouvernement portait sur ce qu’il comptait faire de ces terminaux vulnérables.

Selon le rapport semestriel 2025 de la Banque de France, le montant total de la fraude a atteint 618,4 millions d’euros au premier semestre 2025, en hausse de 7,4 % par rapport à la même période en 2024. Cette progression ne vient pas des YesCards. Elle se concentre sur les paiements en ligne sans authentification 3-D Secure. Le taux de fraude sur les paiements de proximité, qui englobe les tentatives de type YesCard, reste inférieur à 0,011 %. La carte fantôme, dans sa forme classique, est devenue une curiosité technique plus qu’une menace opérationnelle de premier plan.

L’arnaque dans l’arnaque

C’est ici que l’histoire prend un tournant particulièrement absurde. Parce qu’en 2026, il est toujours facile de trouver des vendeurs de « YesCards » sur TikTok, Telegram et des sites dédiés. Ils promettent des cartes capables de retirer des montants illimités. Ils proposent des formules bronze, silver, gold avec des plafonds allant de 500 à 3 500 euros par jour. Ils prennent les commandes. Ils encaissent.

Et ensuite, rien. Ou pire : quelque chose de bien plus décevant. Ces « YesCards » en vente sur les réseaux sont elles-mêmes des arnaques. Le vendeur prend l’argent et disparaît. Ou envoie une carte vierge inutilisable. L’acheteur a payé pour une fraude qui ne fonctionne pas, avec de l’argent qu’il ne reverra jamais, après avoir tenté de commettre un délit. C’est un piège à trois niveaux : exposition légale, perte financière, et zéro produit. Le mécanisme est identique à ce que l’on documente sur les arnaques au phishing : elles exploitent la cupidité et la conviction que certains systèmes peuvent être contournés par quelqu’un d’assez malin.

La même psychologie qui pousse quelqu’un à cliquer sur un faux e-mail bancaire le pousse à envoyer 200 euros à un inconnu sur Telegram qui promet une carte miracle. Ces réseaux de revente s’appuient massivement sur des bots automatisés pour inonder les plateformes de fausses preuves, faux avis et fausses démonstrations vidéo. Le tout relève d’une ingénierie de la manipulation que l’on retrouve dans tous les grands schémas de fraude numérique, comme l’explique notre analyse de la sécurité des réseaux.

Ce que risque vraiment l’acheteur curieux

Soyons précis sur les enjeux légaux, parce qu’ils sont significatifs. L’article L163-4 du Code monétaire et financier français est sans ambiguïté : la simple détention d’une YesCard est passible de 5 ans d’emprisonnement et de 375 000 euros d’amende. La fabrication ou la distribution portent les mêmes peines. Si l’infraction est commise en bande organisée, la peine monte à 10 ans de prison et 1 000 000 d’euros d’amende.

Ce n’est pas un risque théorique. Les interpellations de 2011 à Maisons-Alfort ont abouti à des condamnations pénales effectives. Plus récemment, en 2024, des utilisateurs français de réseaux sociaux ont fait l’objet d’enquêtes à la suite de publications faisant la promotion de services YesCard. Chercher à acheter une carte qui ne fonctionne pas peut valoir à son acheteur une mise en garde à vue, une perquisition informatique et une procédure judiciaire. L’ironie finale est là : on peut être poursuivi pour avoir tenté d’acquérir un produit qui n’existe plus vraiment.