Des chercheurs en cybersécurité ont mis en évidence de possibles problèmes de sécurité dans les mécanismes de paiement de Visa et d'Apple. Problèmes qui pourraient rendre frauduleux les paiements mobiles sans contact.
Les chercheurs de l'Université de Birmingham et de l'Université du Surrey ont utilisé un iPhone verrouillé pour effectuer un paiement par NFC en exploitant une fonction d'Apple Pay appelée Express Transit. Cette dernière est conçue pour fonctionner avec les cartes bancaires Visa afin d'aider les usagers à payer rapidement aux guichets.
Dans une démonstration vidéo, les chercheurs ont réussi à tromper un iPhone pour effectuer un paiement Visa de 1 000 £ (environ 1 160 €), sans déverrouiller le téléphone ni autoriser explicitement le paiement.
- Meilleurs antivirus 2021 : quelle solution choisir ?
- En complément de votre antivirus, optez pour les meilleurs VPN
- Le meilleur gestionnaire de mots de passe est actuellement disponible à prix réduit
Alors qu'Apple a déclaré que la faille de sécurité provenait probablement du système de paiement de Visa, Visa s'est défendu en affirmant que ses paiements étaient sécurisés et que ce type d'attaque ne pouvait pas être reproduit en pratique.
Tromper l'iPhone
Ce piratage implique l'utilisation d'un petit équipement radio disponible dans le commerce, qui est placé près de l'iPhone pour faire croire à l’appareil qu'il a affaire à un ticket de validation. Dans le même temps, un smartphone Android exécutant une application personnalisée, développée par les chercheurs, est employée pour relayer les signaux de l'iPhone vers n'importe quel terminal de paiement sans contact.
Comme l'iPhone pense que la transaction est validée, il l’effectue tout en restant verrouillé. De l'autre côté, l'application Android personnalisée modifie les communications de l'iPhone avec le terminal de paiement - qui pense que l'iPhone a été déverrouillé et que le paiement a été autorisé légitimement.
Les chercheurs précisent que le smartphone Android et le terminal de paiement utilisés pour le piratage n'ont pas besoin d'être à proximité de l'iPhone de la victime.
"Ils peuvent se trouver sur un autre continent, à condition qu'il y ait une connexion Internet les reliant", a déclaré à la BBC le Dr Ioana Boureanu, de l'université du Surrey.
Les chercheurs auraient fait part de leur découverte à Apple et Visa il y a environ un an, mais ils attendent toujours une solution de leur part. Visa, quant à elle, estime que ce type de piratage reste "irréalisable" en dehors d'un laboratoire.
"Les cartes Visa connectées à Apple Pay Express Transit sont sécurisées et les titulaires de cartes doivent continuer à les utiliser en toute confiance", a déclaré Visa à TechRadar Pro.
"Les variations des schémas de fraude sans contact ont été étudiées en laboratoire pendant plus d'une décennie et se sont avérées peu pratiques à exécuter en pratique. Visa prend toutes les menaces de sécurité très au sérieux, et nous travaillons sans relâche pour renforcer la sécurité des paiements dans l'ensemble de l'écosystème".
Via BBC
